Datensicherung vom NAS in Cloud - Empfehlungen

    Guten Morgen,


    mir sitzt der Schreck tief in den Knochen.

    Das NAS von einem meiner letzten Bauprojekte wurde gestern Abend anscheinend gehackt. Nun sind alle dort liegenden Dateien aus einer Partition gesperrt:



    Die letzte Datensicherung habe ich Anfang 2019 gemacht - und da zum Glück nicht mehr allzu viel gespeichert, sodass der Datenverlust jetzt nicht enorm ist.


    Allerdings würde ich für meine aktuellen Projekte gerne eine Datensicherung in eine Cloud vornehmen, bis jetzt spiegelten sich meine beiden NAS 1 x wöchentlich gegenseitig, stehen aber sinnigerweise aufeinander...


    Könnt Ihr mir einen guten Dienst nennen, bei dem man das gut sichern lassen kann? und wo die Einrichtung auch ein halber DAU versteht? Also ganz so schlimm ist es nicht - aber ich habe mich halt noch nie damit beschäftigt und mag mich nicht in Abkürzungen weiterbilden müssen.


    PS: Sollte ich Anzeige erstatten?


    Vielen Dank für Eure Empfehlungen.

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Das ist übel. Meinen beiden NAS habe ich keinen Zugriff von außen eingeräumt, weil ich das nicht brauche. Nun sind meine NAS aber auch weniger Daten-Quelle für geteilte Projekte, als Senke für Backups von anderen Geräten sowie Archiv von Massendaten (Videos, Fotos, MP3 usw.) von denen ich dann von Zeit zu Zeit Kopien auf USB-Platten als Backup synce (auch wenn NAS RAID-1 gesichert sind, logisch kann immer was kaputt gehen).

    Die NAS-Software selbst bietet gewiss Sync-Software zu Cloud-Anbietern oder offenen Protokollen (WEBDAV...) an, so dass Du ein geeignetes (vertrauenswürdig, sicher und bezahlbar) Ziel suchst - so verstehe ich Deine Frage.

    Was hierfür übliche Dienste am Markt angeht, da müssen andere mit ihren Erfahrungen helfen.

    Meinen eigenen Bedarf für Cloud-Dienste (u.a. auch für automatisierte ad hoc Backups von wichtigen Daten wie Passwortsafe usw. und weitergehende Synchronisierung zu mobilen Endgeräten) habe ich mit Owncloud auf einem eigenen virtuellen Linux-Server eingerichtet (kleine Option, 50 GB Diskspace). Da bin ich - inkl. Domain - mit etwa 50€ im Jahr dabei, aber es ist natürlich auch mit Bastelei und mancher Forschung in Userforen verbunden (Software installieren, SSL-Zertifikate für verschlüsselten Webzugriff usw.). Kann man nicht als Lösung für Jedermann empfehlen, aber so bin ich von Servern bei Google & Co. unabhängig.

    Ich habe auch eine ganze Weile Nextcloud auf einem eigenen Server verwendet, bin nun aber auch aus Gründen der Bequemlichkeit zu Tresorit gegangen. Die 2,5 TB sind - für mich - ausreichend an Platz und im Vergleich zu manch anderer „Dropbox“ werden gelöschte Daten dort noch archiviert und nicht einfach nur 1:1 synchronisiert. D.h. wenn auf dem Rechner eine Datei löscht, dann ist sie nicht gleich endgültig im Nirvana.


    Haken: Der Dienst ist nicht ganz günstig, dafür ordentlich verschlüsselt und DSGVO und Schweizer Datenschutz konform. Persönlich sind mir das meine Daten wert, auch wenn mir klar ist, dass es vollkommene Sicherheit nie gibt, speziell dann, wenn die Daten auf dem Server anderer liegen. Zudem ist die Bedienung sehr angenehm, es wird kontinuierlich sinnvoll weiterentwickelt, ich kann unkompliziert Daten von anderen anfordern, Browser per Drag & Drop in einen verschlüsselten Tresor abgelegt werden können (ohne das der andere ein Tresorit-Konto haben muss) und auch die Optionen, Dateien zu teilen sind leicht zu bedienen aber dennoch umfangreich.

    Zitat von Annabelle78

    Nur zum Verständnis:

    Du hast 2 NAS-Server bei Dir lokal. Und diese sichern ihre Daten auf dem jeweils anderen Gerät ab?

    Haben beide Zugriff auf das Internet?


