Ruminarium

Zurschausstellung meiner Grübeleien


Datensicherung: Das System

Ich bin bereits im letzten Beitrag darauf eingegangen, warum ich das Haushalten mit Daten durchaus wichtig finde. Hier möchte ich auf mein eigenes System näher eingehen. Wie bereits gesagt: Ich bin mir bewusst, dass es sich hierbei um ein ziemlich komplexes Design handelt und eine direkte Nachahmung bei Vielen schon allein aus Praktikabilitätsgründen nicht erfolgen kann oder wird. Dennoch denke ich, dass einige Aspekte vielleicht durchaus inspirierend sein könnten und ich euch damit zumindest ein bisschen helfen könnte, eure Daten besser zu sichern.

1. Daten vor Verlust sichern: Redundanz

Generell ist meine Strategie zur Datensicherung dreigeteilt.

  1. Auf meinen Heimrechnern, Laptops, Handys, etc. befinden sich eigentlich nur „flüchtige“ Daten, also Sachen, die sich entweder noch in Arbeit befinden oder eher keiner dauerhaften Speicherung bedürfen, wie temporäre Dateien. Mein Heimrechner ist das Arbeitsgerät und nicht für die permanente Speicherung ausgelegt. Angeschlossen an diese Schaltzentrale ist aber u.a. ein Scanner. Ich habe mir vor Jahren mal die Mühe gemacht, alle wichtigen Daten zu digitalisieren. Musik archiviert, von CD-ROMs Images erstellt und ich habe meine Aktenordner komplett eingescannt. Letzteres ging mit einem billigen Duplex-Scanner erstaunlich schnell und auch heute mache ich primär nur alle ein bis zwei Jahre eine Hauruck-Aktion, die nicht länger zwei Stunden dauert. Besser wäre natürlich ein direkter Briefkasten-Scanner-Workflow, aber dazu bin ich oft zu faul.
  2. Sobald ich einen gewissen Grad an Fertigstellung erreicht habe oder ich neue Dokumente gescannt habe oder bspw. meine Fotosammlung auf dem Handy einen signifikanten bzw. ideell wichtigen Zuwachs bekommen hat, werden diese Daten auf meiner NAS gespeichert. Eine NAS ist ein kleiner Rechner, der dafür da ist, genau dies zu tun: Große Datenmengen speichern und bereitstellen. In meiner NAS befinden sich zwei Festplatten, die gespiegelt sind, also auf beiden Platten liegen 1:1 die gleichen Daten. Um diese Synchronisierung bzw. Spiegelung kümmert sich das interne System der NAS ganz von allein. Solche Systeme kann man heutzutage von einigermaßen schmalem Geld anfängerfreundlich vorkonfiguriert von der Stange kaufen. Der Vorteil der gespiegelten Datenhaltung liegt auf der Hand: Fällt eine Platte aus, kann man diese auswechseln, ohne einen kompletten Datenverlust hinnehmen zu müssen. Diese NAS kann ich in meinem ganzen Heimnetzwerk von allen Geräten aus direkt ansprechen.
  3. Alles bisher Beschriebene spielt sich noch in meiner eigenen Wohnung ab. Nun könnte aber ein Szenario eintreten, dass in diese eingebrochen wird oder ein Brand einen Totalschaden anrichtet. Für diesen Fall bespiele ich von Zeit zu Zeit eine ganz normale externe Festplatte, die ich außer Haus lagere. Das kann im Grunde jeder vertrauenswürdige Ort sein, zu dem man im Zweifel einigermaßen schnellen Zutritt hat. Das könnte die Familie sein, Freunde, ein persönliches Schließfach auf Arbeit oder gar ein Bankschließfach. Diese Platte tausche in größeren Abständen immer mal wieder aus. Tritt bei mir also mal der Totalverlust aller Daten auf, beschränkt sich mein Verlust schlimmstenfalls auf genau die Differenz aller Daten, die erstellt wurden zwischen Katastrophe und dem letzten Zeitpunkt, an dem ich meine externe Platte bespielt habe.

