Sicherheit

Datensicherheit & Datenschutz: Deep-dive Backup Strategie

by
published on

 

Die Lebensversicherung: Warum „Cloud“ kein Backup ist

Was ist der Unterschied zwischen Cloud-Synchronisation und Backup? Eine Cloud-Synchronisation (z. B. OneDrive) spiegelt Daten in Echtzeit: Wird eine Datei lokal gelöscht oder verschlüsselt, passiert das Gleiche sofort in der Cloud. Ein echtes Backup hingegen ist eine getrennte, versionierte Kopie auf einem separaten Medium, die unabhängig vom Original existiert und vor Datenverlust durch Ransomware, Fehlbedienung oder Account-Sperren schützt.

Eine Datei, die nicht an drei verschiedenen Orten existiert, existiert gar nicht. Wer sich auf Google Drive oder Dropbox verlässt, hat kein Backup, sondern nur eine Kopie, die bei einem Sync-Fehler sofort mitgelöscht wird. In diesem Deep-Dive lernst du die legendäre 3-2-1-Regel kennen. Wir planen nicht nur das Speichern, sondern den Ernstfall: Das Recovery. Damit ein Festplattentod oder ein Virus nicht das Ende deiner digitalen Existenz bedeutet.

Inhalt des Guides:

Dieser Artikel ist Teil meines großen Datensicherheit & Datenschutz: Der pragmatische Guide gegen Daten-GAU . Während wir dort die Übersicht behandeln, steigen wir hier tief in das Thema Backup-Strategien ein.

Weitere Beiträge im Guide:

  1. Deep-dive wie schütze ich meine Daten vor Zugriff?
  2. Deep-dive sicheres Surfen
  3. Deep-dive Backup Strategie

Inhalt dieses Beitrags um Tema Thema Backup-Strategien

ZURÜCK ZUM GUIDE ZURÜCK NACH OBEN

Die 3-2-1-Regel: Warum drei Kopien dein Minimum sind

Was ist die 3-2-1-Backup-Regel? Die 3-2-1-Regel besagt, dass man mindestens drei Kopien seiner Daten besitzen sollte, auf zwei unterschiedlichen Speichermedien (z. B. Festplatte und NAS), wobei eine Kopie physisch an einem anderen Ort (Cloud oder Büro) gelagert werden muss, um gegen Brand, Diebstahl oder Ransomware geschützt zu sein.

Manche Dinge im Leben sind optional – diese Regel gehört nicht dazu (3-2-1 Regel bei Wikipedia). Sie ist das digitale Äquivalent zum Anschnallgurt: wenn der Ernstfall eintritt, wie komme ich da mit minimalem Schaden wieder raus?

  • 3 Kopien: Dein Original und mindestens zwei Backups der Daten.

  • 2 Medien: Speicher die Backups auf unterschiedlichen Datenträgern, besser Technologien (z. B. eine externe Festplatte und ein NAS). Warum? Common-Cause Fehler vermeiden, etwa weil Festplatten-Serien oft denselben Fabrikationsfehler haben, ein physisches Schadenereignis alle verbauten Drives beschädigen kann, etc.

  • 1 Kopie außer Haus: Wenn deine Bude brennt, hilft dir die externe Platte im Schreibtisch gar nichts. Eine Kopie gehört in die Cloud oder ins Schließfach.

Wichtig hierbei ist die Betrachtung der individuellen Schadenvektoren bzw. Risiken – siehe Folgender Abschnitt.

ZURÜCK ZUM GUIDE ZURÜCK NACH OBEN

Die Schadensvektoren - wogegen will ich mich eigentlich schützen?

Ein effektives Backup-Konzept muss gegen fünf Hauptrisiken schützen: Hardware-Defekte, menschliches Versagen (Löschen), physische Zerstörung (Brand/Diebstahl), Cyber-Angriffe (Ransomware) und den Verlust des Cloud-Zugriffs.

Deine Strategie muss zu deinen Risiken passen. Hier sind die Klassiker:

  1. Festplattendefekt: Die simple Hardware-Panne – auch das, was m häufigsten eintritt. Hier rettet dich jede lokale Kopie auf einem anderen Datenträger.

  2. Wohnungsbrand (weniger: Blitzschlag, Wasserschaden): Der Totalverlust. Alles, was physisch im Haus war, ist Schrott. Im Worst Case schaffst du es nichtmal dein Handy mitzunehmen, während du die Haustiere rettest. Hier zieht nur des "Offsite"-Backup. Durch den Verlust aller Geräte wird die Recovery zur Herausforderung – siehe nächster Abschnitt!

