VeraCrypt Vollverschlüsselung: Unsicher durch Backups?

M

mensa

Enthusiast
Thread Starter
Mitglied seit
27.05.2005
Beiträge
337
Hallo,

ich benutze bei einem Laptop mit sensiblen Daten die VeraCrypt Vollverschlüsselung. Wenn das ausgeschaltete Gerät jemand stiehlt, dann halte ich das für halbwegs sicher, dass derjenige am Boot Passwort nicht vorbeikommt und auch sonst keine Daten extrahieren kann.

Wie genau ist das jetzt aber bei Backups? Macht man sich dadurch evtl. aufwändig erkämpfte Verschlüsselung nutzlos?

Also ich plane den Laptop komplett (inkrementell nicht zwingend notwendig) automatisiert jede Woche auf ein NAS sichern zu lassen (z.B. per Acronis True Image oder Veeam Agent for Windows). Damit so ein Backup funktioniert, muss der Laptop ja bis ins Windows gestartet sein und die Daten sind somit zu dem Zeitpunkt ja entschlüsselt, sonst würde Windows selbst ja nicht mal starten können. Vermutlich werden die Daten somit auch komplett unverschlüsselt ins Backup File auf der NAS geschrieben, oder?

Es ist jetzt eher unwahrscheinlich, dass die NAS jemand stiehlt, dennoch fände ich es extrem negativ, wenn der Laptop selbst verschlüsselt ist, aber man dann selbst regelmäßig unverschlüsselte Sicherheitskopien erzeugt. Nicht gerade förderlich.

Also ich denke mal, wenn das Backup jemandem in die Hände fällt und der restored es, dann kommt vielleicht sogar die Aufforderung zum Eingeben des Boot Passworts (da 1:1 Kopie), aber mit gewissen Tools können doch dann wahrscheinlich relativ einfach die ganzen Dateien aus dem Backup File extrahiert werden, da dieses ja eigentlich von unverachlüsselten Daten erzeugt wurde, oder?

Wie seht ihr das und gibt es irgendeinen sicheren Weg, wie man von verschlüsselten PCs auch wirklich verschlüsselte Backups machen kann?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
******* schrieb:
Den NAS auch verschlüsseln. :)
Zum Vergrößern anklicken....
Hätte ich auch schon dran gedacht. Der Nachteil ist halt, dass dadurch die Performance des gesamten NAS leidet. Also der Teil wo Filme usw. liegen, soll ja nicht verschlüsselt sein.

Außerdem: Gibts überhaupt eine Art Vollverschlüsselung für ein Synology NAS (z.B. DS118), wo man bei jedem Start ein Passwort eingeben muss, damit man auf die Daten zugreifen kann und was wirklich gleich sicher wie VeraCrypt ist?

Eine Lösung, wo einfach die Backup-Files selbst verschlüsselt sind wäre halt deutlich schöner und mit weniger Aufwand verbunden. Aber ich weiß halt nicht, ob sowas möglich ist.
Es wäre doch viel besser, wenn die Backup-Files selbst verschlüsselt sind und man ohne Passowrt nichts wiederherstellen und auch nichts auslesen kann. Also sowas wie ein VeraCrypt Container zum Beispiel.
 
Zuletzt bearbeitet:
Die Frage welche ich mir nach wie vor stelle: Ist ein Backup, welches von einem mit VeraCrypt vollverschlüsselten Windows 10 erstellt wurde sicher oder unsicher? Können die Daten einfach extrahiert werden oder nicht?
Ich weiß eben nicht, ob die VeraCrypt Verschlüsselung durch das Backup aufgelöst wird oder nicht.
 
Bist du dir da 100% sicher?
Ich nämlich nicht. Das System selbst ist im gestarteten Zustand ja auch online und unverschlüsselt, wenn ich aber runterfahre, oder auch einfach ohne jegliches Runterfahren die Stromzufuhr unterbreche, dann sind die Daten trotzdem noch immer komplett verschlüsselt.
Deshalb denke ich halt, dass sich die Daten im Backup vielleicht doch auch ähnlich verhalten?
 
wenn du von deine Dateien welche auf eine USB Stick kopierst um sie z.B. eine Kumpel zu geben, muss der dann VeraCrypt u. dein Passwort benutzen um sie zu lesen ?

nichts anderes ist ein unverschlüsseltes Backup.
 
Was haltet ihr von dieser Lösung:
Einen Teil deS NAS per iSCSI mounten. Somit erscheint das eigentliche „Netzlaufwerk“ ja als lokales Laufwerk unter Windows und könnte per VeraCrypt verschlüsselt werden.
Wenn man das also macht und die Daten dann auf dieses verschlüsselte Laufwerk sichert, ist man dann wirklich sicher?