2. Daten vor fremden Zugriffen sichern

Meine Daten gehen niemanden etwas an. Bankdaten, Gesundheits- und Versicherungsdaten, sensible Fotos oder Arbeitsgeheimnisse. Jeder hat Daten, auf die er aufpassen muss und die nicht für jeden überall zugänglich rumliegen sollten. Denkt dabei vielleicht an den Dieb, der den Laptop aus dem Café geklaut hat oder an den Freund, bei dem die Backup-Platte liegt und mit dem man sich vielleicht böse verkracht hat.

Deshalb sind alle meine Datenspeicher verschlüsselt. Das heißt, die Daten werden so auf den Festplatten abgelegt, dass sie ohne ein Passwort absolut nicht zu lesen sind, selbst wenn man physischen Zugang zu ihnen bekommt. Dieses Passwort ist das A und O und sollte so lang und kompliziert wie möglich sein. Und dieses Passwort sollte für jedes Gerät ein anderes sein.

Klar, dass man sich diese Passwörter schlecht merken kann, vor allem, wenn man sie nur selten verwendet. Deswegen speichere ich mir diese Passwörter in einen separaten Passwort-Tresor, eine widerum stark verschlüsselte Datei, in der alle Passwörter, die ich im Alltag benötige, abgelegt sind. Somit brauche ich mir nur noch ein einziges wichtiges Passwort zu merken, nämlich das, das mir den Zugriff auf meinen eigenen Tresor verschafft. Dieses Masterpasswort ist bei mir tatsächlich verhältnismäßig lang. Meine Strategie, es zu lernen, war, es über die Zeit immer weiter zu verlängern. Ich bin bei 10 Zeichen gestartet und habe alle halbe Jahre 10 weitere Zeichen hinzugefügt, wenn ich die ersten im Schlaf aufsagen konnte. Das geht recht gut, da ich allein für die Festplattenentschlüsselungen bei jedem Rechnerstart Zugriff auf den Tresor brauche. So lässt sich das Passwort allein durch das häufige Verwenden lernen. Aber da hat sicherlich jeder andere Strategien.

Mein Rechner selbst hat eine kleine, unverschlüsselte Festplatte, auf der nur die notwendigsten Programme, die ich bei Systemstart benötige bzw. das Betriebssystem abgelegt sind – und eben dieser Tresor. Somit ist stets meine erste Handlung nach Rechnerstart: Das Öffnen des Tresors, um an meine eigentliche Festplatte mit allen wirklich relevanten Programmen und Arbeitsständen zu gelangen. Wenn man ein wenig Routine hat, ist das ein Selbstläufer. Es gibt auch Möglichkeiten, gleich das gesamte System zu verschlüsseln, aber damit habe ich in manchen Fällen bzgl. Bedienbarkeit in der Vergangenheit nicht so gute Erfahrungen gemacht.

Also: Jede Festplatte mit Daten lässt sich mit einem guten Passwort schützen. Für die Verschlüsselung gibt es einfach zu bedienende Tools, wie VeraCrypt. Die dazugehörigen Schlüssel packt man sicher in einen Passwortspeicher. Dazu nutze ich aktuell eine Keepass-Version. Der größte Aufwand ist also das Merken eines Masterpassworts.

Und wenn ich das Masterpasswort doch mal vergesse? Zumindest ist es mir schon passiert, dass ich z.B. nach einem längeren Urlaub das Passwort nicht mehr vollständig wusste. Dafür habe ich mir eine Strategie überlegt, mich an das Passwort wieder zu erinnern. Hier sollte jeder auf seine ganz eigene Art und Weise kreativ werden. Ich selbst habe mir verschiedene Hinweise platziert und mit einer korrekten Interpretation kann ich mir mein Passwort wieder zusammentragen. Diese Strategie kenne natürlich ebenfalls ausschließlich ich selbst. Aber man könnte sie auch nutzen, um sie engen Angehörigen zu zeigen, und ihnen damit im Fall des Falles Zugriff zu den eigenen Daten zu gewähren – was beispielsweise bei Versicherungsfragen, wie einer möglichen Lebensversicherung, durchaus nicht uninteressant wäre. Ich will nur darauf hinweisen, dass man vorsorgen sollte, um sich nicht durch Schritt 2 den Schritt 1 komplett zu zerschießen. Denn die beste Datenredundanz ist nichts mehr wert, wenn man sich nicht an die notwendigen Passwörter erinnert.

