Hilfe bei Gestaltung meiner Datensicherheit/Backupstrategie

[LMGP]

Vorweg: Ich habe schon umfassend recherchiert, würde mich als technisch nicht ganz doof bezeichnen, aber ich komme bei vielem als IT-Laie mittlerweile ziemlich schnell an meine Grenzen und stürze von einem Rabbit-Hole zum Nächsten…und hab dann meistens mehr Fragen als vorher. Und ehrlicherweise habe ich auch keine Lust das Thema zu meinem Hobby zu machen. Ich möchte meine Daten und Passwörter einfach nur bestmöglich schützen und sichern, ohne daraus eine Wissenschaft zu machen.

Deshalb ersuche ich mir jetzt mal Hilfe von Leuten, die sich hoffentlich wirklich damit auskennen.

Was möchte ich sichern?

• Passwörter(1password)
• Persönliche Dokumente und Daten
• Bilder
• Musik
• Mein 2FA Tresor

Welche Geräte:

• PC + perspektivisch Mac
• Laptop
• iPhone
• NAS (Synology. Eigenbau mit TrueNAS bzw. HexOS habe ich in Erwägung gezogen, aber ich weiss nicht ob ich das sauber installiert bzw. mit möglichst geringem Aufwand gepflegt bekomme. Ganz abgesehen von der Bedienungsfreundlichkeit)

Was ist mir wichtig?

• Geräte- und Hardwareunabhängig. Falls mein iPhone oder sonst was plötzlich den Geist aufgibt, möchte ich trotzdem schnell an meine Daten kommen. Beispiel ich sitze im Ausland, mein Pass geht verloren und mein iPhone geht plötzlich kaputt -> Wie komme ich da von jedem x-beliebigem Gerät ran?
• Möglichst OpenSource/Kosten geringhalten. Völlig umsonst wird’s das alles nicht geben, aber mehrere hundert € im Jahr sollte das Ganze auch nicht kosten
• Einfache Bedienung. Möglichst einmal aufsetzen und sollte sich nichts grundlegendes Verändern, läuft das alles von allein.
• Sicherheit. 100% Sicherheit wird es aber wohl nie geben
• Zukunftsfähigkeit. Ich möchte ungern von einem Anbieter/einer Software abhängig sein. Als Beispiel: Irgendein Programm zum Verschlüsseln, dass eine proprietäre Technologie verwendet. Was ist in 10 Jahren, wenn es das Programm einfach nicht mehr gibt? Wie komme ich an meine verschlüsselten Daten?

Bisher bin ich in Sachen Backup etc. ziemlich fahrlässlig und schiebe alle paar Monate das Wichtigste auf eine externe HDD.

Mein Plan für Backups:

• Einrichten des NAS mit RAID1. Tägliches Backup vom PC -> NAS mit den wichtigsten Daten. Daten, die verschlüsselt werden sollen, werden 1x täglich inkrementell verschlüsselt
• Verschlüsseltes Image + unverschlüsselte Sachen (hauptsächlich Musik) werden 1x täglich inkrementell zu einem deutschen Cloudanbieten hochgeladen
• Zusätzlich ab und an verschlüsseltes Image auf 2xHDD. HDD werden wasser-/stoßfest gelagert. Eine HDD geht in ein Bankschließfach o.ä.

Welche Software/welcher Cloudanbieter kann man hier empfehlen? Hetzner? Welches von den vielen angebotenen Zugriffsprotokollen sollte man da wählen? Software habe ich mir bisher restic bzw. rclone angeschaut und Sachen wie Veam. Software nur als Einmalkauf, möchte nicht noch mehr Abos. Da sind dann leider schon viele der bei reddit empfohlenen Sachen rausgefallen…Oder einfach die Synology-Lösung verwenden? Wichtig wäre mir, dass die iPhone-Bilder irgendwo sicher liegen.
Ich habe mega schlechten Upload in meiner Wohnung. Für kleinere Uploads über Nacht sollte das reichen, aber für ein initiales Backup, würde ich gern einfach eine verschlüsselte HDD zusenden.