    Ich würde folgendes vorschlagen:

    Höchstens einer davon kommt ins Internet (= höchstens einer könnte direkt gehakt werden; außer Du hast noch weitere Schwachstellen im Netzwerk wo es sich lohnt Dich anzugreifen).

    Selbst wenn dann einer gecrypted wird, sollte der zweite sich ja ohne Probleme wiederherstellen lassen. Daten sind ja sicher nicht nur einfach kopiert oder? Wenn es da eine Historie gibt, ist das kein Thema.

    Zusätzlich verschlüsselt einer (am besten der der keine eingehenden Internetverbindungen erlaubt) seine Daten und schiebt die in einen beliebigen Cloud-Storage. So wärst Du da auch noch auf der sicheren Seite.

    Ob Du Dir da nen eigenen Server mietest und betreiben möchtest oder Du einen Managed Server nimmst, oder Klassisch DropBox / Google Drive etc ist Dir überlassen. Da Du Dein Backup verschlüsselst, sollte das irrelevant sein. Im Idealfall hast Du auch mehr als ein Ziel (z.B. eigenen Server + Google Drive).


    Noch sicherer wärst Du wenn Du Dir noch eine externe Festplatte zulegst und das wichtigste regelmäßig auf diese speicherst. Nach dem Backup dann immer abziehen und wo anders lagern (im Idealfall 2x -> Einmal bei Dir im z.B. Keller und 1x bei Verwandten oder Arbeitgeber). Wenn Du das auch noch verschlüsselst, kann Dir auch das egal sein.

    Für ein externes Backup nutze ich den S3 Storage von AWS Glacier. Bei den NAS von Synology und Qnap gibt es entsprechende Tool

    die ein regelmäßiges Backup mit diesem Ziel durchführen können (incl. Verschlüsselung der Dateien auf Clientseite).

    Zitat von El Vulpes

    Tresorit

    Danke für den Tipp. Dies ist aber "nur" eine Cloud - und bietet auf den ersten Blick keine Datensicherung eines lokalen NAS, wenn ich das richtig verstehe.


    Der Preis ist durchaus ok - ich würde aber die Daten gerne grundsätzlich lokal auf dem NAS behalten wollen, damit ich auch in (nicht sehr seltenen) Fällen eines Internetausfalls bei Kabel Deutschland / Vodafone darauf zugreifen kann. Vor allem hätte ich gerne einen Dienst, bei dem ich per Rechnung zahlen kann, damit ich das nicht immer über Auslagen abrechnen muss.


    Fernzugriff muss ich, besonders in diesen Zeiten, zulassen. Ich habe ja selbst gesehen, wie schnell man in Quarantäne kommt und plötzlich von zu Hause aus arbeiten muss.


    Ich sehe jetzt zu, dass ich die Daten auf ein NAS bekomme, welches ich noch besser absichere als vorher und schaue mal bei Synology, was die für angebundene Dienste haben.


    Ansonsten bin ich natürlich dankbar für sachdienliche Hinweise ;)

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Ja, ich habe ein QNAP-NAS und ein neueren von Synology. Die standen erst an verschiedenen Orten und sind dann zusammengewandert.

    Derzeit haben beide Zugriff auf das Internet.


    Wie schon geschrieben, werde ich das eine (gehackte / QNAP) jetzt platt machen und nur noch das von Synology nutzen. Ich schaue dann nochmal, welche internen Services Synology bietet. Ich habe halt so überhaupt keine Ahnung von den Einstellmöglichkeiten innerhalb der NAS-Systeme. Ich habe da schon öfter versucht, mit klar zu kommen - aber irgendwie hat mein Anwenderhirn da eine Sperre. Ich habe da jeweils rund 500 GB Daten drauf, da wir viel über Planserver arbeiten und ich zumindest die Pläne nicht mehr lokal sichere.


    2 externe Festplatten habe ich per Direktlieferung schon bestellt (meine 3 vorhandenen werden nicht erkannt, oder haben nicht mehr genug Speichervolumen) dann lasse ich über Nach nochmals ein Update auf die Platten laufen.


    Bin gerade mehr als genervt. Vor allem auch, weil das Kopieren und sichern gerade alles so lange dauert...


    Wer aus Berlin kommt, sich damit auskennt und eine Rechnung stellen kann, ist gerne eingeladen, mich vor Ort zu unterstützen ;)

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Zitat von Annabelle78

    Ich sehe jetzt zu, dass ich die Daten auf ein NAS bekomme, welches ich noch besser absichere als vorher und schaue mal bei Synology, was die für angebundene Dienste haben.

