Verschlüsselungstrojaner gegen Hyper Backup

In den Nachrichten der letzten Wochen und Monate machen immer wieder Verschlüsselungstrojaner Schlagzeilen, die die Daten auf (meist) Windows-PCs verschlüsseln und dann vom Benutzer Lösegeld erpressen. Wie kann man sich vor solchen Trojanern schützen? Ich zeige hier eine Lösung auf Basis des Synology Hyper Backup Systems auf. Dafür benötigt man 2 Synology Diskstations auf denen jeweils der Diskstation Manager (DSM) ab Version 6.0 läuft.

Aufbau des Hyper Backup gegen Verschlüsselungstrojaner

In meinem Aufbau habe ich eine Synology Diskstation DS115 als Quell- NAS Server und eine Diskstation DS213+ als Ziel NAS Server verwendet. Der Quell-Server enthält dabei die Daten mit denen ich täglich arbeite – Mails, Dokumente, Websites, etc. Der Ziel-Server speichert ausschließlich die Backups. Die folgende Grafik zeigt den Aufbau:

Aufbau des Hyper Backup gegen Verschlüsselungstrojaner

Aufbau des Hyper Backup gegen Verschlüsselungstrojaner

Einrichtung

Mit dem Diskstation Manager in der Version 6.0 werden auf den Diskstations automatisch die Hyper Backup Pakete installiert. Diese sind:

Hyper Backup Vault

Hyper Backup VaultIm Hyper Backup Vault muss nicht viel eingestellt werden. Die App läuft einfach als Dienst im Hintergrund auf dem Ziel-Server und nimmt die Backups an.

 

Hyper Backup

Hyper BackupÜber das Programm Hyper Backup auf dem Quell-Server wird (bei laufendem Ziel-Server!) eine neue Datensicherungsaufgabe erstellt und eine entfernte Synology NAS als Datensicherungsziel ausgewählt (siehe Bild).

Datensicherungsziel auswählen

Datensicherungsziel auswählen

Name und Passwort

Bei der Einstellung dieser Datensicherungsaufgabe muss ein Benutzername und ein Passwort auf dem Ziel-Server angegeben werden. Ich habe hierzu einen separaten Nutzer auf dem Ziel-Server angelegt. Wichtig ist, dass das nicht der gleiche Nutzer wie der an einem Windows-PC ist. Denn hat ein Verschlüsselungstrojaner Schreibrechte auf einem Windows-Share, so kann es sein, dass dieser das Share direkt mitverschlüsselt und wir hätten nichts gewonnen. Daher: Nur Lese-Zugriff für Windows-Nutzer auf den Zielserver und zusätzlich einen eigenen Account anlegen, der nur vom Quellserver verwendet wird (und die Backups schreibt).

Sicherungsrotation

Um vor Verschlüsselungstrojanern sicher zu sein sollte man in den Aufgabeneinstellungen der Sicherungsaufgabe nun die Sicherungsrotation aktivieren. Die sorgt dafür, dass das Backup auf dem Zielserver nicht einfach überschrieben wird, sondern dass immer alte Versionen der Dateien vorgehalten werden. In meinem Fall habe ich bis zu 100 Versionen meiner gesicherten Dateien immer auf dem Ziel-Server „auf Lager“. Sollte ein Verschlüsselungstrojaner jetzt meine Dokumente verschlüsseln, könnte ich sie einfach aus dem Backup von gestern, vorgestern, etc. wieder herstellen. Die Option Smart Recycle sorgt dafür, dass von den Daten unterschiedlich viele Versionen vorgehalten werden. Konkret:

  • Stündliche Versionen der letzten 24 Stunden
  • Tägliche Versionen von gestern bis zu 4 Wochen zurück
  • Wöchentliche Versionen von allen Dateien die älter sind als 4 Wochen – bei mir bis zu einem Alter von 18 Monaten

Keine Sorge – nur weil es bis zu 100 Versionen einer Datei gibt, heißt das nicht, dass man 100 mal soviel Speicher benötigt. Gibt es zwischen einer aktuellen und einer älteren Version einer Datei keinen Unterschied, dann wird einfach ein Link auf die vorherige Version gesetzt. Das sorgt auch dafür, dass bei den regelmäßigen Backups nicht allzu viele Daten kopiert werden müssen.

Sicherungsrotation auswählen

Sicherungsrotation auswählen

Zeitpläne

Der Zeitplan kann nach Belieben angepasst werden. Bei mir habe ich ihn so konfiguriert, dass einmal täglich (um 00:05 Uhr) das Backup gestartet wird. Hierfür wird der Zeitplan im Hyper Backup des Quellservers angepasst. Damit dies funktioniert muss natürlich der Zielserver laufen. Hat man seinen Zielserver nicht rund um die Uhr laufen, kann man über Systemsteuerung -> Hardware & Energie -> Energiezeitplan den NAS Server automatisch zu den benötigten Zeiten ein- und ausschalten.

Erfolgskontrolle

Ob das automatische Backup nach Zeitplan funktioniert hat, erkennt man ganz leicht im Hyper Backup auf dem Quellserver:

Erfolgskontrolle im Hyperbackup

Erfolgskontrolle im Hyperbackup

Wer sich das Programmierte Sicherung-Widget auf seinen DSM-Desktop legt, kann auch jederzeit auf den ersten Blick erkennen ob das Backup läuft oder nicht:

Erfolgskontrolle im Widget

Erfolgskontrolle im Widget

Und zu guter Letzt‘ kann die Synology Diskstation auch Mails verschicken, falls ein Backup nicht geklappt hat (sofern eine gültige Mailadresse im System hinterlegt wurde).

Wiederherstellung

Um seine Daten zu überprüfen kann man auf dem Quell- oder Ziel-Server den Datensicherungs-Explorer aufrufen und dort alle bisherigen Versionen der gesicherten Dateien ansehen und bei Bedarf auch wiederherstellen.

Datensicherungsexplorer aufrufen

Datensicherungsexplorer aufrufen

Fazit

Da immer wieder mächtig blöde Umstände dazwischen kommen können, würde ich mich damit zurückhalten zu sagen, dass mit dieser Konfiguration „alles sicher“ ist. Aber dennoch kann man mit dem hier beschriebenen Aufbau ziemlich sicher sein, dass ein Verschlüsselungstrojaner nicht allzuviel Schaden anrichten kann.

Gefällt Ihnen dieser Artikel? Sagen Sie es weiter!
  • Kommentare 2
  • Veröffentlicht in: Backup

Kommentare (2) Schreibe einen Kommentar

  1. Hallo Kai,

    wenn mich nicht alles täuscht werden nicht unbedingt zwei physikalisch getrennte NAS Systeme benötigt.
    Ich habe bei mir auf meiner Station einen neuen gemeinsamen Ordner als Ziel für das lokale Backup erstellt. Dieser Ordner muss dann für die Benutzer als Berechtigung „Nur Lesen“ oder auch gar keine Berechtigung erhalten. Lediglich der Admin erhält die schreibende Berechtigung. Somit ist der Ordner über die Windows Netzwerkumgebung mit den Nutzeraccounts nicht beschreibbar und auch für einen Virus vom PC aus nicht angreifbar.
    Genau deinen Gedanken mit den Verschlüsselungstrojanern hatte ich nämlich dabei ebenso! 🙂

    Antworten

  2. Nachtrag der Vollständigkeit wegen: Eine Versionierung muss im Backupprozess (wie in deiner Anleitung auch) unbedingt eingestellt sein, damit die korrekten Backup Daten nicht mit verschlüsselten Backup-Daten überschrieben werden.

    Gruß

    Antworten

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.