Backup: Strategien für verschlüsselte Datensicherung

Backup: Strategien für verschlüsselte Datensicherung

Datensicherung für Einzelpersonen, Teams und Unternehmen mit NAS oder Cloud-Diensten

∅ 3.8 / 14 Bewertungen

Datensicherung ist wie eine Lebens- oder Haftpflichtversicherung:

- Ganz darauf zu verzichten ist leichtsinnig, obwohl

- wir hoffen, dass wir sie niemals in Anspruch nehmen müssen, und

- wir es mit dem Sicherheitsdenken auch übertreiben können und dann zu viel Geld und andere Ressourcen hineinstecken.

Es gilt also auch bei der Datensicherung: Nicht zu viel und nicht zu wenig absichern. Eine zu häufige und zu umständliche Datensicherung wirkt wie ein Treibanker auf Ihre Abläufe und macht das alltägliche Geschäft unnötig schwerfällig. Im schlimmsten Fall umgehen Sie und Ihre Mitarbeiter dann die Datensicherungsstrategie und stehen im Ernstfall doch wieder ohne aktuelles Backup da.

Daten sind Ihr Kapital

Wenn Sie beispielsweise Grafikdesignerin, Texter oder Entwicklerin sind, stellen Ihre Daten den größten Wert im Unternehmen dar. Wenn Sie also nur einmal wöchentlich ein Backup machen, kann im Fall eines Festplattenschadens – oder wenn Sie sich ein Virus einfangen – im schlimmsten Fall die Arbeit einer ganzen Woche verloren sein. Hinzu kommt außerdem noch ein Schaden, der sich nicht so leicht beziffern lässt: Wenn Sie aufgrund eines Datenverlusts Deadlines nicht einhalten können oder unter Zeitdruck schlechtere Arbeit abliefern, dann leidet Ihr Ruf beim Kunden und damit Ihre zukünftige Auftragslage oder Ihre Verhandlungsbasis für künftige Honorare. Solche Spätfolgen machen sich erst nach Wochen oder Monaten bemerkbar.

Zudem haben Sie oft im Rahmen eines Auftrags auch Zugriff auf die Daten anderer und unterliegen hier einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA). Diese Vereinbarung wird verletzt, wenn Sie eine ungeeignete, weil unsichere Backup-Strategie verwenden. Das kann – vom beschädigten Vertrauensverhältnis ganz abgesehen – Vertragsstrafen nach sich ziehen.

Sicheres Ablegen der Backups

Die Lösung hierfür ist eine regelmäßige und verschlüsselte Datensicherung. Doch wie lässt sie sich am besten umsetzen, wenn man viel von unterwegs und in der Cloud arbeitet und möglicherweise auch noch ein Online-Kollaborationstool nutzt, um mit anderen zusammenzuarbeiten?

Die Anforderungen 1.) einfaches und leicht zu bedienendes regelmäßiges Backup, 2.) Verschlüsselung und 3.) gutes Zusammenspiel mit der Online-Synchronisation im Team sind nicht ganz einfach unter einen Hut zu bringen. Es gibt aber einige brauchbare Werkzeuge, die wir im Folgenden beleuchten werden.

Verschlüsselung erschwert Synchronisation

Zuvor kurz ein paar Basics: Eine Verschlüsselung auf Ebene eines Datenträgers – wie beispielsweise einer Festplatte oder eines NAS – ist nur schwer mit der Synchronisierung zu vereinbaren, wenn mehrere Leute an den Daten arbeiten. Verschlüsselung auf Datenträger-Ebene bieten beispielsweise die Tools VeraCrypt (für Windows, Linux und OS X), FileVault (OS X) und BitLocker (Windows). Diese Tools sind also für die Verschlüsselung von Backups ganzer Teams eher wenig geeignet, sondern eher dann, wenn Sie Ihre privaten Daten oder geschäftliche Daten als Solo-Freelancer sichern möchten.

Für Teams besser geeignet ist eine Verschlüsselung auf Dateiebene, mit der beispielsweise verschlüsselte Cloud-Dienste arbeiten.

Datensicherung für Einzelkämpfer

Wenn Sie allein und nicht in der Cloud arbeiten, dann hängt Ihre Datensicherungsstrategie lediglich von der Antwort auf folgende Frage ab:

Welchen Datenverlust können Sie maximal verschmerzen?

Sicherung auf externe Medien

Das Mindestprogramm für den Freelancer ist eine einmal tägliche Datensicherung auf eine externe Festplatte oder einen USB-Stick. Zusätzlich ist es sinnvoll, ein- bis zweimal wöchentlich auf einen weiteren Datenträger zu sichern, der dann außerhalb des Büros aufbewahrt wird. Dies schützt Sie im Falle von Einbruch oder anderen Schäden. Beide Sicherungsmedien, besonders aber der Datenträger, der außerhalb des Büros gelagert wird, sollten verschlüsselt sein – beispielsweise mit VeraCrypt (Open Source, verfügbar für Windows, Linux und OS X), FileVault (OS X, bereits enthalten) oder BitLocker (Windows, nur in einigen Editionen).