Was aber passiert zB bei einem Stromausfall? Bleiben die Daten dann unverschlüsselt auf der NAS liegen, oder eben nicht, da die Daten immer am Client verschlüsselt werden und dann erst auf das iSCSI Target geschrieben werden?
 
dann kannst du auch einfach einen VeraCrypt Container auf dem NAS erstellen u. den eben auf deinen Win mounten bevor darauf sicherst.


die Daten sind nur auf dem System wo die VeraCrypt Volumes geöffnet sind frei verfügbar, u. liegen nur im Arbeitsspeicher Unverschlüsselt vor, (daher zielen die ganzen Angriffe ja auch darauf das System im Betrieb in Fingen zu bekommen)
alles was in einen Container oder verschlüsseltes Laufwerk geschrieben wird landet auch nur verschlüsselt auf der Magnetscheibe/Speicherzelle

nur wenn du sie von da auf ein nicht verschlüsseltes Laufwerk kopierst, NAS USB-Stick usw. sind sie auch nach dem Win beendet wurde weiterhin unverschlüsselt verfügbar.
 
Ok, da hast du vermutlich Recht. Vermutlich ist das (Container) dann auch die einfachere Lösung.
Oder gibts sonst irgendwelche Vor-/Nachteile zwischen Container- und iSCSI-Lösung?

Ich müsste als Ziel für die Backups dann einfach zB Laufwerk H: (also dorthin wo ich halt den Container manuell gemountet habe) verwenden, nicht \\NAS\Backup, richtig?
Der Nachteil ist halt, dass der Container gleich mal fix die gesamte Größe, also zB 500 GB, auf der NAS belegt. Aber ich denke das gleiche Problem hätte man auch bei iSCSI, oder?
 
mensa schrieb:
Ich müsste als Ziel für die Backups dann einfach zB Laufwerk H: (also dorthin wo ich halt den Container manuell gemountet habe) verwenden, nicht \\NAS\Backup, richtig?
Zum Vergrößern anklicken....
ja du schreibst dann auf das von VeraCrypt gemountet virtuelle Laufwerk

mensa schrieb:
Der Nachteil ist halt, dass der Container gleich mal fix die gesamte Größe, also zB 500 GB, auf der NAS belegt. Aber ich denke das gleiche Problem hätte man auch bei iSCSI, oder?
Zum Vergrößern anklicken....
mit voll verschlüsselten Lauferkern habe ich noch nicht gearbeitet, aber ich vermute das man die auch nicht vergrößern kann wenn da Daten drin sind, denn VeraCrypt füllt das ja beim erstellen mit zufälligen Daten, damit man die späteren Nutzdaten nicht von dem Müll unterscheiden kann, u. das lässt wohl nachträglich nicht verändern.
von daher ist es egal.
 
Es gibt ja Backup Produkte / Tools mit denen man die Systemplatte 1:1 klonen kann. Wenn ich das mache und das Backup Wiederherstelle, dann müsste die VeraCrypt Verchlüsselung ja noch aktiv sein, oder?

Aber so einen 1:1 Klon kann man vermutlich von der Systemplatte nicht machen, während Windows gestartet ist, da wahrscheinlich exklusiver Zugriff vom Backup Tool benötigt wird. Also vermutlich nur über Boot Stick oder so möglich.
Oder gibts irgendein Produkt, welches die Systemplatte während des Windows-Betriebs 1:1 sichern kann?
 
Nein, das geht nur, wenn Windows nicht gestartet ist. Über Boot-Stick aber kein Problem. Oder was meinst du?
 
Du könntest vom NAS den Rechner booten lassen und dann von dort das Backup-System starten lassen. Das ließe sich dann auch automatisieren. Ist aber auch eine Ecke aufwändiger :d
 
Der Rechner benötigt zum Booten aber das VeraCrypt Boot-Passwort.
 
Nur, wenn er von der Platte startet. Mit dem Boot-Stick wird Windows ja nicht angetastet, sondern nur das kleine Backupprogramm mit eigenem Betriebssystem gestartet. Das zieht dann eine Kopie der Platte.
 
Ok stimmt, aber da der PC rund um die Uhr laufen soll, kommt er dann nach dem Backup leider nicht mehr eigenständig zurück ins Windows, so lange ich das Boot-Passwort nicht manuell eingebe. Da kann ich das Backup auch gleich selbst manuell auslösen.
 
Mit der nicht.

Aber mit der Windows eigener Sicherung (in der Systemsteuerung) kann man auch im laufenden Betrieb eine Komplettsicherung erstellen (“Systemabbild“ mit auswählen). Wahrscheinlich kann man einen Veracrypt Container als Ziel angeben, da man einfach einen Laufwerksbuchstaben auswählt. Mit einem Container habe ich das aber noch nicht probiert.

Jedenfalls kann man aus der Sicherung ein Restore auf eine leere Festplatte machen, wenn man z. B. von einer Windows Installations-DVD bootet. Habe ich erst vor ein paar Tagen bei einem Umzug auf eine SSD gemacht.
Du müsstest dir wahrscheinlich einen Bootstick mit Windows und Veracrypt bauen. Das musst du aber auf jeden Fall testen! Wäre blöd, wenn die Sicherung zwar sauber durchläuft, du aber damit keinen Restore aus dem verschlüsselten Container machen kannst. :shot:

Meine Erfahrungen sind mit Windows 7.
 
