Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

Wenn das das Ziel ist:

Variante 1:

Daten vom NAS aus auf ein Netzgerät sichern, welches Windows nicht kennen oder noch besser: nicht kennen kann. Also ein Linux, welches sich die Dateien mit rsync vom NAS zieht (der NAS muss das natürlich auch können...) und dann speichert. Keinerlei von Windows nutzbare Freigaben von diesem "Sicherungsrechner" aus. iptables -A INPUT -s $IP -j DROP und/oder iptables -A OUTPUT -s $IP -j DROP; hilft Windows-Kisten vom Zugriff auf den Backup-Rechner auszuschließen.

Irgendeines der zigarettenschachtelgroßen, 40-100€-Dinger (Rapberry/Banana/Orange-Pi) sollte in einem Privathaushalt/Kleinunternehmen dafür reichen. Also wenn die neuen oder geänderten Daten eines Tages binnen einer oder zwei Stunden per USB2 geschrieben werden können. USB2 erreicht bei vielen dieser Dinger netto 30MB/s - also immerhin rund 100 GB/Stunde. Alles weitere hängt vom Netz und dem Backup-Programm ab, welches im Falle eines incrementellen Backups mit diff ggf. Inhalts- (und nicht nur Meta-)Daten von der Platte lesen, vergleichen und schreiben muss...

Variante 2:

Die guten alten preisgünstigen 4TB Platten via USB, ein paar Skripte, Cronjobs in der Nacht und der regelmäßige Wechsel der Platten (Abziehen, ins Regal stellen) hilft auch in Privathaushalten und KMUs. Die Backups oder Kopien der Backups außerhalb des eigenen Haushalts oder der eigenen Firma zu deponieren hilft auch bei einem Großbrand.

Beste Variante:

Man kombiniere Variante 1 und 2.