Automatisiertes Backup mit Time Machine und File History

Damit Sie das Backup nicht von Hand machen müssen, bieten sich beispielsweise in das Betriebssystem integrierte Backup-Dienste an. Unter OS X ist dies die Time Machine, unter Windows (ab Windows 8) die File History. Beide machen sogenannte inkrementelle Backups – das heißt, es werden nicht alle Dateien bei jedem Backup kopiert (sogenanntes Voll-Backup), sondern nur Dateien, die sich geändert haben. Und sowohl bei Time Machine als auch bei File History können Sie ein beliebiges Zeitintervall für die Datensicherung einstellen. File History ist beispielsweise auf eine stündliche Sicherung voreingestellt. Beide Tools bieten zudem eine Versionierung, mit der sie ältere Versionen geänderter Dateien wieder herstellen können.

Time Machine arbeitet mit FileVault unter OS X zusammen, um verschlüsselte Backups zu ermöglichen. Hier muss bei der Auswahl der Backup-Disk lediglich die Option „Encrypt“ gewählt werden. Währenddessen ist das Ablegen verschlüsselter Backups unter Windows mit File History und BitLocker eine Aufgabe für Bastler und nur auf Umwegen möglich.

Verschlüsseltes Backup auf NAS

Time Machine und File History können ihre Backups auch auf einem Network-attached Storage (NAS) ablegen. Ein spezielles NAS von Apple ist die Time Capsule. Sie kommt mit einer eigenen Verschlüsselungsoption, die in den Einstellungen der Time Capsule eingeschaltet werden kann. Daraufhin werden dann die Daten jeder Time Machine – also jedes Geräts, das seine Backups auf die Time Capsule legt – separat verschlüsselt. Sie können mit Apples Time Machine jedoch auch ein herkömmliches NAS verwenden. Auch dies wird gemacht, indem Sie einfach (vor der ersten Verwendung) in den Einstellungen des NAS die Option „Encrypt“ aktivieren.

Ende-zu-Ende-verschlüsselte Cloudspeicher

Eine gute Ergänzung zur automatisierten Sicherung auf einen Datenträger ist die Sicherung in einen Cloudspeicher. Hier sollten Sie einen Anbieter wählen, der Ende-zu-Ende-Verschlüsselung anbietet – denn wenn Sie Ihre Daten in einen unverschlüsselten Cloudspeicher wie Dropbox oder Google Drive übertragen, haben Sie keine Kontrolle darüber, wer die Daten in der Cloud zu sehen bekommt. Für Ihr intellektuelles Eigentum sowie auch für vertrauliche Daten Ihrer Kunden ist das ein Problem, dem Sie aus dem Weg gehen sollten – auch aus Haftungsgründen. Der Transport der Daten in den Cloudspeicher erfolgt dagegen in der Regel bei allen Anbietern mit SSL-Verschlüsselung.

Es gibt mittlerweile in Deutschland und auch international zahlreiche Anbieter von Ende-zu-Ende-verschlüsselten Clouds – also solchen Clouds, bei denen nicht einmal der Cloudbetreiber selbst Zugriff auf Ihre Daten im Klartext hat: das deutsche HornetDrive, das ungarisch-schweizerische Tresorit und das US-amerikanische SpiderOak , um nur einige zu nennen. Auf diese Lösungen gehen wir im nächsten Abschnitt näher ein.

Eine interessante Alternative zu diesen eigenständigen Programmen bietet die deutsche Firma Skymatic mit Cryptomator: Dies ist ein Tool, das Ihnen die verschlüsselte Nutzung von ansonsten unverschlüsselten Cloudspeichern wie beispielsweise Google Drive oder Dropbox gestattet. Eine ähnliche Lösung ist Boxcryptor , das für die Verwendung im Team zusätzlich noch eine Rechteverwaltung bietet. Cryptomator finanziert sich im Moment mit einem „Pay what you want“-Konzept; Boxcryptor ist für Privatnutzer kostenlos.

Datensicherung für kleine Teams

Im Gegensatz zum Solo-Selbstständigen stellt sich im Team die Frage, wie man Datensicherung so durchführt, dass die Online-Zusammenarbeit und -Synchronisation nicht behindert werden. Hier ist ein Tool empfehlenswert, das beide Funktionen – die Datensicherung und die Online-Kollaboration – bereitstellt und dies dann auch noch verschlüsselt. Gut geeignet ist auch hier wieder einer der oben erwähnten verschlüsselten Cloudspeicher: HornetDrive, Tresorit oder SpiderOak ONE bzw. SpiderOak Groups.

