VeraCrypt Vollverschlüsselung: Unsicher durch Backups?
#1
geschrieben 02. November 2017 - 17:27
ich benutze bei einem Laptop mit sensiblen Daten die VeraCrypt Vollverschlüsselung. Wenn das ausgeschaltete Gerät jemand stiehlt, dann halte ich das für halbwegs sicher, dass derjenige am Boot Passwort nicht vorbeikommt und auch sonst keine Daten extrahieren kann.
Wie genau ist das jetzt aber bei Backups? Macht man sich dadurch evtl. aufwändig erkämpfte Verschlüsselung nutzlos?
Also ich plane den Laptop komplett (inkrementell nicht zwingend notwendig) automatisiert jede Woche auf ein NAS sichern zu lassen (z.B. per Acronis True Image oder Veeam Agent for Windows). Damit so ein Backup funktioniert, muss der Laptop ja bis ins Windows gestartet sein und die Daten sind somit zu dem Zeitpunkt ja entschlüsselt, sonst würde Windows selbst ja nicht mal starten können. Vermutlich werden die Daten somit auch komplett unverschlüsselt ins Backup File auf der NAS geschrieben, oder?
Es ist jetzt eher unwahrscheinlich, dass die NAS jemand stiehlt, dennoch fände ich es extrem negativ, wenn der Laptop selbst verschlüsselt ist, aber man dann selbst regelmäßig unverschlüsselte Sicherheitskopien erzeugt. Nicht gerade förderlich.
Also ich denke mal, wenn das Backup jemandem in die Hände fällt und der restored es, dann kommt vielleicht sogar die Aufforderung zum Eingeben des Boot Passworts (da 1:1 Kopie), aber mit gewissen Tools können doch dann wahrscheinlich relativ einfach die ganzen Dateien aus dem Backup File extrahiert werden, da dieses ja eigentlich von unverachlüsselten Daten erzeugt wurde, oder?
Wie seht ihr das und gibt es irgendeinen sicheren Weg, wie man von verschlüsselten PCs auch wirklich verschlüs
Anzeige
#2
geschrieben 02. November 2017 - 18:17
#3
geschrieben 02. November 2017 - 18:21
Meines Wissens nach kann man in den Einstellungen auch das Passwort zum verschlüsseln speichern, so das ein automatisches Backup funktionieren würde.
#4
geschrieben 02. November 2017 - 18:51
Immerhin geht es darum, das Backup in Zweifel wiederherstellen zu können und wenn das nicht geht wegen Verschlüsselung... dann schießt man sich selbst ins Knie.
Solche Backups gehören deshalb gut aufbewahrt, ggf in den Tresor, je nachdem, wie interessant die Daten darin waren.
#5
geschrieben 03. November 2017 - 14:42
Dieses Laufwerk gebe ich dann als Backup-Ziel an. Nach dem Backup schließe ich den VeraCrypt Container wieder.
Die Daten sollten somit nie unverschlüsselt auf der NAS liegen, richtig?
Oder seht ihr irgendwelche anderen Nachteile bei dieser Lösung?
#6
geschrieben 03. November 2017 - 16:14
Aber wenn dein Rechner mal komplett abschmiert und du z.B. mit Acronis das Image erstellt hast, müsstest du den Rechner ja mit dem Acronis-Notfallmedium öffnen. Wie bekommt man dann den VeraCrypt-Container geöffnet?
#7
geschrieben 03. November 2017 - 16:15
#8 _d4rkn3ss4ev3r_
geschrieben 03. November 2017 - 23:43
#9
geschrieben 05. November 2017 - 10:20
Aber so einen 1:1 Klon kann man vermutlich von der Systemplatte nicht machen, während Windows gestartet ist, da wahrscheinlich exklusiver Zugriff vom Backup Tool benötigt wird. Also vermutlich nur über Boot Stick oder so möglich.
Oder gibts irgendein Produkt, welches die Systemplatte während des Windows-Betriebs 1:1 sichern kann?