    Wenn du ein Synology NAS hast, dann kannst du per HyperBackup ganz einfach auf beliebige S3 Speicherdienste Backups erstellen lassen.

    Das Tool kann nicht nur ein aktuelles Backup anlegen sondern auch mehrere Revisionen handhaben.

    z.b. ein tägliches Backup für die letzte Woche, dann einen Monat ein wöchentliches und danach wird nur noch ein Backup pro Monat aufbewahrt


    Bei S3 zahlt man meisten/immer nach Traffic und belegtem Platz (wobei es einen Unterschied macht wie oft / schnell man auf die Daten zugreifen will)

    Oh, das tut mir leid für dich.
    Ich habe erst vor ein paar Tagen den Fernzugriff auf mein NAS eingerichtet und hatte dabei schon ein mulmiges Gefühl. Und jetzt lese ich das 8|
    Weißt du wie es dazu kam?

    Vielleicht tragen wir ein paar Tipps zusammen, wie man sich bestmöglich absichern kann:
    - sehr langes, zufälliges Passwort
    - Admin Account deaktivieren
    - Anzahl Log-In Versuche beschränken
    - Nur Dienste nutzen und deren Ports öffnen, die unbedingt sein müssen
    - Updates einspielen

    Schaue ich mir mal an, danke!

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Passwort: check (war aber auch vorher schon 18 Zeichen / Sonderzeichen / Zahlen / Groß- / Kleinschreibung gemischt lang)

    Admin deaktiviert: inzwischen check

    Login-Versuche: max. 5

    Dienste nutzen / Ports öffnen: Standardeinstellungen - keine Ahnung.......

    Updates: automatisch


    Heute habe ich alle Passwörter der angeschlossenen NAS und Zugänge und Fritzbox geändert

    Edit: Ich habe das QNAP-NAS jetzt auch dahingehend geändert, dass nur noch ein Admin mit anderem Anmeldenamen Schreibzugriff hat, "alle" beiden bisherigen User habe ich nur noch Leserechte eingeräumt.

    WLAN-Zugang werde ich heute Abend anpassen, wenn die anderen weg sind. Sollen die sich doch morgen früh mit nem QR-Code auf dem Tisch alleine zurecht finden ;)


    Wie es dazu kam, weiß ich auch nicht. Habe mir mal die Zugriffskontrolle angesehen. Tausende ungültige Login-Versuche seit 2 Wochen. Allerdings werden alle als erfolglos angezeigt und nur meine eigene IP und die meines Kollegen, der als einziger Zugriff darauf hat, als erfolgreich.


    Ich lese mich jetzt noch weiter in das Thema ein. Hatte ich nie vor. Meine Kollegen brechen aber alle schon zusammen, wenn sie mal nen Drucker installieren sollen.

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Einmal editiert, zuletzt von Annabelle78 ()

    Zitat von ins4ne

    Oh, das tut mir leid für dich.
    Ich habe erst vor ein paar Tagen den Fernzugriff auf mein NAS eingerichtet und hatte dabei schon ein mulmiges Gefühl. Und jetzt lese ich das 8|
    Weißt du wie es dazu kam?

    Ich vertraue da dem fritzbox VPN und habe das eingerichtet. Muss man ja nur einmal machen und ist ganz easy.

    Und schon kann man sich von überall fühlen wie zu Hause. Und man macht keinen Dienst von einem einzelnen Gerät auf das eventuell nicht sicher ist.

    Ist natürlich ein Single Point of failure und dann steht das Netzwerk offen. Ist mir bisher bei der fritzbox aber nicht bekannt das es mal so eine Lücke gab.

    Zitat von ibsi
    Zitat von ins4ne

    Oh, das tut mir leid für dich.
    Ich habe erst vor ein paar Tagen den Fernzugriff auf mein NAS eingerichtet und hatte dabei schon ein mulmiges Gefühl. Und jetzt lese ich das 8|
    Weißt du wie es dazu kam?

    Ich vertraue da dem fritzbox VPN und habe das eingerichtet. Muss man ja nur einmal machen und ist ganz easy.

    Und schon kann man sich von überall fühlen wie zu Hause. Und man macht keinen Dienst von einem einzelnen Gerät auf das eventuell nicht sicher ist.

    Ist natürlich ein Single Point of failure und dann steht das Netzwerk offen. Ist mir bisher bei der fritzbox aber nicht bekannt das es mal so eine Lücke gab.