Verschlüsselte Cloudspeicher: HornetDrive, Tresorit, SpiderOak Groups

Diese verschlüsselten Cloudspeicher bieten zusätzlich zur Datensicherung eine Synchronisation von Ordnern im Team, die Möglichkeit, externen Kontakten Links zum verschlüsselten Download von Dateien zur Verfügung zu stellen und – je nach Produkt und gewähltem Plan – auch eine Versionierung von Dokumenten (siehe Tabelle).

Bei diesen verschlüsselten Lösungen müssen Sie im Auge behalten, dass Sie keinen Zugriff mehr auf Ihre Backups haben, wenn Sie das Passwort zu Ihrem privaten Schlüssel verlieren. Es ist also zu empfehlen, das Passwort separat davon sicher abzulegen (beispielsweise auf einem verschlüsselten USB-Stick oder als Papiernotiz an einem sicheren Ort).

HornetDrive

Tresorit

SpiderOak ONE

SpiderOak Groups

Automatisches Backup

+

+

+

+

Dateien bleiben lokal vorhanden

+

optional

optional

optional

Ordner-Sync zwischen verschiedenen Geräten

+

(auch mobil)

+

(auch mobil)

+

(auch mobil)

+

(auch mobil)

Ordner-Sync im Team (Kollaboration)

+

+

-

+

Rechteverwaltung im Team

+

+

-

+

Links zum verschlüsselten Download

+

+

Teilen per ShareRooms

+

Versionierung von Dokumenten

+

+

+

+

Preis (Monat)

ab 2,38 EUR (10 GB)

ab 20 EUR (Einzelnutzer), ab 16 EUR (2 – 9 Nutzer), ab 10 EUR (ab 10 Nutzern)

ab 5 USD (Einzellizenz, 100 GB)

ab 9 USD pro User (ab 10 Usern)

Das heißt: Sie können HornetDrive, Tresorit und SpiderOak Groups in Ihrer täglichen Arbeit im Team verwenden und damit sicherstellen, dass Dateien untereinander stets synchronisiert und auf dem aktuellen Stand sind. Der Dienst fungiert dabei auch als Backup-Dienst. Die Synchronisierung kann jederzeit bei einer Internetverbindung erfolgen, Sie können aber auch andere Intervalle wählen. Durch das Teilen von verschlüsselten Download-Links, die nach einer gewissen Zeit ablaufen, wird auch die Zusammenarbeit mit Externen, beispielsweise Kunden oder Dienstleistern, sicherer gestaltet.

tresorit_screenshot

Abbildung 1: Gute Benutzerführung: Tresorit

In unserem Test machte Tresorit den benutzerfreundlichsten Eindruck (Abb. 1), während die Oberfläche von HornetDrive recht minimalistisch ist (Abb. 2).

hornetdrive_screenshot

Abbildung 2: Minimalistische Oberfläche mit sparsamen Erklärungen: Hornet Drive

Das hier getestete SpiderOak ONE (Abb. 3) ist dagegen nicht ohne Weiteres selbsterklärend, obwohl es sich bei ONE um die Version für Privatanwender handelt.

spider_oak_screenshot

Abbildung 3: Menüs nicht ganz einfach zu verstehen: SpiderOak ONE

Verschlüsselung herkömmlicher Cloudspeicher mit Boxcryptor

An dieser Stelle lohnt sich auch noch einmal ein näherer Blick auf das oben erwähnte Boxcryptor. In Boxcryptor lassen sich innerhalb einer Firma Gruppen zu Kollaborationszwecken anlegen. Die übergreifende Firma kann ein eigenes Schlüsselpaar haben, mit dem sich ohne Kenntnis der Passwörter der einzelnen Nutzer deren Nachrichten entschlüsseln lassen. Im Gegensatz zu den oben beschriebenen Lösungen gibt es hier also die Möglichkeit, die Inhalte trotz verlorenem Passwort wiederherzustellen.

Projektstruktur im Backup erhalten

Um sicherzustellen, dass auch die Projektstruktur in den Sync- und Backup-Daten erhalten bleibt, sollten Sie für Ihr Team bestimmte Konventionen zur Benennung von Ordnern festlegen: beispielsweise eine einheitliche Bezeichnung für jeden Kunden (Hauptordner) mit jeweils einheitlicher Bezeichnung für jedes Projekt (Unterordner). So verhindert man ein wüstes Durcheinander von Ordnern auf einer Ebene, die wahlweise nach Kunden, Projekten, Veranstaltungen, Technologien oder ohne jedes wiedererkennbare System benannt sind.

Beispiel:

Ordner der 1. Ebene – Kundenname

Ordner der 2. Ebene – Projekt- oder Angebotsname sowie pro Kunde ein Ordner mit „Meta-Dateien“ (Rahmenverträgen etc.)