Plan für Passwörter /2FA:

• Alles in 1password gespeichert
• Passwort für 1password/Verschlüsselung eingraviert auf Metallvisitenkarten (mehrere Passwörter, nur ich weiss welches das richtige Passwort ist). Davon mehrere (1x im Geldbeutel, versteckt in der Wohnung, bei Familie, Bankschließfach)
• 2FA: wie stelle ich sicher, dass ich auch 2FA zB von meinem PC ausführen kann bzw. einem Fremdgerät? Da hat mich dann die Motivation verlassen, um mich tiefer einzuarbeiten. Nutze den MS Authenticator

Danke auf jeden Fall schonmal fürs Durchlesen, vielleicht hat der ein oder andere ja ein paar Meinungen dazu.

Edit: Macht es Sinn sowas wie einen Yubikey in das Ganze zu integrieren? Hauptsächlich würd ich gern möglichst aufs Eingeben von Passwörtern verzichten und einfach schnell den Key ans Handy halten/ in den PC stecken.

 

[Eye-Q]

Du hast dir schon sehr viele Gedanken gemacht, das finde ich gut, allerdings gibt es nichts, was alle deine Anforderungen erfüllt, sonst würde diese Lösung jeder verwenden. Alleine durch die Anforderung, dass Du erstmal eine verschlüsselte HDD als initiales Backup irgendwo hin schicken möchtest, fallen wohl schätzungsweise 90% der Anbieter weg, da die allermeisten das nicht anbieten.

Deswegen: was ist dir am wichtigsten, auf was könntest Du am ehesten verzichten? Natürlich kommt im Endeffekt dann ein Kompromiss dabei heraus, das ist aber besser als wenn Du die unerreichbare perfekte Lösung suchst und nie mit einer ordentlichen Datensicherung anfängst.

2FA: wie stelle ich sicher, dass ich auch 2FA zB von meinem PC ausführen kann bzw. einem Fremdgerät?

In der Regel gibt es für eine 2FA einen Wiederherstellungsschlüssel, da gerade Smartphones gerne zum ungünstigsten Zeitpunkt ihren Geist aufgeben. Mit diesem kann auf einem beliebigen anderen Smartphone die 2FA neu eingerichtet werden.

 

[LMGP]

Der Hauptgrund warum ich gerne ein initiales Backup per "mail in Service" hätte: Wie erwähnt der Upload hier ist schlecht (peak 4Mbit) und ich hätte Angst, dass der Upload ne Woche läuft, dann plötzlich abbricht und das Image kompromittiert ist. Im schlimmsten Fall ohne, dass ich das direkt merke. Es sind jetzt keine TB an Daten, aber irgendeine bessere Alternative ist mir nicht bekannt. Bei jemand anderem Uploaden ist auch nicht möglich.

Deswegen: was ist dir am wichtigsten, auf was könntest Du am ehesten verzichten? Natürlich kommt im Endeffekt dann ein Kompromiss dabei heraus, das ist aber besser als wenn Du die unerreichbare perfekte Lösung suchst und nie mit einer ordentlichen Datensicherung anfängst.

Gute Frage auf was ich verzichten könnte. Würde denn die Synology-Lösung meine Bedürfnisse abdecken? Das Thema Passwortsicherheit würde ich mal getrennt sehen wollen und da denke ich bin ich ganz gut mit 1password aufgehoben. Lediglich das Sichern des MasterPW /Secret Key würde ich gerne optimieren/narrensicher/verlustsicher gestalten.

Habe mir aber grade mal ein paar SSDs und einen HDD Kopierer bestellt (https://www.startech.com/de-de/hdd/sdock2u313r). Somit kann ich die ganzen wilden durchgemischten externen HDDs mal ausmisten. Werden dann in ESD-Tüten und einen kleinen Outdoorkoffer mit Schaumeinlagen gepackt

In der Regel gibt es für eine 2FA einen Wiederherstellungsschlüssel, da gerade Smartphones gerne zum ungünstigsten Zeitpunkt ihren Geist aufgeben. Mit diesem kann auf einem beliebigen anderen Smartphone die 2FA neu eingerichtet werden.

