BitLocker-HD auf NAS gesichert > UNverschlüsseltes Backup auf ext. HDD - geht das?

[paraglider]

Hallo Forumsgemeinde!

Bin neu hier, ambitionierter Computer-Laie und auf der Suche nach fundierten Tipps.

Folgendes Konzept ist derzeit realisiert (aber offenbar nicht ganz ausgereift - die aktuelle c't Heft 7/2016 [Ransomware] hat mich bewogen, das Konzept zu hinterfragen):

• Von 2 Notebooks (Win 8.1; eines davon mit BitLocker verschlüsselt) wird der Dateiversionsverlauf laufend auf einer DS415+ gespeichert.
• Hin und wieder werden Systemabbilder der 2 Notebooks auf die DS gespeichert.
• Auf der DS liegen auch Dinge wie Fotos und Musik.
• Die Surveillance Station liefert auch laufend Datenmaterial zur DS.
• Die DS steht in einer Umgebung, wo Datenverlust durch Diebstahl oder Elementarereignis nicht 100%ig ausgeschlossen werden kann.
• Die DS wird wöchentlich abwechselnd auf zwei externe Festplatten gesichert (die sicher gelagert werden).

Folgender möglicher Denkfehler stelt sich mir dar:
Das Backup der DS auf die externen Festplatten erfolgt zwar unverschlüsselt, es liegt aber nach wie vor die Verschlüsselung durch BitLocker vor. Im Fall des Verlustes des verschlüsselten Notebooks habe ich zwar Sicherungen, kann auf diese aber auf Grund der Verschlüselung durch BitLocker nicht mehr zugreifen.

2 konkrete Fragen dazu:

• Gibt es eine Möglichkeit die durch BitLocker verschlüsselten Daten auf den externen Festplatten (natürlich bei Besitz des verwendeten PINs bzw. Wiederherstellungsschlüssels) mit einem anderen Rechner wieder lesen zu können?
• Ist es möglich, die Daten des mit BitLocker verschlüsselten Notebooks unverschlüsselt auf der DS zu speichern und nur die Verschlüsselung der DS zu nutzen, wodurch die externe Festplatte mit der wöchentlichen Sicherung wieder unverschlüsselt wäre?

Zusatzfrage: Ist mein oben genanntes Sicherungskonzept grundsätzlich brauchbar?

Vielen Dank für jeden Hinweis!

Grüße,
paraglider

P.S.: Habe natürlich dieses Forum und auch das www schon intensiv nach Antworten durchsucht, bin aber nicht fündig geworden.

 

[JoGi65]

Bist Du sicher, dass das Systemabbild wirklich verschlüsselt (Bitgelockt) gespeichert wird?
Offensichtlich verwendest Du ja zwei Sicherungen.
In dem Fall würde ich auf die externe Platte direkt vom PC sichern, und diese auch mit Bitlocker verschlüsseln. Die kannst Du dann grundsätzlich an jedem PC lesen.

 

[dwight66]

BitLocker schützt nicht gegen Ransomware. Wenn man angemeldet ist auf einen Windows PC ist, wird Ransomware nicht mehr gestoppt mit BitLocker. BitLocker schützt gegen unautorisierte Zugang wen der Angreifer der Festplatte (eventuell inklusive Laptop o.a.) in seiner Besitz hat.
Die wichtigste Daten auf eine Festpalette sind die Daten die man selber erstellt hat und nicht ersetzt werden können. Die restliche Daten auf der Festplatte sind Programme die man wieder über neu installieren zurück bekommen kann. (Ist nur einen menge Arbeit das man mit einen Systemabbild etwas beschleunigen kann. Die muß nicht unbedingt mit BitLocker sein. Das kann man später aktivieren.) Da hilft nur eine gute Backup Strategie mit Versionierung oder eine die mit vom Hand zu trennender Medium funktioniert um die nicht zu ersetzen Daten zu speichern.

 

[paraglider]

@ JoGi65,

danke für deine Antwort!

Ein Teil der Daten auf meinem PC ist nicht verschlüsselt und auf die kann ich auch auf der externen Festplatte einfach zugreifen.

Die Daten, die auf dem PC verschlüsselt sind, sind es auch auf der externen Festplatte. Die Verzeichnisnammen sehen alle so aus @Name@ und die Namen der Unterverzeichnisse haben nichts mit den ursprünglichen Bezeichnungen zu tun und beginnen alle mit ECRYPTFS_FNEK_ENCRYPTED... (und haben keine lesbaren Inhalte). Nachdem die DS externe Backups nicht verschlüsselt (es erscheint extra ein entsprechender Hinweis), müsste das die Verschlüsselung durch BitLocker sein. Wenn ich diese Daten mit einem anderen Rechner unter Zuhilfenahme der BitLocker-Wiederherstellungsschlüssels lesen könnte, wäre mir auch geholfen (falls das möglich ist, wie geht das?).

Die DS enthält weit mehr Daten als mein PC (wird als Archiv genutzt). Da die DS ständig in Betrieb ist möchte ich den gesamten Inhalt wöchentlich woanders sichern (und das aus Sicherheitsgründen abwechselnd auf 2 verschiedene externe Festplatten). Eine Sicherung direkt vom PC würde nur einen geringen Teil der zu sichernden Daten abdecken.

@dwight66

Den BitLocker verwende ich auch nicht gegen Ransomware (sondern dafür, falls das Notebook in unbefugte Hände gerät). Um (u.a.) gegen Ransomware gewappnet zu sein erstelle ich regelmäßige Backups meiner DS abwechselnd auf zwei externe Festplatten, die nach dem Backup von der DS getrennt werden (also kein Zugriff durch Ransomware möglich). Ich denke, dass dieses Konzept soweit passt.
Schwachstelle (aus meiner laienhaften Sicht) ist aber die BitLocker-Verschlüsselung auf der externen Festplatte, die die Verwendbarkeit für mich im Ernstfall unmöglich macht. Oder ist das kein Hindernis (siehe oben)?

