Hej Querdenker,

Wenn ja, wie könnte ich meine Netzwerkkonstellation dahingehend verbessern, dass das Backup vor Locky bzw. Zepto sicher ist?

Wenn das das Ziel ist:

Variante 1:

Daten vom NAS aus auf ein Netzgerät sichern, welches Windows nicht kennen oder noch besser: nicht kennen kann. Also ein Linux, welches sich die Dateien mit rsync vom NAS zieht (der NAS muss das natürlich auch können...) und dann speichert. Keinerlei von Windows nutzbare Freigaben von diesem "Sicherungsrechner" aus. iptables -A INPUT -s $IP -j DROP und/oder iptables -A OUTPUT -s $IP -j DROP; hilft Windows-Kisten vom Zugriff auf den Backup-Rechner auszuschließen.

Das bedeutet keine inkrementellen backups?

Was macht das Skript denn, wenn die Dateien verschlüsselt (also verändert) wurden? Alles vorhandene mit den verschlüsselten Dateien überschreiben?

Variante 2:

Die guten alten preisgünstigen 4TB Platten via USB, ein paar Skripte, Cronjobs in der Nacht und der regelmäßige Wechsel der Platten (Abziehen, ins Regal stellen) hilft auch in Privathaushalten und KMUs. Die Backups oder Kopien der Backups außerhalb des eigenen Haushalts oder der eigenen Firma zu deponieren hilft auch bei einem Großbrand.

Es sei denn, man hat einen Unfall. Nicht umsonst wird davor gewarnt, Festplatten abzuziehen und ins Regal zu stellen. Wenn eine runter fällt, war es das dann eventuell schon mit dem schönen Backup...

Meine Variante: die Daten werden von einem Skript auf einen Server in der Cloud bei einem deutschen Dienstleister gezogen. Es gibt keine direkte (Netzwerk)-Verbindung. Ein lokaler Client überwacht das Dateisystem und sendet nur Änderungen, nachdem er sich beim Server authentifiziert hat. Backups für drei Tage, eine Woche, einen Monat, ein Viertel Jahr werden aufbewahrt.

Marc