3. Verfügbarkeit von überall

Die dritte Anforderung hat mir lange Kopfzerbrechen bereitet. Wie ermögliche ich mir, falls notwendig, einen Zugriff auf meine Daten zuhause? Irgendwann hatte ich mal zumindest die wichtigsten Dateien – natürlich in verschlüsselter Form – auf einen öffentlich zugänglichen Webspace gelegt. Das ging im Grunde, nur war das gerade bei endlos langen Versicherungs-PDFs nicht mehr wirklich praktikabel. Auch das permanente manuelle Synchronisieren hat mich mehr genervt, als es mir genutzt hatte.

Mit dem Kauf der NAS konnte ich theoretisch aufatmen, denn viele NAS-Systeme bringen die Möglichkeit mit, sie gleichzeitig als Webserver zu nutzen und damit einen Zugriff direkt auf die Daten via Internet zu schaffen. Allerdings stellte sich bei meinem Hersteller heraus, dass er dafür die Daten über ominöse Server in China leitet, und das kam natürlich nicht in Frage. Versiertere IT-Tüftler können sich auf diesem Weg aber sehr wohl ein eigenes System bauen, das allen Anforderungen genügt. Dazu habe ich aber ehrlich gesagt keine Lust. Trotzdem ich ITler bin, stehe ich doch auf Systeme, die einfach laufen, ohne dass ich mich groß drum kümmern muss.

Tatsächlich stellte sich jedoch heraus, dass meine FritzBox, die ich als WLAN-Router und für den normalen Internetzugang habe, auch die Funktionalität hat, eine VPN-Verbindung bereitzustellen. Eine VPN-Verbindung ist in dem Fall eine verschlüsselte Verbindung zwischen einem Gerät im Internet und dem eigenen Heimnetzwerk. Man kann dort nur mit entsprechendem Passwort hindurch. Und damit war alles möglich. Mit dem entsprechenden, natürlich wieder supersicheren Passwort kann ich mich von überall auf der Welt in meinem Netzwerk bewegen, wie von zuhause – und mir somit auf alle Dateien Zugriff verschaffen, die dort verfügbar sind. Natürlich muss ich auch dann beachten, dass ich ggf. entsprechende Passwörter für Verschlüsselungen nutzen muss, wie auch beim internen Zugriff.

Das alles geht leider nicht rasend schnell, denn eine Limitierung ist natürlich die eigene, am VPN verfügbare Internetverbindung. Insbesondere ist hier die Upload-Geschwindigkeit relevant. Möchte man eine große Datenmenge laden, dann kann diese nur so schnell bereit gestellt werden, wie die Upload-Geschwindigkeit es ermöglicht (dazu kommen Einbußen durch die Ver- und Entschlüsselungen, etc.).

Und woher bekomme ich nun mein supersicheres VPN-Passwort? Nun, in der Regel habe ich stets eine Kopie meiner Tresordatei auf meinem Handy dabei. Und falls ich mal auf einem komplett fremden System unterwegs bin, kann ich mir diese Datei auch von meinem eigenen Webspace ziehen, wohin ich sie in regelmäßigen Abständen sichere. Weil der Tresor selbst gut verschlüsselt ist, kann er also ganz öffentlich erreichbar dort rumliegen, ohne dass ich Angst haben muss, dass damit irgendjemand anderes als ich selbst etwas mit anfangen kann, wenn er sie mal zufällig findet. Da es sich um eine KeePass-Datei handelt, kann ich sie im Zweifel auch von jedem gängigen System öffnen, da es überall einen guten Support dafür gibt.

Nur am Rande: Die Server vom Webspace selbst stehen übrigens in Deutschland, damit die hiesige Gerichtsbarkeit greift, falls doch mal notwendig. Und weil sie es wirklich verdienen, weil sie extrem toll sind, hier ein wenig Werbung: Der Webspace (auch der des Blogs und all meiner anderen Projekte) wird bereit gestellt von manitu.

Zusammenfassung

Ich hoffe, ich konnte euch einen kleinen Einblick in mein Datenhaltungssystem geben. Und ich hoffe, es war nicht allzu absurd. Vielleicht konnte ich ja dem einen oder anderen eine kleine Idee mit an die Hand geben. Wenn ihr Fragen zu Details habt, könnt ihr diese natürlich gern stellen.



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.