  3. Einbruch: Wie oben, deine gesamte Hardware ist weg – nur jemand Fremdes hat sie. Hier brauchst du ein Offsite-Backup (ink. der Probleme beim Recovery) und Verschlüsselung (dazu später mehr).

  4. Verschlüsselungstrojaner (Ransomware): Die Endstufe. Die Schadsoftware verschlüsselt alles, was sie im Netzwerk findet – inkl. Cloud Drives. Hier rettet dich nur ein Backup, das zum Zeitpunkt des Angriffs nicht mit dem PC verbunden war (für Privatpersonen): Backup HD abgesteckt oder Cloud Backup, das nicht automatisch verbunden ist. Oder spezielle sog. „impregnable“ Backup Systeme (für Unternehmen), die es systemseitig unmöglich machen alte Backups zu verändern. Für die Älteren unter uns: CDs brennen damals, heute gibt es fertige Lösungen.

  5. Cloud-Exitus: Der Anbieter sperrt deinen Account (KI-Fehlalarm! - siehe das Cloud Missverständnis) oder das Rechenzentrum brennt ab (Datenverlust nach Brand im OVH Datacenter). Hier rettet dich die lokale Kopie deiner Cloud-Daten

Risikovektoren: auch die Backups sind gefährdet, deshalb sind mehrere Backups ohne Common-Cause Risiko nötig
Risikovektoren: auch die Backups sind gefährdet, deshalb sind mehrere Backups ohne Common-Cause Risiko nötig
ZURÜCK ZUM GUIDE ZURÜCK NACH OBEN

Warum Recovery zu Planen genauso wichtig ist wie das Backup selbst

Ein Backup zu haben beruhigt das Gewissen, aber ein funktionierendes Recovery rettet das Leben. Die meisten Backups scheitern im Ernstfall an zwei Dingen: Fehlende Passwörter oder sog. Common-Cause Fehler (siehe Schadensvektoren).

  • Die Passwort-Falle: Wenn dein Haus brennt und dein Passwort-Manager auf dem Laptop war, wie kommst du an den verschlüsselten Cloud-Speicher?

  • Das "Vergessen"-Risiko: Automatische Systeme sind super, bis man nach sieben Jahren merkt, dass man das Master-Passwort für die Archiv-Verschlüsselung nicht mehr weiß und die notierte Eselsbrücke vielleicht damals Sinn ergeben hat – heute aber scheinbar nicht mehr.

In Abhängigkeit von den Risiken (weiter oben) brauche ich zuverlässige Wege, wieder an die Daten zu kommen – besonders heikel bei Totalverlust bei Einbruch oder Brand!

Diese Wege dürfen aber selbst wiederum kein zusätzliches Angriffs-Potential bieten.

Nach dem Ernstfall ist die Recovery Strategie entscheidend - wie komme ich an mein Backup?
Nach dem Ernstfall ist die Recovery Strategie entscheidend - wie komme ich an mein Backup?

Tipps für Privatpersonen: z.B. einen versiegelten Brief bei Familie oder im Bankschließfach. Aber auch Familie kann neugierig sein, es kann eingebrochen werden, auch Bankschließfächer werden ausgeraubt – d.h. ist auch hier Vorsicht angebracht! „Security by obscurity“ hilft hier gegen den schnellen neugierigeren Login: Cloud Anbieter nicht nennen, ggf. Login Namen nicht nennen, wenn man ihn gut kennt, ggf. nur Teil des Passworts aufschreiben oder nur eine Eselsbrücke um sich wieder zu erinnern (die muss aber auch ach 5 Jahren noch verständlich sein – und nicht durch Social Engineering herauszufinden). Z.B. jmn4876.nh73k&lodh [Name Hautarzt, Zahnarzt] - Achtung bei Namen: davon gibt es nicht so viele, die kann ein Angreifer evtl. durch Ausprobieren lösen.

ZURÜCK ZUM GUIDE ZURÜCK NACH OBEN

Cloud-Missverständnis: Warum Google Drive und Dropbox allein nicht reichen

Synchronisation ist die größte Illusion von Sicherheit. Das Problem: Löschst du eine Datei auf dem Handy, löscht die Cloud sie auf dem PC. Werden deine Daten lokal verschlüsselt, schiebt der Sync-Client die verschlüsselten (kaputten) Daten sofort in die Cloud. Und Anbieter können auch noch deinen Account sperren.

