Navigation: Start -> AnwenderTutorials -> Backup Strategien
Backup Strategien
Das Thema Backup ist so alt wie es Daten gibt, doch immer noch ist es häufig unzureichend umgesetzt. Nahe liegend ist es, seine Daten auf eine externe Festplatte zu sichern oder auf CD-ROMs oder DVDs zu brennen. Ein Festplatten-RAID kann die Daten permanent auf zwei Festplatten kopieren, und schützt so beim Ausfall einer Festplatte. Was macht man aber um seine Daten vor Feuer, Überflutung, Einbruch und Diebstahl oder Beschlagnahme zu schützen?
Man kann externe Backup-Datenträger regelmäßig außerhalb der eigenen vier Wände unterbringen. Jedoch ist dies umständlich und je nach Intervall liegt das letzte Backup einige Wochen zurück und enthält daher nicht die aktuellsten Daten. Daher bieten sich Online Backups an, bei denen die Backupdaten über das Internet zum Backupspeicher übertragen werden. Hierbei sollte jedoch darauf geachtet werden, dass vor Übertragung die Daten auf dem heimischen Computer ausreichend verschlüsselt werden. Dies schützt davor, dass der Betreiber oder ein Hacker der Zugriff zu dem Online Speicher erlangt, die Backupdaten lesen können. Eine Transportverschlüsselung wie SSL/TLS schützen hiervor nicht. Wir haben uns die besten Tools und deren Sicherheit angeschaut und stellen diese im Folgenden vor. Grundsätzlich gibt es folgende Möglichkeiten um die Backupdaten vor Transport zu verschlüsseln:
- Liegen alle Dateien, von denen ein Backup erstellt werden soll, im gleichen Verzeichnis, kann man mit wenigen Mausklicks ein Archiv erstellen und dieses Archiv verschlüsseln. Das verschlüsselte Archiv kann man auf einen unsicheren Backup-Server übertragen.
Lokal wird eine große Containerdatei erzeugt, in der eine verschlüsselte Partition angelegt wird (z.B. mittels dm-crypt oder True Crypt). Vor dem Backup muss diese Partition ausgehangen werden (umount) und kann dann auf einen (unsicheren) Online Speicher übertragen werden. Dieser Ansatz bietet sich insbesondere dann an, wenn sich die relevanten Daten sowieso bereits in einer verschlüsselten Container befinden. Zu beachten ist, dass es unter Umständen sehr lange dauern kann, den gesamten Container regelmäßig auf den Server zu übertragen. Für eine 600MB große Datei benötigt man mit einem ünlichen DSL-Anschluss 3-4h.
Möchte man Backups durchführen während die Containerdatei eingebunden ist oder nutzt man so etwas nicht, besteht die Möglichkeit auf dem entfernten Backupspeicher eine entsprechend große Containerdatei anzulegen. Diese dient als Partition für ein verschlüsseltes Dateisystem welches lokal (also auf dem eigenen Computer) eingebunden wird. Der Server hat also keine besonderen Voraussetzung zu erfüllen. Die Verbindung sollte vornehmlich mit SSH(FS) hergestellt werden, da dies die Übertragung einzelner Datenbereiche erlaubt. FTP würde sich hingegen nicht eignen, da bei jeder Änderung die vollständige Datei übertragen werden müsste. Andere Übertragungsprotokolle sind auf deren entsprechende Eigenschaften zu überprüfen. Das eigentliche Backup kann dann mit gewöhnlichen Werkzeugen wie z.B. rsync, rsnapshot oder rdiff-backup durchgeführt werden. Ein Nachteil dieser Lösung ist, dass der Container bzw. dessen Dateisystem bei Verbindungsfehlern (z.B. Verbindungsabbruch) beschädigt werden könnte. Im Zweifelsfall sollte zuvor ein ausreichend umfassender Test durchgeführt werden.
- Darüber hinaus bieten sich spezielle Backupprogramme an, die die Daten vor Übertragung verschlüsseln. Natürlich sollten diese in der Lage sein, auf Wunsch nur die geänderten Daten und nicht ein vollständiges Backup durchzuführen. Empfehlenswert sind:
Sehr gut eignet sich das Kommandozeilentool Duplicity, welches zur Verschlüsselung auf GnuPG zurückgreift und zahlreiche Schnittstellen zu entfernten Servern unterstuetzt. Ein Frontendskript zur vereinfachten Benutzung ist Duply (vormals ftplicity) und eine ausführliche deutsche Anleitung findet sich hier. Ein grafische Benutzeroberflaeche fuer Linux ist Déjà Dup.
rdup ist ähnlich wie Duplicity ein Programm fuer die Kommandozeile.
DAR ist ebenfalls ein Kommandozeilenwerkzeug zum Erstellen von inkrementellen Backups.
Duplicati ist eine gut gelungene grafische Implementierung für Windows und Linux. Entgegen dem Namen ist dies Programm nicht kompatibel mit Duplicity.
Back in Time ist ein grafisches Programm fuer Linux welches sich an Apples Timemachine orientiert.
grsync ist ein grafisches Frontend fuer rsync.
SBackup ist ein grafisches Programm fuer Linux.
