NAS Backup 3-2-1 Regel: Schutz vor Ransomware-Angriffen
Der Tag, an dem die Festplatten schwiegen
Letzte Woche rief mich ein alter Kollege an. Panik in der Stimme. Alle Familienfotos der letzten fünfzehn Jahre? Weg. Seine mühsam konfigurierten Docker Container? Unbrauchbar. Verschlüsselt von einer Ransomware, die er sich harmlos per E-Mail eingefangen hatte. Seine pure Angst vor Datenverlust war plötzlich bittere Realität geworden. Genau deshalb predige ich jedem: Eine durchdachte NAS Backup Strategie Ransomware Schutz ist kein Luxus. Sie ist deine einzige Lebensversicherung im digitalen Ernstfall.
Aus einem Reddit-Faden im r/synology Subreddit Unveränderliche Schnappschüsse (Snapshots) haben mir letzte Woche buchstäblich den Hals gerettet. Die Ransomware konnte sie einfach nicht überschreiben. Klick, Restore, fertig.
Schritt 1: Das Fundament – Die magische 3-2-1 Regel
Klingt wie ein lahmer IT-Spruch aus den 90ern, ist aber aktueller denn je. Die 3-2-1 Regel besagt: 3 Kopien deiner Daten (das Original plus zwei Backups), gespeichert auf 2 unterschiedlichen Medien (z.B. NAS und externe HDD), und davon zwingend 1 Offsite-Kopie (außer Haus). Warum? Weil ein Blitzschlag, ein Wohnungsbrand oder eben ein fieser Kryptotrojaner, der über das lokale Netzwerk kriecht, sonst alles auf einmal vernichtet. Wer sein Heimnetzwerk gerade mit 2.5Gbit Ethernet aufrüstet, hat die Daten ohnehin rasend schnell synchronisiert. Da gibt es keine Ausreden mehr.
Die Geheimwaffe: Immutable Snapshots
Vergiss klassische Kopiervorgänge. Moderne Dateisysteme wie Btrfs (bei Synology) oder ZFS erlauben Snapshots. Das sind quasi eingefrorene Zustände deines Dateisystems. Der Clou? Du musst sie 'unveränderlich' (Immutable/WORM) machen. Eine Ransomware wütet auf deinen Freigaben und verschlüsselt jede Datei. Aber auf die Snapshots auf Systemebene hat sie keinen Zugriff. Du loggst dich ein, wählst den Zustand von gestern 18:00 Uhr und drehst die Zeit einfach zurück. Laut den BSI-Empfehlungen zu Ransomware ist diese physische oder logische Trennung der Backups der absolut entscheidende Faktor.
Schritt 2: Raus aus dem Haus (Offsite)
Viele User haben eine geradezu lähmende Abneigung gegen Backups, weil sie denken: Komplizierte Backup-Software nervt. Skripte schreiben? Terminal-Befehle? Nein danke. Aber das ist längst Geschichte. Wenn du ein aktuelles NAS hast, bringen die Hersteller die Software direkt mit. Das Stichwort für Synology-Nutzer lautet Hyper Backup. Für QNAP ist es HBS 3.
Erfahrungswert aus der Community Mein Offsite-Backup mit Hyper Backup läuft einmal eingerichtet völlig lautlos im Hintergrund. Ich stecke die Platte bei meinen Eltern an den Router und vergesse sie einfach.
So simpel ist das Offsite-Setup heute
Du brauchst kein IT-Studium mehr. Der Assistent führt dich komplett grafisch durch:
- Ziel wählen: Ein zweites NAS (vielleicht bei Freunden oder Familie) oder ein Cloud-Anbieter.
- Daten auswählen: Welche Ordner sind WIRKLICH wichtig? (Tipp: Die 4 TB große Filmsammlung muss meistens nicht ins teure Offsite-Backup).
- Zeitplan festlegen: Einmal täglich nachts um 3 Uhr reicht für Privatanwender völlig aus.
- Client-Side Encryption aktivieren: Das ist der wichtigste Haken! Deine Daten werden verschlüsselt, bevor sie dein Haus verlassen.
Wer es ganz genau wissen will, findet in der offiziellen Synology Knowledge Base brillante, bebilderte Anleitungen für jeden einzelnen Klick.
Schritt 3: Das Cloud-Dilemma klug lösen
Jetzt kommt der Punkt, an dem die meisten abwinken: 'Cloud-Backups sind mir auf Dauer viel zu teuer'. Klar, wer 5 Terabyte blind zu Google Drive oder Dropbox schaufelt, zahlt sich dumm und dämlich. Die Lösung liegt in der Trennung der Datenklassen und der Wahl des richtigen Anbieters. Nutze S3-kompatiblen Object Storage.
Ein erleichterter NAS-Besitzer Cloud-Sync Verschlüsselung war für mich der Gamechanger. Ich zahle bei Backblaze nur für das, was ich wirklich brauche – knapp 6 Euro im Monat für meine unersetzlichen Familienvideos.
Anbieter wie Backblaze B2, Wasabi oder auch die Hetzner Storage Boxen kosten einen Bruchteil der großen Consumer-Clouds. In Hyper Backup wählst du einfach 'S3 Speicher' als Ziel. Und falls du Bedenken wegen des Uploads hast: Wenn du zuhause mit Wi-Fi 7 Mesh-Systemen und Glasfaser angebunden bist, ist das initiale Backup oft in einer Nacht durch. Danach werden ohnehin nur noch die geänderten Blöcke (inkrementell) übertragen.
Der Ransomware-Check: Ist dein NAS sicher?
- Admin-Konto deaktiviert
Der Standard-Benutzer 'admin' muss zwingend deaktiviert werden. Erstelle einen eigenen User mit Admin-Rechten.
- 2-Faktor-Authentifizierung (2FA)
Jeder Login von außen MUSS mit einer Authenticator-App auf dem Smartphone abgesichert sein.
- Unveränderliche Snapshots
Aktiviere Btrfs-Snapshots und setze die Aufbewahrungsrichtlinie auf 'unveränderlich' für mindestens 7 Tage.
- Getrennte Backup-Credentials
Dein PC darf das Passwort für die Backup-Freigabe nicht kennen. Sonst verschlüsselt eine PC-Ransomware das Backup gleich mit.
Der finale Gedanke
Eine funktionierende NAS Backup Strategie Ransomware Schutz erfordert vielleicht einmalig zwei Stunden konzentrierte Arbeit an einem verregneten Sonntagnachmittag. Das war's. Danach läuft das System. Wer diese zwei Stunden spart, riskiert die digitalen Erinnerungen eines ganzen Lebens. Richte deine Snapshots ein. Pack eine Festplatte zu deinen Eltern. Und aktiviere das verschlüsselte Cloud-Backup für die wirklich kritischen Dokumente. Wenn der Trojaner dann anklopft? Kannst du dich entspannt zurücklehnen und mit einem Klick den gestrigen Tag wiederherstellen.