Ich hab grad mal eine MS App geschaut. Unter den Einstellungen finde ich da nichts zum Thema Backup

 

[passat3233]

Backup auf ein NAS ist kein Backup, das den Namen verdient.
Ein richtiges Backup macht man auf einen Datenträger, der nur für die Zeit des Backups physisch angeschlossen ist.
D.H. sowohl Datenkabel als auch Strom.
Denn wenn der Backup-Datenträger ständig zugreifbar ist, dann wird z.B. bei einem Ransomwarebefall die Ransomware auch das Backup verschlüsseln. Dabei spielt es keine Rolle, ob die Verbindung per Kabel oder per WLAN vorhanden ist.
Und wenn der Backup-Datenträger ständig angeschlossen ist und es gibt z.B. eine Überspannung, wird diese nicht nur den PC, sondern auch den Backup-Datenträger zerstören.
Gibt es einen Brand, wird der Backup-Datenträger auch Opfer des Feuers.
Deshalb sollte der Backup-Datenträger zumindest in einer anderen Brandzone gelagert werden, idealerweise aber außer Haus, z.B. in einem Bankschließfach.
Und man sollte immer mehrere Backup-Datenträger haben, die man abwechselnd nutzt.
Im Fall eines Hardwaredefektes kann man so einen älteres Backup zur Wiederherstellung nutzen.
Dann sind nur die Daten, die zwischen den beiden Backups neu oder geändert sind, verloren, aber nicht alle Daten.
Im Privatbereich hat sich da das 3er Prinzip bewährt:
1. Backup auf Datenträger 1
2. Backup auf Datenträger 2
3. Backup auf Datenträger 3
4. Backup auf Datenträger 1 (Das 1. Backup wird überschrieben)
5. Backup auf Datenträger 2 (Das 2. Backup wird überschrieben)
etc.

Offline-Datenträger wären z.B. LTO-Band und USB-Festplatten.
CD-R, DVD-R und BD-R gingen auch, scheiden aber wegen deren geringer Kapazität aus.
LTO ist für Privatanwender überdimensioniert.
Bleibt als einzige wirklich praktikable Lösung USB-Festplatten.

Ein NAS kann man als Zwischen-Backup nehmen.
Also erst Backup auf ein NAS, dann ein Backup vom NAS auf eine USB-Festplatte.

Wenn du eine Fritzbox hast:
Die allerwichtigsten Daten (und Musik gehört zB. nicht dazu. Darauf kann man auch verzichten, bis man wieder zu Hause ist) auf eine USB-Platte kopieren und die an die Fritzbox anschließen.
Dann in der Fritzbox MyFritz und VPN einrichten.
Dann kannst du von überall in der Welt per VPN auf die USB-Platte an der Fritzbox zugreifen.

Was die 10 Jahre angeht:
Für Firmen gibt es da gesetzliche Vorschriften.
Es gibt für viele Daten da gesetzliche Aufbewahrungsfristen.
Und die Firmen sind verpflichtet, die aufbewahrten Daten so aufzubewahren, das die auch am Ende der Aufbewahrungsfrist noch gelesen werden können.
Wurden die damals z.B. mit einer Soft- und Hardware gemacht, die es schon lange nicht mehr gibt, und oder die Daten von aktueller Hard- und Software nicht mehr gelesen werden können, so müssen die Firmen auch die damals verwendete Soft- und Hardware aufbewahren!

Und was das automatisch angeht:
Das gibts nur im professionennel Bereich in Form von Bandmagazinen, bei deinen ein Autoloader automatisch das Band wechselt.
Cloud halte ich aus Geschwindigkeitsgründen für wenig praktikabel.
Da braucht man schon einen sehr schnellen Zugang.
Und selbst die schnellsten Zugänge sind immer noch deutlich langsamer als übers LAN bzw. USB.
Und man hat laufende Kosten.

