Mit Bareos auf UCS Daten von Linux- und Windows Rechnern zentral sichern und im Katastrophen-Fall wiederherstellen
Regelmäßige Backups im Netzwerk durchzuführen ist eine Pflichtaufgabe. In Zeiten von Locky und anderen Erpressungstrojanern ist es im Schadensfall oft die einzige Möglichkeit, ohne Schutzgeldzahlungen wieder an die eigenen Daten zu kommen. Hier gibt es aber zusätzlich einiges zu beachten.
In der Stadt Dettelbach ist der Albtraum war geworden: Ein Trojaner sorgte Anfang Februar dafür, dass die unterfränkische Stadt nicht mehr an ihre Daten herankam, nachdem sich eine Schadsoftware auf den Computerservern installiert und die gespeicherten Daten verschlüsselt hatte. Vermutlich bekam der Trojaner „Tesla-Crypt“ durch das Öffnen eines E-Mail-Anhangs Zugang zu den Rechnern. In der Not entschied sich die Bürgermeisterin der Stadt für die Zahlung eines „Lösegeldes“. Auch wenn es sich in diesem Fall nur um 490 Euro handelte, kann man sicher sein, dass es sich in anderen Fällen schon um bedeutend größere Summen gehandelt hat. Die Dunkelziffer wird hier wohl groß sein.
Einen 100% Schutz wird es wohl nie gegen Trojaner geben, aber sehr wohl kann jeder Anwender und jedes Unternehmen durch unterschiedliche prophylaktische Maßnahmen, wie beispielsweise Backups und Desaster Recovery, eine sehr viel höhere Sicherheit für die gespeicherten Daten erreichen.
Eins vorweg: Backup schützt nicht vor Virenbefall oder anderen Schäden. An erster Stelle der „Business Continuity“ Strategie stehen nach wie vor die gängigen Schutzmechanismen gegen Angriffe aller Art. Ist aber trotz aller Vorsicht der Schadenfall eingetreten und wichtige Daten sind verloren oder durch Trojaner verschlüsselt, kann ein gutes Backupkonzept den Schaden mindern oder sogar ganz beseitigen.
Mit Bareos auf UCS kann im Handumdrehen ein zentrales Backup für Linux- und Windows- Rechner implementiert werden. Einfach Bareos aus dem App Center installieren, laut Dokumentation anpassen und in der Managementconsole für die Computer ‚Bareos Backup‘ aktivieren. Schon wird die Bareos-Konfiguration für die Clients automatisch erzeugt. Auf den Systemen muss nun nur noch der Bareos-Client installiert werden und die Konfiguration eingespielt werden. Fortan sichert Bareos regelmäßig und zuverlässig die Dateien wie eingestellt aus dem Netzwerk.
Die zu sichernden Daten können optional bereits auf dem Client mit individuellen Schlüsseln kryptographisch gesichert werden. Hier ist in jedem Fall eine besondere Sicherung der verwendeten Schlüssel geboten: gehen sie verloren oder werden durch einen Trojaner selbst verschlüsselt, so lassen sich die Daten später aus dem Backup nicht wieder entschlüsseln.
Ebenfalls besonders sorgsam müssen die Backup-Daten behandelt werden. Sind sie auf Bändern gelagert, droht keine unmittelbare Gefahr durch Trojaner. Bei Backup-to-disk muss jedoch unbedingt darauf geachtet werden, dass dieser Bereich nicht als Netzwerk-Laufwerk frei gegeben ist und nur für den Bareos-Dienst beschreibbar ist.
Wer hier auf Nummer sicher gehen will, verwendet einen dedizierten Server, der ausschließlich den Bareos-Storage-Daemon (SD) als Dienst laufen lässt und sonst keine Netzwerkverbindungen zulässt. Somit ist sichergestellt, dass nur über die Bareos-Schnittstellen auf die gespeicherten Daten zugegriffen werden kann.
Auch die Backup-Software selber sollte stets auf dem aktuellen Stand und gewartet sein. Für den Produktionsbetrieb empfiehlt sich daher ein Subskription und Support-Paket des Herstellers, verfügbar über den Univention-Shop oder über Univention / Bareos Partnern. Wer darüber hinaus noch Unterstützung bei Planung, Implementierung oder Betrieb der Backup Lösung mit Bareos auf UCS sucht, findet diese bei den Bareos / Univention Partnern.