In der neuen c't werden Vorschläge für den Speicherort von Datensicherungen vorgestellt, die ich für den Normalverbraucher als realitätsfremd einschätze.

Ich selber habe nur noch SSD, mit Ausnahme einer herkömmlichen Festplatte, auf der ich alle meine Daten komplett vorhalte. Daneben habe ich eine USB-Festplatte, auf die ich meine Datensicherungen spiele.

Anlässlich eines Umzugs auf einen neuen Rechner stehe ich jetzt vor der Frage, ob ich die Festplatte "normal" dauerhaft im Gehäuse anschließen oder über einen Adapter nach Bedarf verbinden soll.

Mir ist klar, dass man den Zugriff auf die Platten - intern oder fallweise angeschlossen - letztlich nicht verhindern kann, wenn sich ein Schadprogramm Administratorrechte verschafft hat, und dass auch das fallweise Anschließen nicht vor Emotet schützt; aber ich frage mich doch, ob es nicht eine Lösung gibt, die ein Hacker überwinden könnte, aber nicht ein Schadprogramm, das ein bestimmtes Repertoire hat, das nicht alles abdeckt. Gibt es sowas?

Ich bin jetzt auf sowas wie DeviceIoControl mit FSCTL_LOCK_VOLUME IOCTL gestoßen (Beiträge z.B. hier und auch hier). Aber ganz generell: Gibt es etwas, das für Schadprogramme zu speziell/zu aufwändig ist, so dass man nicht mit 100%iger, aber mit hochprozentiger Wahrscheinlichkeit davon ausgehen kann, dass ein Schadprogramm sowas nicht auf der Liste hat?

Ein "intelligentes" externes NAS ist die Lösung für dein Ansinnen
(egal ob das dann per USB oder per Ethernet/WiFi mit deinem PC verbunden ist)

- Solche NAS haben stets ein eigenes Betriebssystem(manche was komplett propitäres, manche was auf z.B. Linux basis).
- wenn du dort Laufwerke oder Verzeichnisse auf ReadOnly setzt, dann hat dein PC da nur LeseRechte, egal ob du oder ein Trojaner auf dem PC Admin ist oder nicht.
- einige NAS Systeme haben sogar noch Schlüsselschalter pro Einschub, um hart einzelne Laufwerke zu oder weg schalten zu können
- sehr gute NAS arbeiten intern mit automatisch versionierten Filesystemen und sehr großem Reservespeicherplatz... heißt ein Trojaner kann dir zum Zeitpunkt der Datensicherung wenn du explizit mal Schreibzugriffe erlaubst zwar alles löschen, überschreiben,verschlüsseln... aber es zerstört nur den aktuellen Zugriff, denn du kannst wenn du das NAS wieder in den Readonly Mode setzt, dann einfach auf den vorherigen Stand der zerstörten Dateien zurückschalten
- andere NAS lösen das mit automatischen sequentiellen Snapshot-Backups auf NAS interne Datenspeicher, welche niemals von außen zugänglich sind... da kannst du dann auf einen "kompletten" Snapshot-Stand zurückgehen



...zu deiner Frage ob es PC etwas internes gibt, was Schadprogramme "mit sehr hoher Wahrscheinlichkeit" nicht umgehen können:
ja, man kann manuell im BIOS SATA und USB Ports oder Controler deaktivieren/aktivieren... so kann man interne Datenträger "recht sicher" dekativieren... aber jedes mal ins BIOS gehen und dort was ein/aus schalten ist nicht so das Wahre, wenn man nicht physisch Zugang zum PC hat.. denn RemoteBiosZugriff gibt es erst bei sehr guten Servern oder via spezieller externer Zusatzhardware

Ich habe seit Jahren eine – für mich zufriedenstellende – Lösung für alle meine PC’s: Auf einer SSD-Platte ist C:\ und läuft unter Windows 7 bzw. 10. Auf einer weiteren 4 TB großen NICHT-SSD-Platte habe ich mit der angeblich (?) relativ sicheren Version 7.1a von TrueCrypt mehrere verschlüsselte (1 bis 2 TB große) Laufwerke erstellt, die ich innerhalb von ca. 1 Sekunde hoch- und runterfahren („mounten“ & „dismounten“) kann. Bei jedwedem Internetzugang werden die gemounteten Laufwerke heruntergefahren.
Regelmäßige Systemsicherungen mit EaseUS Todo Backup Free 9.2 erlauben ein sicheres & schnelles Wiederherstellen der kompletten Platte C:\ oder Teile davon. Anstelle von TrueCrypt kannst Du freilich auch VeraCrypt oder GostCrypt verwenden.
Gruß, Andreas

Zitat:

- wenn du dort Laufwerke oder Verzeichnisse auf ReadOnly setzt

Ist ein NAS, wenn es nur ReadOnly nicht, nicht irgdendwie total sinnlos?

Ich habe es bei mir etwas anders gemacht. Eine der Festplatten im NAS habe ich für Clients per Samba freigegeben. Natürlich mit Name und Passwort.
Alle Clients haben das auch gemountet.
Befällt das jetzt der Trojaner, könnte der alles löschen das ist klar. Die Daten liegen aber noch auf einer weiteren Festplatte im NAS, auf die nur das NAS selber Zugriff hat.
Eigentlich sollte man zusätzlich noch eine Dritte Festplatte irgendwo außerhalb des NAS aufbewahren.

Hm, auch wenn ich etwas völlig anderes im Sinn hatte, so finde ich den Vorschlag eines NAS doch sehr bedenkenswert. Er hätte ganz nebenbei den Vorteil, dass ich vermutlich auch mit meinem Fernseher darauf zugreifen und mir das Kopieren von Filmen auf einen USB-Stick sparen könnte.