Ein sehr interessanter Ansatz ist Tahoe-LAFS (Details), welches ein verteiltes, verschlüsseltes, redundantes und fehlertolerantes Dateisystem ist. Der Zugriff kann über unterschiedliche Interfaces erfolgen; es existieren ein Webinterface, Stand-alone-Programme und die Anbindung mittels FUSE in das Dateisystem des Computers. Sämtliche Daten werden lokal mit AES-128 verschlüsselt und der Schlüssel ist dateiindividuell (sog. Cap). Sollte einem dieser Schutz nicht ausreichen, ließe sich auch Tahoe auch mit z.B. Duplicity kombinieren. Duplicity bietet übrigens von Haus aus die Möglichkeit, Backups in Tahoe-LAFS zu speichern.
Für Linux gibt es die Möglichkeit lokal ein mittels EncFS oder eCryptfs verschlüsseltes Dateisystem zu verwenden. Da dieses Datei-basiert verschlüsselt, kann es direkt (z.B. mittels rsync) gesichert werden.
Es sollte nicht vergessen werden, dass im Zweifelsfall die Vertraulichkeit der Daten vom Passwort abhängt. Dieses sollte daher ausreichend lang bzw. kompliziert gewählt werden. Grundsätzlich gilt, dass ohne die nötigen Schlüssel kein Zugriff auf die verschlüsselten Daten möglich ist. Die Schlüssel sind also unbedingt sicher aufzubewahren und separat an einem anderen Ort aufzubewahren.
Da wir die Möglichkeiten zur Datenverschlüsselung dargestellt haben, stellt sich nun die Frage, wo die Daten gespeichert werden sollen. Einige Speicherorte bzw. –dienste wollen wir im Folgenden erwähnen:
Sympathisch ist rsync.net, da dieser Anbieter großen Wert auf Plattformunabhängigkeit und Datensicherheit legt. Der Preis berechnet sich nach den gespeicherten GB und ist für wirklich große Datenmengen vermutlich zu teuer.
Data Storage Unit bietet für monatliche 3 $ uneingeschränkten Speicherplatz an.
Bekannt sind Amazon S3 und Rackspace Cloud Files die ihre Preise dynamisch nach Speicherplatz und Übertragungsvolumen in GB berechnen. Eine Schnittstelle zu Amazons S3 ist bereits in Duplicity integriert, was bei Rackspace manuell nachinstalliert werden kann.
Für 7 $ monatlich erhält man bei A Drive 50 GB Speicherplatz auf die man mittels WebDAV zugreifen kann.
Wuala verfolgt ein interessantes Konzept: Der einem zur Verfügung stehende Speicher berechnet sich aus dem Speicher, den man selber anderen zur Verfügung stellt und aus der Zeit die man durchschnittlich online ist. Hierfür ist die Installation eines Java-Programms erforderlich (Open Source), welches jedoch die Integration mit den oben beschriebenen Tools verhindert. Man ist daher auf die im Wuala Client implementierte AES-128 Verschlüsselung angewiesen, sofern man nicht eine Containerdatei sichert. Wenn man seinen Computer nicht die ganze Zeit an lassen will, kann man auch Speicherplatz hinzukaufen.
Allmydata bietet für 10 $ unbegrenzten Speicherplatz an und basiert dabei auf Tahoe (siehe oben).
Will man sich nicht auf einen kommerziellen Anbieter einlassen – sei es wegen der Kosten, aufgrund zu großer Datenmengen oder wegen Sicherheitsbedenken – könnte man seinen eigenen Onlinespeicher aufbauen. Hierzu kann man sich einen eigenen Server mieten oder im Rechenzentrum unterstellen (server housing) oder auch einen Onlinespeicher bei Freunden platzieren. Für letzteres bietet sich Tahoe (siehe oben) an, da man damit einfach und sicher private „Speicherclouds“ aufbauen kann. Beispielsweise tut man sich mit ein paar Freunden zusammen, die Speicherplatz zur Verfügung stellen, und die ihre Backups in der privaten “Cloud” speichern. Fallen ein oder mehrere (der Grad der Redundanz ist konfigurierbar) Speicher aus, so sind die Backups immer noch verfügbar. Tahoe hat jedoch den Nachteil, dass die Computer der Teilnehmer für die Dauer der Nutzung in Betrieb und online sein müssen. Schön wäre es daher, wenn man stattdessen hierfür WLAN-Router mit einer externen Festplatte nutzen könnte. Derzeit scheint es jedoch noch keine vorbereiteten Systeme zu geben, um Tahoe auf üblichen WLAN-Routern nutzen zu können (z.B. mit OpenWRT). Hier besteht also noch Bedarf zum Basteln…
Will man nicht Tahoe sondern eine andere Methode verwenden reicht ein gewöhnlicher Speicher aus, auf den man mittels VPN zugreifen kann. Dies lässt sich durchaus mit üblichen WLAN-Routern mit USB-Anschluss (für eine externe Festplatte) realisieren (z.B. mittels OpenWRT oder DD-WRT). Natürlich funktioniert dies auch mit PCs jedoch müssen diese für den Datenabgleich angeschaltet sein. Ein Vorteil eines solchen Netzes unter Freunden ist, dass sich die Backups initial offline erstellen lassen, um die Übertragung großer Datenmengen über das Internet zu vermeiden. Anschließend werden nur geänderte Daten übertragen. Im Fall dass ein Backup wieder eingespielt werden muss, besteht bei diesem Ansatz wohl auch die Möglichkeit, auf den Datenträger lokal zuzugreifen.
Viel Erfolg bei der richtigen Backupstrategie!