Was Dokumente angeht:
Viele Dokumente werden als Kopie nicht anerkannt.
Beispielsweise der Fahrzeugschein muß als Original vorhanden sein.
Hast du bei einer Verkehrskontrolle nur eine Papierkopie oder einen Scan auf dem Smartphone dabei, ist das rechtlich identisch damit, das du den Fahrzeugschein gar nicht dabei hast und bekommst entsprechend ein Bußgeld aufgebrummt.
Auch andere Dokumente sind nur im Original gültig.

 

[LMGP]

Erstmal danke für die ausführliche Antwort, aber ein bisschen geht dein Post an meiner Fragestellung vorbei.

Natürlich weiss ich, dass ein NAS kein Backup ist. Aber wie du siehst betreibe ich mehrere Geräte und kann damit von allen meinen Geräten immer auf alle meine Dateien zugreifen. Ausserdem würde ich mir mit z.B. einem NAS von Synology gleich eine Backuplösung für meine Geräte einkaufen (Synology Drive). Die Frage ist halt, ob da nicht eine andere Lösung sinnvoller wäre. Aber ich befürchte, dass die Synologygeschichte für mich am einfachsten umsetzbar sein wird.

Wie schon erwähnt soll die Cloud lediglich als Offsite Backup dienen. Und ich denke nach dem initialen Upload, sollte über Nacht das bisschen was ich an Daten tagsüber fabriziere schon hochgeladen werden können (deswegen ja inkrementell).

Für Firmen gibt es da gesetzliche Vorschriften.
Es gibt für viele Daten da gesetzliche Aufbewahrungsfristen.
Und die Firmen sind verpflichtet, die aufbewahrten Daten so aufzubewahren, das die auch am Ende der Aufbewahrungsfrist noch gelesen werden können.
Wurden die damals z.B. mit einer Soft- und Hardware gemacht, die es schon lange nicht mehr gibt, und oder die Daten von aktueller Hard- und Software nicht mehr gelesen werden können, so müssen die Firmen auch die damals verwendete Soft- und Hardware aufbewahren!

Bei dem Punkt gehts mir eher um folgendes Szeanrio oder ähnliche: Jemand empfiehlt mir eine ganze tolle OpenSource Verschlüsselungssoftware. Damit verschlüssele ich alle meine Daten bevor sie in die Cloud gehen. In 10 Jahren wird das Tool aber nicht mehr gewartet und ich kann nichtmehr entschlüsseln. Mit irgendeiner Firma bei der die Daten aufbewahrt werden hat das erstmal nichts zu tun.

Und was das automatisch angeht:
Das gibts nur im professionennel Bereich in Form von Bandmagazinen, bei deinen ein Autoloader automatisch das Band wechselt.
Cloud halte ich aus Geschwindigkeitsgründen für wenig praktikabel.

Keine automatischen Backups auf externe Medienträger natürlich. Gut wenn man sich jetzt an dieser Begrifflichkeit "Backup" im professionellen Bereich aufhängen will, hast du natürlich recht. Aber mir reicht es wenn täglich die Daten vom PC/iPhone etc. automatisiert abgerufen und verschlüsselt in die Cloud geschoben werden. Ab und an dann auf externe Platten schieben und die lagern.

Was Dokumente angeht:
Viele Dokumente werden als Kopie nicht anerkannt.
Beispielsweise der Fahrzeugschein muß als Original vorhanden sein.
Hast du bei einer Verkehrskontrolle nur eine Papierkopie oder einen Scan auf dem Smartphone dabei, ist das rechtlich identisch damit, das du den Fahrzeugschein gar nicht dabei hast und bekommst entsprechend ein Bußgeld aufgebrummt.
Auch andere Dokumente sind nur im Original gültig.

Da gehts mir jetzt wirklich eher um solche Szeanieren wie oben beschrieben: Pass im Ausland verloren, Geburtsurkunde verloren, Haus ist abgebrandt mit allen Dokumenten. Ist das rechtlich gleichwertig? Sicher nicht, aber ein gescannter Pass oder eine gescannte Geburtsurkunde wird im Zweifel alles andere mindestens mal vereinfachen und den großen "Oh scheiße" Moment im Fall der Fälle vereinfachen.

Wie gesagt, danke für die Antwort, aber das ging jetzt alles eher in Richtung belehrung, als tatsächliche Hilfe