Grüße,
paraglider

 

[dwight66]

@Paraglider: Backup mit getrennte Festplatten ist in Ordnung. Sorge bitte dafür das bevor der Backup anfängt, du sicher bist das zurzeit keine Daten Verschlüsselt sind mit Ransomware. Sonnst nutzt der Backup auch nicht mehr als die Daten überschrieben werden auf de Backup Festplatte.
Wenn ich mit Google suche nach "ECRYPTFS_FNEK_ENCRYPTED" Deutet alles darauf hin das der Verschlüsselung mit einen Ubuntu (oder ähnliches wie Lubuntu) verschlüsselt ist. (Und vermutlich nicht BitLocker.) Persönlich finde ich einen Backup von verschlüsselte Daten nur sinnvoll wenn ich sicher bin das ich die auch wieder herstellen kann. Wenn ich das nutzen wurde, werde ich das auf jedem Fall vorher Prüfen. (Nehme einen PC worauf die Backup nicht hergestellt ist und versuche einmal die Daten (alle!) wieder her zu stellen. Wenn man erst dann entdeckt das es nicht funktioniert als der Restore wirklich gebraucht wird, ist der Backup nur Datenmull.

 

[paraglider]

Hallo dwight66,

ich habe aktuell kein Problem mit Ransomware! Das Backup auf den externen Festplatten soll nur (unter anderem) für genau diesen Fall - der hoffentlich nie eintritt - vorsorgen.

Auf meinem Rechner läuft kein Linux (und ist auch nie gelaufen).

Ich möchte ja die Daten auf der externen Festplatte unverschlüsselt speichern (das war ja meine Frage ganz zu Beginn), oder sicher sein, sie wieder entschlüsseln zu können (das war meine zweite Frage im ersten Beitrag).

Grüße,
paraglider

 

[JoGi65]

@ JoGi65,

.... wäre mir auch geholfen (falls das möglich ist, wie geht das?).

Die DS enthält weit mehr Daten als mein PC (wird als Archiv genutzt). Da die DS ständig in Betrieb ist möchte ich den gesamten Inhalt wöchentlich woanders sichern (und das aus Sicherheitsgründen abwechselnd auf 2 verschiedene externe Festplatten). Eine Sicherung direkt vom PC würde nur einen geringen Teil der zu sichernden Daten abdecken.

Das Rücksichern wirst Du versuchen müssen. Mit dem gleichen Programm, mit dem Du sicherst, Rücksichern und schauen was es spricht.
hab schon vor langer zeit aufgehört die Windows eigene Sicherung zu verwenden, da ich immer Rechteprobleme mit dem Rücksichern übers NW hatte.
Es ist auch schwirig zu sagen, ob ein ev. vorhandenes TPM am PC, nicht ein Rücksichern von verschlüsselten Daten auf ein anderes Gerät ausschließt.
Vor allem mit neuen SSDs die da auch noch ihren eigenen Senf dazugeben wird das interessant.

Ich sichere meine Daten, die Bitlocker verschlüsselt sind, direkt "von der entschlüsselten SSD" in ein "verschlüsseltes Verzeichnis" der DS. Dann diese auf eine zweite DS, wo das Verzeichnis auch verschlüsselt ist. damit stehen die Daten, ohne die Bitlocker Verschlüsselung auch anderen zur Verfügung, die den DS Schlüssel wissen, und du bist unabhängig von etwaiigen Eigenheiten der Bitlocker Sicherung.

Wenn Bitlocker in die Preboot Authendifikation fürs Bootlaufwerk mit TPM und SSD mit Verschlüsselungsunterstützung integriert ist, so wie größtenteils bei mir, würde ich das Rücksichern unbedingt "pro Gerät!" ausprobieren. Das ist schon ganz schön komplex, was sich da abspielt. Und Du brauchst auch einen Ausdruck, oder zweiten Rechner, um die langen Bitlockerschlüssel zu lesen, da das sicher nicht mit dem normalen so einfach geht. Je nach Rechner, brauchst den schon beim Bios Update.
Wenn ich das austesten rechne, hab ich inzwischen das C laufwerk schon neu aufgesetzt. Abgesehen davon, das Du nie weißt, was in irgendeinem Patch von MS für Änderungen an Bitlocker vorgenommen werden. Da heißt es dann echt lesen bei allem was Du tust.

 

[dwight66]

Meine Reaktion war auch als vorsorge gedacht. Sei froh das du keinen Randsomware hast. Es ist ärgerlich. Das auf deine Rechner noch nie Linux gelaufen hat nehme ich sofort von dir an. Mir hat es gewundert woher "ECRYPTFS_FNEK_ENCRYPTED" kam.
Du mußt die externe Festplatten nicht verschlüsseln wenn du einen vertrauten platzt hast wo du die Festplatte lagerst. Was mir immer 'angst' macht ist wenn de Daten verschlüsselt sind und ich aus irgend einen Grund der Schussel nicht mir hab wenn ich die Daten zurück setzen muß wegen einen Datenverlust auf meine Hauptdatenträger. Also, überleg wie sicher ist der Platz wo die Festplatten gelagert sind gegen das Risiko von das verlieren der Verschlüsselungsschlussel. (Und vergiß nicht das ganze dann auch zu testen ob es funktioniert.) Du gibst an das die Festplatten sicher gelagert werden, dann wurde ich auf Verschlüsselung verzichten.