Ordner der 3. Ebene – branchenabhängig, z.B. „Recherche“, „Texte“ und „Abbildungen“ für Texter, sprachenspezifische Struktur für Programmierer

Empfehlenswert ist für das einzelne Teammitglied zusätzlich auch eine tägliche Datensicherung wie oben unter „Einzelkämpfer“ beschrieben, denn in der Regel werden nicht alle Daten (sofort) in die Cloud geschickt. Abhängig von der Upload-Geschwindigkeit an Ihrem (ständigen oder temporären) Arbeitsplatz kann die Synchronisation großer Dateien oder Verzeichnisse auch schon einmal mehrere Tage dauern.

Individuelle Backups auch im Team

Das individuelle Backup der Laptops der Teammitglieder kann entweder auf individuelle Datenträger oder in einen zentralen Datenspeicher gehen. Das kann/können externe Festplatten sein oder ein sogenannter Network-attached storage (NAS), der vom WLAN des zentralen Büros aus oder von außerhalb per Virtual Private Network (VPN) erreichbar ist. Ein VPN ist gewissermaßen ein verschlüsselter Kanal, der es ermöglicht, Daten vertraulich durch das ansonsten unverschlüsselte Internet zu schicken. Hierzu benötigt man auf dem Start- und auf dem Zielrechner ein Programm, einen sogenannten VPN-Client. Es sind zahlreiche Lösungen auf dem Markt, auch kostenlose Open-Source-Clients wie beispielsweise OpenVPN. Die Einrichtung eines VPN ist jedoch ihrerseits wieder mit Aufwand verbunden.

Datensicherung für größere Teams

Für größere Teams – insbesondere, wenn Sie einen ITler an Bord haben – kann es sich schon lohnen, eine eigene Cloud zu installieren. Dies hat den Vorteil, dass einerseits alle Teammitglieder, auch von zu Hause und unterwegs, auf die Daten zugreifen können – eine echte Cloud eben. Andererseits können Sie selbst bestimmen, wo Ihre Daten liegen, also auf Ihrem eigenen Server oder einem Server, den Sie zu diesem Zweck bei einem Provider (wie etwa Hetzner, Strato oder 1&1) gemietet haben. Eine eigene Cloud können Sie beispielsweise mit OwnCloud oder NextCloud betreiben. Die beiden Systeme sind ähnlich, denn NextCloud beruht auf einer früheren Version von OwnCloud.

Hier kommen dann professionelle Backup-Lösungen infrage, mit denen die Daten in der eigenen Cloud gesichert werden, wie beispielsweise das kostenlose und quelloffene Bareos oder Acronis. Diese können so konfiguriert werden, dass die Backups automatisch durchgeführt werden. Als Backup-Medien sind hier Festplatten mit RAID 6 oder Tapes geeignet.

Wenn Sie erst einmal testen möchten, wie Sie mit OwnCloud zurechtkommen, können Sie auch eine fertig installierte OwnCloud bei einem Provider mieten. Für geringe Speicherplatz-Ansprüche kann das sogar kostenlos sein. Hier sind die Daten aber wiederum nicht sicherer als etwa bei Dropbox oder Google Drive, denn jeder, der Zugriff auf den OwnCloud-Server hat, kann die Daten entschlüsseln und lesen. Testen Sie also OwnCloud am besten bei einem der Provider mit unkritischen Daten und überlegen Sie dann, ob es Ihnen gut genug gefällt, um einen eigenen Server aufzusetzen.

Fazit

Die Datensicherung für Solo-Selbstständige ist recht einfach – die größte Hürde liegt oft darin, sich zu kümmern. Infrage kommen sowohl Datenträger oder NAS vor Ort als auch Cloud-Lösungen.

Sobald zwei und mehr Personen online zusammenarbeiten und eine vernünftige Lösung zur Synchronisation notwendig wird, ist das verschlüsselte Backup kaum noch ohne eine spezialisierte Cloud-Lösung zu bewältigen. Für kleine und große Teams stehen hier beispielsweise HornetDrive, Tresorit und SpiderOak Groups zur Auswahl, die jeweils an die Teamgröße angepasste Pläne anbieten. Die Kosten liegen im Durchschnitt um die 10 EUR pro Monat und User – mehr bei kleinen, weniger bei großen Teams. Warnhinweis: In der Regel können Sie nicht mehr auf die Inhalte Ihrer Backups zugreifen, wenn Sie das Passwort zu Ihrem privaten Schlüssel verloren haben – legen Sie diesen also sicher ab (digital verschlüsselt oder als Papiernotiz).

Erst dann, wenn man auch ITler im Team oder gar eine spezialisierte IT-Abteilung hat, ist die Einrichtung einer eigenen Cloud-Lösung sinnvoll, etwa mit OwnCloud oder NextCloud.