    Ich würde Firtz VPN nicht vertrauen. Vor allem als Baufirma. Da muss ein vernünftiges Sicherheitskonzept. Privaten Schlüssel nicht aufm Rechner lagern (dafür gibts Crypto-Sticks wie Nitrokey).

    Zitat von Annabelle78

    Allerdings würde ich für meine aktuellen Projekte gerne eine Datensicherung in eine Cloud vornehmen, bis jetzt spiegelten sich meine beiden NAS 1 x wöchentlich gegenseitig, stehen aber sinnigerweise aufeinander...

    Dann hast Du doch ein fast aktuelles Backup auf dem zweiten NAS und nicht das alte von 2019. Oder verstehe ich da was falsch?

    Und das zweite NAS musst Du doch eigentlich nur wieder räumlich trennen, um mehr Sicherheit in Bezug auf Einbruch oder Wasser-/Feuerschaden zu haben.

    Dann brauchst Du doch keinen weiteren Cloud-Dienst.

    Zitat von Stanok

    Ich würde Firtz VPN nicht vertrauen. Vor allem als Baufirma. Da muss ein vernünftiges Sicherheitskonzept. Privaten Schlüssel nicht aufm Rechner lagern (dafür gibts Crypto-Sticks wie Nitrokey).

    Ist ja Industriestandard mit IPsec.

    Wo Du also Dein VPN aufbaust liegt ja an Dir. Natürlich kann man sich auch ein dediziertes Gerät dazwischen schalten das sich darum kümmert. Wüsste aber nicht wieso das hier ein Problem sein sollte (so ganz Grundsätzlich).

    Zitat von Matze
    Zitat von Annabelle78

    Allerdings würde ich für meine aktuellen Projekte gerne eine Datensicherung in eine Cloud vornehmen, bis jetzt spiegelten sich meine beiden NAS 1 x wöchentlich gegenseitig, stehen aber sinnigerweise aufeinander...

    Dann hast Du doch ein fast aktuelles Backup auf dem zweiten NAS und nicht das alte von 2019. Oder verstehe ich da was falsch?

    Und das zweite NAS musst Du doch eigentlich nur wieder räumlich trennen, um mehr Sicherheit in Bezug auf Einbruch oder Wasser-/Feuerschaden zu haben.

    Dann brauchst Du doch keinen weiteren Cloud-Dienst.

    Ja, das dachte ich auch. Aber da komme ich nicht an die Daten, was auch immer da schief gelaufen ist (habe ich ja noch nie gebraucht). Ich bekomme die zumindest nicht geöffnet - die Daten von 2019 sind aber in diesem Fall ok, danach kam nichts mehr großartig dazu - um Datenrettung geht es mir hier (zum Glück) auch nur sekundär. Zukünftige und sichere Datensicherung sind mir gerade wichtig - und zwar so, dass ich dran komme. Am liebsten würde ich alles von Null aufbauen und überlege, ob und wie ich das hinbekomme.


    Mich irritiert nur, dass die 2 Festplatte aus dem gehackten Qnap als physisch vorhanden angezeigt wird - aber die nicht mehr als Laufwerk angezeigt wird. Die war in keinem Nutzerprofil, außer dem Admin auf der Plattform, sichtbar oder gar freigegeben (und hier liefen halt auch die Sicherheitskopien auf. Vom aktuellen Projekt habe ich also keine Sicherheitskopie mehr...). Zudem läuft ein Malware-Scanner auf dem qnap-System seit Monaten jeden Morgen um 3.00 Uhr. Nichts erkannt. Heute Vormittag nochmals manuell gestartet: nichts.


    Auf jeden Fall müssten meine bestellten Festplatten bald kommen und morgen habe ich vielleicht etwas mehr Ruhe, neben dem Normalbetrieb, mich um das Thema zu kümmern, sodass das alles nach Euren und anderen Empfehlungen neu eingerichtet werden kann (sobald ich Sicherheitskopien auf den externen Platten habe). Ich habe das System seinerzeit nur von jemandem übernommen, der dann lieber hoch hinaus wollte und Pilot geworden ist - und mich mit nach seinem Gutdünken eingerichteten Sachen hat sitzen lassen.

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    bin ich froh, dass ich Rumtrinkerin bin - und mir da noch nie ein NAS über den Weg gelaufen ist.


    Update:

    QNAP hat ein Update eingespielt, mit dem die Malware als entfernt angezeigt wird. An die gesperrten Daten komme ich aber noch immer nicht. Und ich bin durchaus froh, dass der "Angriff" nicht über unser System kam sondern über den Anbieter.