#10 _d4rkn3ss4ev3r_
geschrieben 05. November 2017 - 10:49
#11
geschrieben 05. November 2017 - 10:53
Wenn die Daten tatsächlich so kritisch sind: Hast Du schonmal grundsätzlich überlegt, ob diese Daten dann nicht grundsätzlich vom Laptop fernbleiben können? Zugriffe wären dann ggf via VPN odergleichen zu regeln.
Denn wenn das so kritisch ist, wie das unterschwellig durchscheint, dann sind die Daten nur durch die Tatsache, daß sie sich überhaupt erstmal auf dem Laptop befinden, bereits gefährdet. Klaut ihn jemand, hat er alle Zeit der Welt, auf die vor Ort gespeicherten Daten zuzugreifen; der Aufwand beschränkt sich dann auf die Entschlüsselung und die Frage ist nur noch, in welchem Zeitfenster man akzeptieren kann, daß die Daten entschlüsselt und gelesen werden können (nicht "ob", sondern "wann").
Außerdem sei an dieser Stelle noch angemerkt - als Prüfpunkt --- daß ein Boot-Paßwort nur dann etwas taugt, wenn ein TPM verwendet wird, unter der Maßgabe, daß dieses (noch) nicht ausgelesen werden kann (wobei ich mir einbilde, irgendwas in dieser Richtung irgendwo gelesen zu haben). Ohne TPM reicht es, die Batterie für eine Weile rauszunehmen.
#12
geschrieben 05. November 2017 - 11:27
Zitat (d4rkn3ss4ev3r: 05. November 2017 - 10:49)
Aus welchem Grund? Weil ich mich für eine sichere Lösung interessiere, die man auch sichern kann?
Zitat (RalphS: 05. November 2017 - 10:53)
Ich kenne keine Verschlüsselung für ein Synology NAS, die so sicher ist wie VeraCrypt und ebenfalls bei jedem Start entschlüsselt werden muss. Wenn sich die NAS bei jedem Boot-Vorgang automatisch selbst entschlüsselt hat das für mich keinen Nutzen.
Habs inzwischen aber mit einem VeraCrypt Container gelöst, der auf der NAS liegt und den ich nur fürs Backup manuell öffne. Somit liegen die Daten per VeraCrypt verschlüsselt auf der NAS. Es ist halt nicht der komfortabelste Weg, deshalb habe ich ja wegen dem 1:1 Klon gefragt. Aber das ist vermutlich im Normalbetrieb unter Windows 10 gar nicht möglich, da Exklusiv-Zugriff erforderlich ist, oder?
Zitat (RalphS: 05. November 2017 - 10:53)
Ich rede hier von VeraCrypt, das benötigt ebenfalls ein "Boot-Passwort". Dieses hat jedoch nichts mit einem Bios "Boot-Passwort" zu tun, was man so einfach aushebeln kann. Ebenfalls nichts mit einem TPM Chip.
Es ist eine Vollverschlüsselung der Festplatte, welche bei einem halbwegs sicheren und langen Passwort nicht knackbar ist.
#13
geschrieben 05. November 2017 - 11:33
UND
was kann soooo "geheim" sein das man auch das Backup verschlüsselt?
Stichwort "Beugehaft"
Dieser Beitrag wurde von dale bearbeitet: 05. November 2017 - 11:33
#14
geschrieben 05. November 2017 - 11:38
Zitat (dale: 05. November 2017 - 11:33)
Wäre mir auch lieber, aber leider kann man gewisse Daten nicht / nicht problemlos umlegen und deshalb verschlüssle ich lieber das komplette System.
Zitat (dale: 05. November 2017 - 11:33)
Gegenfrage: Wie blöd muss man sein, wenn man seine Daten verschlüsselt, aber das Backup unverschlüsselt ablegt?
#15 _d4rkn3ss4ev3r_
geschrieben 05. November 2017 - 12:01