Ich bin bei einer schnellen Suche bei einer recht guten Erklärungsseite von Hardwareschotte gelandet. Mit der Synology DiskStation DS120j gäbe es eine Lösung für 100 Euro, bei der ich meine vorhandene Festplatte verwenden könnte. Aber an solche einem einfachen Modell könnte ich wohl kaum einzelne Verzeichnisse auf "Schreibgeschützt" setzen. Gibt es einen besseres Modell? Wenn das jetzt kein großer Aufwand wäre, dann würde es mich nicht allzusehr stören, vor einer Sicherung kurz mal ein Verzeichnis wieder lesbar zu machen. Naja, den Moment könnte ein Trojaner natürlich nutzen, um zuzuschlagen.

Die anderen hier aufgezeigten Lösungen - ich suche ja nicht nur für mich - erscheinen mir doch relativ kompliziert.

Auch würde ich meine Ursprungsfrage gern weiterverfolgen.

..."mehrere verschlüsselte (1 bis 2 TB große) Laufwerke erstellt"...

ähm... wenn das reine Dateicontainer sind(also einfach ein paar große verschlüsselte Dateien im Hauptlaufwerk), dann hast du im Fall von Cryptotrojanern auf dem Hauptlaufwerk die A-Karte... denn wenn die TC Container auch nur etwas verändert werden, zerhaut es dort die komplette Verschlüssung und alles in den 1..2TB ist verloren.


Kleiner Grundsatz: Verschlüsselung dient der "Datensicherheit" im Sinne von berechtigtem Zugriff, aber NIE der Datensicherheit im Sinne Schutz gegen Datenverlust!!!

=> wer verschlüsselt braucht ein viel höheres Level an Schutz gegen jeglichen Datenverlust... denn es gibt oft keinen "Teildatenverlust" einzelner Dateien, sondern es funktioniert "alles", oder alles ist weg... und das ist sicherheitstechnisch gewollt auch gut so!

Ich hole täglich mehrmals alle geänderten Files auf einen USB-Stick runter und aktualisiere von dort meine Datenbestände auf den externen USB-Festplatten, von denen ich etliche besitze und verschiedene Datenstände an unterschiedlichen Orten (bis hin zum Banktresor) lagere. Bisher hatte ich – Gott sei Dank – noch nie Probleme mit Datenverlust gehabt, obwohl ich kein heuriger Hase mehr bin, habe schließlich mit MS-DOS und Turbo Pascal 3.0 angefangen. Aber ich bin ein recht vorsichtiger Mensch.
Andreas

Zitat:

dass ich vermutlich auch mit meinem Fernseher darauf zugreifen und mir das Kopieren von Filmen auf einen USB-Stick sparen könnte.

Guck dir mal Jellyfin an. Dann kannst du per Chromecast oder DLNA vom Fernseher drauf zugreifen. Bitte lass die Finger von Plex und Emby, wenn du "Herr" über deine Bibliothek bleiben möchtest.

@Andreas13: metoo.
Seit eine Southbridge-Controller meinte, gelegentlich beim Schreiben von Daten die alle Nullen zu müssen und dadurch einige CD-Produktionen nicht ganz in Ordnung waren, bin ich auch vorsichtig. Weil die Korrumptionen nur selten war hat man es etliche Monate nicht gemerkt. Habe derzeit 111 komplette Datensicherungen meiner Arbeitsdaten.
BTW: git ist ja ganz lustig und extrem wichtig. Aber wenn mal das .git korrupt ist ...
Banktresor habe ich nicht, aber eine Instanz lagert >10km woanders (jetzt grad mit Homeoffice ist der regelmässige Austausch etwas schieriger, aber das ist ein anderes Thema )

Und noch was: das Thema finde ich schon wichtig. Hatte mal einen neues PC und dachte ich könnte (und habe) Daten von einer externen Festplatte auf die neue SSD kopiert. Und dabei meinte so ein §$%@€§%$-Schutzprogramm mir gewisse Daten von dieser externen Festplatte löschen zu müssen

Ich empfehle gerne das Backup Programm DriveSnapshot (www.drivesnapshot.de). Da es nicht inkrementell sondern differenziell arbeitet, bietet das Backup eine sehr hohe Redundanz. Man kann ein Image jederzeit als Drive mounten, dies ist dann auch änderbar, wodurch man auch mal einen alten Stand der Software kompilieren kann. (Die Änderungen werden allerdings vergessen beim un-mounten).

Man kann nun Festplatten im Wechsel benutzen. Nachdem bei einem differenziellen Backup nur eine recht kompakte Hash datei vorliegen muss, kann man ein differenzielles Backup erzeugen, ohne dass die Ursprungsdaten vorliegen, wenn man nur eine Kopie der HSH Datei kopiert hat. Die Ursprungsdaten sind also sicher vor einem Angriff.

Ich halte es für sehr wichtig, dass man keine wichtigen Daten auf C: hat. Die Daten sollten auf einer weiteren Partition, besser externen SSD liegen. Dadurch kann man leicht das System zurücksetzen und auch der Wechsel zu einem anderen Computer ist kein Problem. Auch Komponenten sollte man dort installieren, mit möglichst kurzen Pfaden.

Ein zusätzlichen Schutzschirm bietet AJC Active Backup, dies macht bei jeder Änderung der PAS, DFM und FMX Dateien (oder auf Anfrage) ein inkrementelles Backup. Man kann also für jede Datei Änderungen zurückverfolgen.