    Ich puzzle jetzt hier weiter rum und hoffe, dass alles gut wird und dass ich das freitagstypisch in Ruhe machen kann.


    Mein Angebot steht weiterhin: Wer in Berlin im IT-Bereich arbeitet, kann bei uns gerne die Einrichtung nochmals prüfen und alles sicherer gestalten. Es ist echt schwierig, jemanden zu finden, der uns helfen kann. 2 Kollegen nutzen Windows-Rechner und 2 MacBooks. Auch wenn wir alle grundsätzlich die gleiche Sprache sprechen, verstehen die anderen 3 von dem "Computerkram" nur geht / geht nicht - ich immerhin schon zusätzlich 1/0 (was das Verständnis der anderen um den wichtigsten Punkt ergänzt...)

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Wer kein Experte ist, sollte keine Server in's Netz stellen. Auch wenn das arrogant klingt - du siehst doch, was du davon hast. Und wahrscheinlich hast du sogar Glueck gehabt, dass nicht noch mehr passiert ist, nachdem Fremde Zugang zu deinem gesamten Netzwerk hatten. Also entweder nimmst du einen Clouddienst, auf den ihr geteilt Zugriff habt und sicherst diesen dann lokal (Mit Historisierung!) fuer den Fall der Faelle, oder du laesst Dir dein Netzwerk von Profis einrichten und betreuen. Aber das wirst du wahrscheinlich nicht bezahlen wollen.

    Zitat von pst

    Wer kein Experte ist, sollte keine Server in's Netz stellen. Auch wenn das arrogant klingt - du siehst doch, was du davon hast. Und wahrscheinlich hast du sogar Glueck gehabt, dass nicht noch mehr passiert ist, nachdem Fremde Zugang zu deinem gesamten Netzwerk hatten. Also entweder nimmst du einen Clouddienst, auf den ihr geteilt Zugriff habt und sicherst diesen dann lokal (Mit Historisierung!) fuer den Fall der Faelle, oder du laesst Dir dein Netzwerk von Profis einrichten und betreuen. Aber das wirst du wahrscheinlich nicht bezahlen wollen.

    Es stellte sich heraus, dass der Angriff auf Qnap erfolgte und nicht über unser Netzwerk...

    Aber ja, man sollte Vorsicht walten lassen und Experten das Feld überlassen. Es gibt nur kaum welche, die Aufträge annehmen und sich dann auch kümmern wollen. Was ich da schon erlebt habe, geht auf keine Kuhhaut.


    Wir sind so aufgestellt, dass sich ein paar Selbständige ein Büro angemietet haben, um ein Bauprojekt durchzuführen - und so wollten wir anderen „kleinen“ Selbständigen die Chance geben, einmal monatlich oder alle 2 Monate zum guten Sold etwas für uns zu tun. Sich um die Sicherheit zu kümmern, notwendige Einrichtungen vorzunehmen, .... Will keiner. Unverständlich - aber ist so. Also bleibt die ursprüngliche Einrichtung kleben und alles Administrative, selbst nach einem Umzug bei mir. Jeder hat und nutzt seinen privaten Rechner, installiert und surft unkontrolliert. Aber genau so wollen wir das grundsätzlich auch - nur beißt sich eben genau da die Katze in den Schwanz....

    Was man ernst meint, sagt man am Besten im Spaß (Wilhelm Busch)

    Also laut dem Artikel auf Massive Qlocker ransomware attack uses 7zip to encrypt QNAP devices ist das Hauptproblem Schwachstellen auf dem Geraet. Dort gibt es uebrigens auch einen Tip, mit dem eventuell das Passwort auf dem Geraet gefunden werden kann, falls es noch nicht rebootet wurde.

    Aber auch wenn der Zugriff ueber QNAP erfolgt waere - am Ende ist das nur moeglich, weil das NAS nicht isoliert im lokalen Netzwerk steht, sondern von aussen darauf zugegriffen werden kann. Und da der Angreifer in der Lage war, Kommandos auf dem NAS aus zu fuehren, hatte er auch die Moeglichkeit, andere Dinge im lokalen Netzwerk zu tun. Das ist in dem Fall wohl nicht passiert, aber das ist keine Garantie fuer's naechste Mal. Deswegen habe ich hier auch keine per App schaltbaren Steckdosen, Wifi-Webcams und sowas - damit gibt man effektiv irgendwelchen chinesischen Anbietern Zugriff auf's eigene Netzwerk. Und wenn die gehackt werden, ist man gleich mit gehackt.