Synchronisation ist kein Schutz: Wenn ein Virus deine Dateien lokal schreddert, schiebt der Sync-Client die kaputten Daten fröhlich in die Cloud und überschreibt die guten. Cloud zählt nur dann als Backup, wenn Dateien versioniert werden und ich alte Versionen „im Batch“ wieder herstellen kann (niemand kann manuell im Browser 10.000 Dateien wieder herstellen).

Die Versionierungs-Falle: Verlasse dich nicht darauf, dass der Anbieter 30 Tage alte Versionen vorhält. Wenn du den Befall erst nach 31 Tagen merkst, weil du im Urlaub bist, ist Schicht im Schacht.

Der "Staatsanwalt"-Fehlalarm: Ein harmloses Foto von deinem Kind am Strand in deinem Cloud-Speicher kann den KI-Algorithmen triggern. Ergebnis: Konto ohne Vorwarnung gesperrt. Wenn dort deine gesamte Existenz lagert, hast du ein Problem.

Abhängigkeit: Was passiert, wenn dein Account gesperrt wird? Bei vielen Anbietern gibt es die Einstellung, dass nur in der Cloud vorgehalten werden und nur bei Bedarf heruntergeladen werden (z.B. bei OneDrive Standard). Wenn dein Account gesperrt wird, sind diese Daten weg.

Fazit: Cloud ist ein wichtiger Baustein (gegen Brand!) aber nicht alleine ausreichend.

ZURÜCK ZUM GUIDE ZURÜCK NACH OBEN

Praxis Tipp: Backup Strategien – wie sichere ich meine Daten richtig?

Vergiss das Wort "RAID", wenn es um Sicherheit geht. Ein RAID 5 sorgt nur dafür, dass du weiterarbeiten kannst, wenn eine Platte stirbt. Es schützt null vor Löschen oder Viren. Hier eine Anleitung nach 1-2-3 Regel: Lokal arbeiten, lokal sichern, extern auslagern – für Privatpersonen, Selbstständige und kleine Unternehmen.

Vorweg: RAID ist kein Backup: Ein RAID 5 im NAS schützt vor dem Ausfall einer Festplatte, damit du weiterarbeiten kannst. Löschst du aber eine Datei, wird sie auf allen Platten gleichzeitig gelöscht. RAID = Verfügbarkeit, Backup = Sicherheit.

Wichtig ist die Frequenz der Sicherung: es gibt Daten, die verändern sich ständig und die muss ich täglich sichern, und solche die verändern sich sehr selten, da reicht eine manuelle Sicherung on-demand (z.B. Urlaubsfotos).

Fassen wir zusammen:

  • 1 zusätzlicher physischer Ort → Brand oder Einbruch

  • 2 Speichermedien → Festplattendefekt

  • 3 Kopien (schon fast trivial, wenn man 1+2 erledigt hat)

  • Ergänzend: Recovery Plan und am besten regelmäßiger Recovery Test

Privatpersonen:

  • Fall: Alle Daten auf Laptop

  • Backup: Cloud Sync gegen Brand + Backup HD, die wöchentlich angesteckt wird, sonst getrennt bleibt (gegen Ransomware) – am besten „Habit“ draus machen: immer anstecken, wenn man den Wocheneinkauf macht, in den Club oder zum Gottesdienst geht.

Solo-Selbstständige:

  • Fall: Alle Daten auf Laptop

  • Backup: Cloud Sync gegen Brand + Backup HD, die täglich angesteckt wird, sonst getrennt bleibt (gegen Ransomware) – am besten „Habit“ draus machen: immer in Mittagspause

Kleine Firmen:

  • Fall: NICHT alle Daten auf einem Laptop, sondern auf Share

  • Backup: hierfür passende Backup Lösung kaufen – am besten zwei: eine direkt online für das Share (OneDrive z.B. direkt bei Azure) und eine Offline Backup-Station (gegen gesperrten Account)

  • Bei eigenem Server immer RAID 5 einsetzen (gegen Festplattendefekt) – das ist kein Backup sondern sorgt für unterbrechungsfreies Arbeiten – dazu ein Backup an einem physisch getrennten Ort (Cloud, anderer Standort)

Für alle:

  • Der ultimative Test: Lösche* eine wichtige Datei und versuche, sie nur mit den Mitteln wiederherzustellen, die du im Notfall hättest (z. B. ohne den Zugriff auf den eingeloggten PC, ohne Passwort „im Kopf“). Klappt es nicht? Dann hast du kein Backup.

*:ok, evtl. nicht löschen sondern nur umbenennen...

 

ZURÜCK ZUM GUIDE ZURÜCK NACH OBEN

* * *

 Ende dieses Beitrags