Und mit der Windows-Eigenen Sicherung würde die Verschlüsselung erhalten bleiben meinst du, oder wie ist das zu verstehen?
Dann wäre das ja eine mega coole Sache!
Ich werds später gleich mal auf einer Test-VM probieren.
 
mensa schrieb:
Und mit der Windows-Eigenen Sicherung würde die Verschlüsselung erhalten bleiben meinst du, oder wie ist das zu verstehen?
Zum Vergrößern anklicken....
neu die Verschlüsselung bleibt nur erhalten wenn du die Sicherung auf ein Verschlüsseltes Medium schreibst, das hat nichts damit zu tun ob du nun die Windows-Eigenen Sicherung oder ein anderes Programm benutzt,
 
mensa schrieb:
Der Nachteil ist halt, dass dadurch die Performance des gesamten NAS leidet. Also der Teil wo Filme usw. liegen, soll ja nicht verschlüsselt sein.
Zum Vergrößern anklicken....

10TB Platte für den PC kaufen und einbauen. :coffee:

Aber sicherlich gibt es auch für diese Antwort das passende Problem.
 
Zuletzt bearbeitet:
REDFROG schrieb:
10TB Platte für den PC kaufen und einbauen. :coffee:
Zum Vergrößern anklicken....
Interessanter Ansatz.
Aber ich bin mir noch nicht so sicher, ob es Sinn macht, die Datensicherung des PCs am PC selbst abzulegen. Auch wenn es ein anderes Laufwerk ist.
Zusätzlicher Nachteil ist dann halt auch, dass man zusätzlich zum VeraCrypt-Boot-Passwort noch das Passwort zum Entschlüsseln des zweiten Laufwerks eingeben muss.
 
Zuletzt bearbeitet:
mensa schrieb:
Und mit der Windows-Eigenen Sicherung würde die Verschlüsselung erhalten bleiben meinst du, oder wie ist das zu verstehen?
Dann wäre das ja eine mega coole Sache!
Ich werds später gleich mal auf einer Test-VM probieren.
Zum Vergrößern anklicken....

Genau genommen ist es so: die Daten liegen verschlüsselt auf der internen Festplatte und werden von Veracrypt entschlüsselt, damit du sie am Bildschirm lesen kannst, bzw damit Windows überhaupt arbeiten kann. Beim Schreiben mit dem Sicherungsprogramm in den Container werden sie (mit dem zum Container gehörenden Passwort) verschlüsselt. Dann liegen sie verschlüsselt auf dem NAS.

Nochmals: teste unbedingt auch den Restore auf eine leere Festplatte! Angefangen mit dem booten des Notebook von einem USB Stick oder einer DVD.
 
Zuletzt bearbeitet:
Das mit dem Windows Image Backup wäre wirklich eine gute Idee gewesen, aber leider schlägt das Image Backup immer fehl, sobald VeraCrypt die System Partition verschlüsselt hat.
Hast jemand eine Idee warum?

Fehler:
PXynZAq.png


- - - Updated - - -

Ich konnte das Problem inzwischen umgehen (kam nur bei der Sicherung auf ein Netzlaufwerk).
Das Problem von Windows Image Backup ist allerdings, dass nach einem Restore eines Images die Daten ebenfalls unverschlüsselt auf dem PC liegen und ohne VeraCrypt Passwort gestartet werden kann. Genau das sollte bei einem "Bare Metal Backup" ja nicht der Fall sein, oder?
 
BadBigBen schrieb:
How to Back Up Securely
VeraCrypt - Documentation
Zum Vergrößern anklicken....
Danke, diese Anleitung kenne ich. Da werden halt nur die Optionen beschrieben, wie man NICHT aus dem laufenden Betrieb der System-Partition her sichern kann. Das können ja eh viele Tools
Anscheinend gibt es aber doch Möglichkeiten, dass man auch ein Bare Metal Backup direkt aus dem laufenden Windows heraus erstellen kann (siehe Casper Secure Drive Backup - Complete PC backup protection for users of Whole Disk Encryption technology | Future Systems Solutions). Und vielleicht gibt es hierfür ja noch weitere Möglichkeiten, genau das würde mich interessieren. Dachte bis jetzt, dass das Windows Image Backup auch auf die gleiche Weise arbeiten würde, was aber leider anscheinend nicht der Fall ist.
 
Anmelden, um zu antworten.

Ähnliche Themen

Amaya
Backupsoftware gesucht, ein System mit diversen Betriebsysteme und Datenträgern.
Antworten
3
Aufrufe
146
Amaya
Amaya
Amaya
Clients & Mainserver (TrueNas) Backup-Strategie Hilfe bei der Umsetzung
Antworten
7
Aufrufe
403
besterino
B
T
[Kaufberatung] Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
1
Aufrufe
913
Frecyboy
F
D
[Guide] Mein neuer Home-Server / NAS im kleinsten Server-PC der Welt [Mini-PC mit Xeon und ECC RAM]
Antworten
11
Aufrufe
862
dakazze
D
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh