Forum>Software>Time Machine Platte zusätzlich absichern

Time Machine Platte zusätzlich absichern

Smallersen11.08.1921:23
Hallo Forum,

das gibt mir zu denken: Der Computer von meinem Bruder ist gehackt/gesperrt worden, unter Linux. Die Hacker haben ihn angerufen wegen Lösegeld zur Freigabe. Wie das weitergeht ist noch unklar.

Mir ist klargeworden, dass meine stundenaktuelle Sicherheit eigentlich nur in Time Machine besteht. (Bei den Datenmengen die ich rumschaufle ist eine Cloud-Lösung unmöglich.)
Kann man die Time-Machine Platte, bei mir eine eingebaute immer laufende 6TB HD, zusätzlich absichern, andere Rechte z.B.?
Ich bin als Admin angemeldet und möchte auch als Admin angemeldet bleiben .
0

Kommentare

mistamilla
mistamilla11.08.1921:42
Smallersen

Zweite Backup-Platte anschaffen und im täglichen Turnus (oder Intervall deines Wunsches) tauschen. So verlierst du maximal einen Tag Arbeit.
„ITZA GOOTZIE“
+10
sahnehering11.08.1921:45
mistamilla
Smallersen

Zweite Platte anschaffen und im täglichen Turnus (oder Intervall deines Wunsches) tauschen. So verlierst du maximal einen Tag Arbeit.
Volle Zustimmung. Wenns noch "besser" sein soll: drei Platten und eine ausser Haus verwahren. Nur dann sollten die schon verschlüsselt sein!
„Kein Backup, kein Mitleid“
+4
Smallersen11.08.1922:24
Danke für die Antworten.
Zwei Platten habe ich schon, aber ich wechsle ca. im 3 Monate Turnus. Dann ist die Platte ziemlich voll und ich verlängere so den Zeitraum, indem ich von Null neu anfange.
Jeden Tag wechseln wäre eine Lösung, hieße dann zwei weitere 6 TB Platten, aber eine Menge täglicher Zusatzaktion.

Noch eine andere Lösung? Ich meine mich zu erinnern dass es vor einiger Zeit einen Virus/Trojaner o.ä. gab, der auch Time Machine verschlüsseln konnte. Das war irgendwie nicht verifiziert, ich habe die Berichte auch nicht weiter verfolgt. Das müsste man durch geeignete Maßnahmen doch verhindern können.
Bei mir ist Little Snitch ziemlich restriktiv im Einsatz, außerdem die Firewall von Mojave aktiviert.
0
Maniacintosh
Maniacintosh11.08.1922:46
Die Idee ist, dass Time Machine auf beide Festplatten Backups macht. Die zweite Platte wäre dann idealerweise eine externe Festplatte. Da hier ein Backup dann nur gemacht wird, wenn sie auch wirklich angeschlossen ist (eine eingebaute Platte ist ja immer angeschlossen.) Das Backup erfolgt dann abwechselnd auf die Platten. (Ohne es ausprobiert zu haben, aber laut einschlägigen Beschreibungen sind auch mehr als 2 Platten möglich.)

Backup-Strategie könnte dann z.B. wie folgt aussehen:
1.) Stündliche Backups auf die interne Platte
2.) Tägliches Backup auf die externe Platte
3.) ggf. noch zusätzlich ein wöchentliches Backup auf eine weitere externe Platte, die dann auch außer Haus gelagert wird.

Wenn es bei Time Machine bleiben soll, wird es wohl ganz ohne manuelle Aktionen nicht gehen, wenn die Sorge ist, dass ein Trojaner dir deine Festplatten (inkl. TM-Platten) verschlüsselt.
0
MikeMuc12.08.1908:38
Firewalls und LittleSnitch haben an dieser Stelle leider überhaupt keinen Einfluss, die überwachen lediglich Netzwerkverkehr.
0
larsvonhier
larsvonhier12.08.1908:40
Problem bei der x-fachen (fast) redundanten Time-Machine Sicherung: Sobald sich ein Trojaner/Wurm etc. auf dem Rechner befindet, wird der mit abgesichert. Zumindest von der TM Sicherung zu booten macht dann wenig Freude, da hat man den Schlamassel direkt wieder mit an Bord. Einzelne Dateien wiederherzustellen geht natürlich immer noch, sofern man ein zweites noch funktionierendes System hat.
M.E. empfiehlt sich hier eher, neben einer/zwei TM Sicherungen auch noch alle paar Tage/Wochen einen bootfähigen Clone des Laufwerks anzufertigen, mit CCC oder SupderDuper beispielsweise. So könnte man im Ernstfall davon booten, ohne Infektion, und dann aus der infizierten TM Sicherung die User-Daten wieder herstellen.
+1
ssb
ssb12.08.1910:36
Die Idee, die HDD auszutauschen, wenn sie voll ist und dann immer von vorne anzufangen - das alle 3 Monate. Das bedeutet da werden 6 TB Daten alle 3 Monate gesichert. Wie groß ist denn der 1. Backup, wenn du von neuem beginnst?
Vielleicht ist es nicht sinnvoll, immer alles zu sichern. Ich sichere zum Beispiel nur meine Daten, nie meine Programme oder das System. Sollte sich Malware im System einnisten, dann kommt es also gar nicht erst auf das Back-Up. Wenn ich einen Restore machen muss, dann muss ich das System wieder komplett neu installieren, die Software wieder installieren (aus dem AppStore eh kein Problem) und dann kann ich selektiv meine Daten wieder zurück kopieren.

Wichtig ist mir aber auch, dass die TM-Medien NICHT vom Rechner aus direkt beschrieben werden. Solltest du dir einen Trojaner einfangen, dann wird er alle angeschlossenen Medien verschlüsseln. Daher mache ich die Sicherung immer auf eine NAS. Das ist ein unabhängiges Gerät auf dem auch Mal-Ware-Scanner laufen. Natürlich ist das via LAN langsamer als eine direkt angeschlossene HDD, aber mit den entsprechenden Zugriffsberechtigungen (TM hat auf meiner NAS einen eigenen User, auch wegen Quota) passiert der NAS selbst relativ wenig. Die Malware wird dann möglicherweise mitgesichert - aber sie wird auf der NAS höchstwahrscheinlich nicht ausgeführt. Die Malware könnte also nur dann auf der NAS sein Unwesen treiben, wenn sie gemounted ist - also während TM einen Backup ausführt.

Um anderen Gefahren (Verlust durch Brand etc.) vorzubeugen bräuchte man dann noch eine 2. NAS die außer Haus bei einer vertrauenswürdigen Person untergebracht ist - dann kann deine lokale NAS zum Beispiel Nachts einen Backup auf die externe NAS durchführen.
0
mac_heibu12.08.1910:52
Ich gehe einen anderen Weg und nutze diese Software des renommierten Sicherheitsexperten Patrick Wardle.
Die kleine, genügsame App überwacht alle Verschlüsselungsvorgänge auf deinem Rechner und verfügt über eine Datenbank „unbedenklicher“ Verschlüsselungsaktionen. Immer wenn fremde Prozesse dieser Art starten, wird eine Warnung ausgegeben, die es erlaubt, den Prozess zu stoppen oder zu erlauben. Auf diese Weise wird im Angriffsfalle höchstens eine Datei – nämlich die erste – unbrauchbar.
+9
Wiesi
Wiesi12.08.1910:56
Hallo Smallersen,

Der Backup ist dreierlei Gefahren ausgesetzt:
1) Ausfall des Mediums
2) Verschlüsselung oder Zerstörung durch Malware
3) Diebstahl oder mechanische Zerstörung

Gegen 1) hilft der Anschluß eines zweiten Laufwerks. Es macht kaum Sinn, die beiden Laufwerke mit unterschiedlichen Taktraten laufen zu lassen. Der Speicherverbrauch ist wegen der regelmäßigen Konsolidierung fast gleich. Die Details hängen auch davon ab, ob die Quelle mit APFS formatiert ist oder nicht. Für die TM reichen rotierende 3,5" Platten völlig aus. Zwei Laufwerke sind besser als ein entsprechendes RAID, weil diese weniger gemeinsame Teile haben. Sicherung auf einem NAS ist nur sinnvoll, wenn mehrere System zu sichern sind.

Die Maßnahmen von 1) reichen nicht aus, um die Gefahr 2.) zu bannen, weil auch die Backup-Dateien selbst gefährdet sind. Hier hilft nur ein Bootable Clone. Der Clone ist nach jedem Kopieren abzustöpseln. Ich benutze dafür CCC mit eingeschaltetem Safety-Net. CCC ist insbesondere wegen der exzellenten Dokumentation zu empfehlen.

Wegen 3) sollte der Clone nach dem Abstöpseln an einem sicheren Ort aufbewahrt werden. Gegen Spionage (auch durch den Staat) ist verstecken oft besser als ein Safe, weil dieser die Diebe anzieht.

Eine gut gemachte Verschlüsselungssoftware beginnt nicht sofort mit der Arbeit sondern wartet erst ein paar Tage bis sie auf die Clones (und alle Systeme im Netz) übernommen wird. Sie arbeitet auch nicht mit voller Rechenleistung, sondern ganz gemächlich im Hintergrund, weil sie sonst sofort auffällt. Während der Verschlüsselung muß das System erhalten bleiben. Es muß also zunächst an Kopien gearbeitet werden. Diese fallen dann aber beim Klonen als zusätzlich zu sichernde Datenmenge auf. Deswegen ist es gut, die Menge der kopierten Daten im Auge zu behalten. (Aber keine Panik, wenn es mal etwas mehr ist.)

Ich würde CCC auf zwei SSDs im Tagesrhythmus arbeiten lassen. Wenn Daten zerstört wurden, kannst Du die intakte Version aus dem Safety-Net rekonstruieren.

Eine primitive Malware macht sich keine Mühe mit dem Verschlüsseln großer Datenmengen, sondern legt das System in wenigen Sekunden lahm. Mit einiger Mühe lasen sich dann die meisten Daten rekonstruieren. Das hast Du aber garnicht nötig, denn Du hast ja Deinen Clone.

Beim Restaurieren der Daten musst Du allerdings damit rechnen, daß die Malware bereits auf dem Clone liegt. Um sie los zu werden muß Du ein frisches System installieren und nur die Daten per Migrationsassistent hinzufügen. Achtung: Bis jetzt kann sich die Malware noch unter den Daten und Bibliotheken in Deinem User verbergen, braucht dann aber einen speziellen Launcher. Sachkundige Hilfe kann also nicht schaden.

Dadurch daß, Du dich immer als Admin einlogst, machst Du es der Malware etwas leichter. Wenn Du als normaler User arbeitest, kannst Du sicher sein, daß Du nur vom Premium-Malware angefallen wirst. Wenn Du darauf keinen Wert legst, mach es Dir weiter bequem.
„Everything should be as simple as possible, but not simpler“
+3
Wiesi
Wiesi12.08.1911:31
Nachtrag:

Nicht alle SSD sind ohne besondere Vorkehrungen abstöpselbar. Vorher auswerfen ist selbstverständlich und wird CCC auf Wunsch übernommen. Eine absolut sichere Malware-Abwehr gibt es nicht, besonders wenn man eines der ersten Opfer ist. Aber juristisch gesehen ist es immer gut, Vorkehrungen zu treffen, die einem vor dem Vorwurf der Fahrlässigkeit bewahren.

Ein Bootable Clone ist für diverse Zwecke sehr nützlich. Für eine reine Datensicherung ist eine genaue Spezifikation der zu sichernden Verzeichnisse besser, schneller und Ressourcen schonender.
„Everything should be as simple as possible, but not simpler“
+1
Smallersen12.08.1915:12
Danke an alle für die interessanten Antworten.

@Maniacintosh: Mir ist klargeworden, dass ein tägliches Wechseln der Platte kaum hilft. Wie hier schon angesprochen kann der Trojaner eine Weile warten bis er losschlägt. Dann wären immer noch alle Backups betroffen.

@MikeMuc: m.E. laden fast alle Trojaner aus dem Internet nach bzw. sind auf Kontakt mit den entsprechenden Servern angewiesen. Wird das nicht evtl. verhindert?

@ssb: Wenn ich die Platte austausche sind da meist 5 TB Daten drauf. Die zweite Platte lösche ich jeweils und das neue Backup startet dann mit vielleicht 2TB. Es gibt schon viele Ressourcen-Ordner die ich aus Time Machine exkludiert habe und die extra (doppelt) extern gesichert sind. Das sind Ordner die sich quasi nicht ändern. Immer noch fallen pro Monat ca. 1 - 1,5 TB an neuen Daten an.

Die Idee mit dem NAS scheint mir momentan am vielversprechensten. Das werde ich weiterverfolgen, danke für den Tipp!

@Wiesi: Da ich mit einem Hackintosh arbeite mache ich ständig CCC Backups des Systems. Eine zweite NVME System Disk als ständiger Clone des Systems und zwei externe SSD mit allen Systemdateien und Programminstallationen halbwegs aktuell. Das System ist also kein Problem. Trojanerfrei booten würde immer gehen.
Es geht eher um den taglichen Umgang mit Kundendateien, wo es zu bestimmten Zeitpunkten katastrophal wäre wenn zwischendurch etwas schiefgeht und vor allem auch das TimeMachine Backup betroffen wäre.

Noch eine kleine Geschichte am Rande:
Bei ebay-kleinanzeigen vor 2 Wochen etwas eingestellt zum Verkauf. Zwei Stunden später kommt eine Mail scheinbar von ebay-kleinanzeigen, die wirklich perfekt gemacht darauf hinweist, dass "das Artikelfoto schon in einer anderen Anzeige verwendet wurde". Komische Sache, das Foto hatte ich selber gemacht.
Das hat mich tatsächlich (zum erstenmal glaub ich) dazu gebracht, unbedacht auf den Link in der Mail zu klicken. Die folgende Seite war dann gottseidank nicht mehr gut gemacht und wollte meine Zugangsdaten zu ebay-kleinanzeigen.
Schon der Umstand dass die Hacker meine reale Mailadresse der Anzeige zuordnen konnten war erschreckend.
0
Weia
Weia12.08.1918:56
Smallersen
Ich bin als Admin angemeldet und möchte auch als Admin angemeldet bleiben .
Sorry, wenn ich blöd frage, aber: Wie kann jemand, der sich um die Sicherheit seines Computers sorgt, auf die Idee kommen, dauerhaft von einem Admin-Konto aus zu arbeiten?
+4
mistamilla
mistamilla12.08.1919:17
Weil für die wirklich wichtigen Sachen sowieso das Passwort abgefragt wird?
Weia
Smallersen
Ich bin als Admin angemeldet und möchte auch als Admin angemeldet bleiben .
Sorry, wenn ich blöd frage, aber: Wie kann jemand, der sich um die Sicherheit seines Computers sorgt, auf die Idee kommen, dauerhaft von einem Admin-Konto aus zu arbeiten?
„ITZA GOOTZIE“
+1
Weia
Weia12.08.1919:43
mistamilla
Weil für die wirklich wichtigen Sachen sowieso das Passwort abgefragt wird?
Dann gäbe es doch erst recht keinen Vorteil, als Admin zu arbeiten?!?
+1
mistamilla
mistamilla12.08.1919:48
Es gibt leider immer noch genügend Anwendungen, welche den admin-User voraussetzen und unter einem Standard-User nicht richtig laufen oder sich bockig verhalten und laufend für irgendwelche Vorgänge den Admin abfragen.
Weia
mistamilla
Weil für die wirklich wichtigen Sachen sowieso das Passwort abgefragt wird?
Dann gäbe es doch erst recht keinen Vorteil, als Admin zu arbeiten?!?
„ITZA GOOTZIE“
+1
Weia
Weia12.08.1920:03
mistamilla
Es gibt leider immer noch genügend Anwendungen, welche den admin-User voraussetzen und unter einem Standard-User nicht richtig laufen oder sich bockig verhalten und laufend für irgendwelche Vorgänge den Admin abfragen.
Software auf diesem Qualitätsniveau würde ich meiden wie der Teufel das Weihwasser.
+3
Wiesi
Wiesi12.08.1921:08
Weia

darf ich dich daran erinnern, daß Smallersen auf einem Hackintosh arbeitet? Da gelten in puncto Sicherheit wohl ganz andere Regeln. Nun kannst Du Dich echauffieren, daß er darauf ein Geschäft betreibt. Aber mach es bitte kurz und anständig.
„Everything should be as simple as possible, but not simpler“
0
Weia
Weia12.08.1921:12
Wiesi
darf ich dich daran erinnern, daß Smallersen auf einem Hackintosh arbeitet?
Ach so, ja, stimmt. Auch etwas kurios, wenn man von Sicherheitsängsten geplagt wird.
Da gelten in puncto Sicherheit wohl ganz andere Regeln. Nun kannst Du Dich echauffieren, daß er darauf ein Geschäft betreibt.
Neinnein, ich schweige wie ein Grab.
+1
Smallersen13.08.1901:18
Leider brauche ich neben der Sicherheit auch sehr, sehr viel Rechenpower. Da gab es von Apple lange gar nichts.

Momentan 10.000 € oder mehr für einen adäquaten iMac Pro auszugeben der noch nicht mal vernünftig erweiterbar ist (z.B. 2 oder auch mehr interne NVME Disks) finde ich übertrieben.

Mein Hackintosh läuft stabiler als mein Macbook, unglaublich aber wahr. In den Foren ist von gehackten Hackintoshs nie die Rede, ich glaube nicht dass das wesentlich unsicherer ist - ist ein Vanilla System, d.h. unverändert. Kann ich mit dem Macbook austauschen.

Ansonsten werde ich jetzt ein Synology DS218j kaufen. Scheint mir eine gute Lösung zu sein obwohl immer noch Fragen offen bleiben.
0
ssb
ssb13.08.1909:38
Smallersen
Ansonsten werde ich jetzt ein Synology DS218j kaufen. Scheint mir eine gute Lösung zu sein obwohl immer noch Fragen offen bleiben.
Ich weiß jetzt nicht genau, ob ich eine DS216j oder auch eine DS218j habe. Die ist auf jeden Fall einfach in der Konfiguration und im Handling. Auch die Betriebsgeräusche sind gut zu ertragen.

Meine Tipps dazu:
  • Nutze Mirror-RAID, du bekommst zwar nur die Größe einer Platte, aber hast eben auch eine Platte Redundanz.
  • Besorge dir rechtzeitig eine Ersatz-HDD, damit du sie schnell tauschen kannst, falls eine zu häufig SMART- oder I/O-Fehler anzeigt.
  • Sichere nur via TM, was sich wirklich regelmäßig ändert - aber das machst du scheinbar bereits.
  • Solltest du das NAS auch als Zwischenlager etc. nutzen wollen, dann lege dir für TM auf der NAS einen eigenen User mit Disk-Quota an und einen zum Zugriff auf das Zwischenlager. Wenn ein initiales Backup ca. 2 TB groß ist und du nicht so viel Wert auf Versionierung legst, dann sollte ein Quota von 4 TB reichen. TM räumt die Backups regelmäßig auf, wenn der Platz auf dem Medium knapp wird. Das beginnt, wenn das Disk-Quota erreicht wird. Ohne Quota nutzt TM natürlich den gesamten verfügbaren Platz auf der NAS. Mit dem TM-User kannst du das Backup auch davor schützen, dass bei der Arbeit auf dem "normalen" Share irgendwas dort manipuliert wird, da nur der TM-Agent diese Credentials nutzt und das Volume nur während eines laufenden Backups gemountet ist und meist auch nicht im Finder erscheint.
+1
Smallersen14.08.1901:22
Hallo sbb,
danke für die Tipps - so ähnlich werde ich es machen.
Spiegeln werde ich nicht. Bei einem TM-Festplattenfehler gibt es immer noch die Originale. Dass Platten in zwei verschiedenen Geräten gleichzeitig ausfallen ist extrem unwahrscheinlich. Mein letzter Festplatten-Crash ist 15 Jahre her - und ich habe den Schrank voll mit Archivplatten und SSDs.
Auf dem NAS landet nichts außer dem TM Backup, also Quota volle Platte.
Ich lasse das System nie entscheiden welches alte Backup gelöscht wird. Unter 1 TB Platz auf der TM Platte fange ich ein neues Backup an.

Falls jemand noch Ideen oder hilfreiche Links zu folgenden Problemen hat:
1. Es können auch infizierte Dateien gebackupt worden sein wenn ein Trojaner z.B. erst einmal einen Tag lang schläft. Das heißt, bei der Wiederherstellung könnte man direkt wieder infiziert werden.
2. TimeMachine könnte weiterarbeiten und munter verschlüsselte Daten auf dem NAS sichern.
3. Die Time Machine Daten sind nicht "reparierbar", d.h. ein Trojaner ließe sich nicht vom Time Machine NAS entfernen.
Das sind verschiedene worst cases, aber es ist klar, dass auch das NAS keine vollständige Sicherheit bietet.

Ansonsten danke an alle für die hilfreichen Tipps. Die Einschläge bei der Sicherheit kommen näher auf dem Mac...
0
Weia
Weia14.08.1901:37
Smallersen
3. Die Time Machine Daten sind nicht "reparierbar", d.h. ein Trojaner ließe sich nicht vom Time Machine NAS entfernen.
Inwiefern? Wenn Du weißt, welche Dateien gelöscht werden müssen, kannst Du sie doch auch in Time Machine löschen. Du kannst in Time Machine jede beliebige Datei mit einem Rechtsklick anwählen und sagen, dass alle Versionen dieser Datei restlos entfernt werden sollen.
+1
Marcel Bresink14.08.1909:06
Smallersen
Ich lasse das System nie entscheiden welches alte Backup gelöscht wird.

Das ist mit Time Machine technisch gar nicht möglich und auch nicht sinnvoll. Völlig unabhängig vom Füllgrad der Zielplatte bereinigt Time Machine zum Beispiel jeden Samstag die Wochensicherungen, so dass nur noch die Situation am Ende der jeweiligen Woche erhalten bleibt und alle Zwischenstände im Verlauf der Woche gelöscht werden.
Smallersen
1. Es können auch infizierte Dateien gebackupt worden sein wenn ein Trojaner z.B. erst einmal einen Tag lang schläft. Das heißt, bei der Wiederherstellung könnte man direkt wieder infiziert werden.

Das ist bei jeder Datensicherung natürlich immer so. Aber wenn der Zeitpunkt der Infizierung feststeht, kann man den letzten Schnappschuss davor wiederherstellen, was durch die Architektur von Time Machine besonders einfach ist. Später geänderte, aber unbeschädigte Dateien könnte man dann aus den nachfolgenden Schnappschüssen rekonstruieren.
Smallersen
2. TimeMachine könnte weiterarbeiten und munter verschlüsselte Daten auf dem NAS sichern.

Ja, aber das stört ja nicht weiter.
Smallersen
3. Die Time Machine Daten sind nicht "reparierbar", d.h. ein Trojaner ließe sich nicht vom Time Machine NAS entfernen.

Wie schon erwähnt, stimmt das so nicht. Wenn feststeht, in welchen Dateien der Trojaner liegt, lassen sich diese in Time Machine einfach und bequem entfernen, ohne andere Teile der Datensicherung zu berühren.
0
Marcel Bresink14.08.1909:19
Weia
Wie kann jemand, der sich um die Sicherheit seines Computers sorgt, auf die Idee kommen, dauerhaft von einem Admin-Konto aus zu arbeiten?

Weil dieses Problem seit langem bekannt ist und die Hersteller der meisten Unix-Systeme dies inzwischen auf ein gesundes Maß entschärft haben. Als "echter" Administrator (root) meldet sich niemand mehr an und die als "administrativ" markierten Benutzer haben kaum mehr Rechte als ein normaler Account. Beim Mac wurde das ab Mac OS X 10.7 Lion implementiert.

Zu den wenigen Vorrechten, die ein Mac-Administrator noch hat, gehört das Handling von "sudo" auf der Befehlszeile und das Standardleserecht für bestimmte interne Daten, z.B. die Systemprotokolle.
0
rosss14.08.1909:47
Da zu befürchten ist, dass dieser Hinweis im Thread übersehen werden kann, hier nochmal die Wiederholung im Vormittagsprogramm.
mac_heibu
Ich gehe einen anderen Weg und nutze diese Software des renommierten Sicherheitsexperten Patrick Wardle.
+1
Weia
Weia14.08.1909:56
Marcel Bresink
die als "administrativ" markierten Benutzer haben kaum mehr Rechte als ein normaler Account.
Das sehe ich anders. Admin-Nutzer haben u.a. ein ganz entscheidendes Recht: Ohne Passwort Programme in /Applications/ ablegen zu können, also auch gut gemachte Trojaner, auf die dann ggf. ein anderer Nutzer (oder man selbst später) doppelklickt nach dem Motto: Oooops, was ist das denn, habe ich ja noch gar nicht bemerkt? Die Suggestion, dass alles, was innerhalb von /Applications/ liegt, quasi offiziell und also risikolos ist, ist doch sehr stark.

Umkehrt stellt sich die Frage, was man sich denn für Vorteile davon verspricht, von einem Admin-Konto aus zu arbeiten. Im Terminal tippt man als Standardnutzer halt su admin und dann sudo ein statt nur sudo, das ist kein großes Ding. Einzig der fehlende Zugriff auf die Systemprotokolle in Konsole nervt, das stimmt; da sollte Apple nachbessern und in Konsole nach Eingabe des Adminpassworts Zugriff auch auf diese Protokolle erlauben.

Bleibt noch das von mistamilla angesprochene Problem, dass ein paar Software-Hersteller derart inkompetent sind, dass ihre Programme in Standard-Accounts zicken, aber wie gesagt, diese Programme sollte man IMHO ohnehin zum Teufel jagen. (Wie vertrauenswürdig ist die Nutzung eines Programms, das in einem Standard-Account nicht korrekt funktioniert?)
+1
stevie9314.08.1910:05
larsvonhier
Problem bei der x-fachen (fast) redundanten Time-Machine Sicherung: Sobald sich ein Trojaner/Wurm etc. auf dem Rechner befindet, wird der mit abgesichert. Zumindest von der TM Sicherung zu booten macht dann wenig Freude, da hat man den Schlamassel direkt wieder mit an Bord. Einzelne Dateien wiederherzustellen geht natürlich immer noch, sofern man ein zweites noch funktionierendes System hat.
M.E. empfiehlt sich hier eher, neben einer/zwei TM Sicherungen auch noch alle paar Tage/Wochen einen bootfähigen Clone des Laufwerks anzufertigen, mit CCC oder SupderDuper beispielsweise. So könnte man im Ernstfall davon booten, ohne Infektion, und dann aus der infizierten TM Sicherung die User-Daten wieder herstellen.

so Danke! Wer den Verschlüsselungstrojaner bekommt oder etc. der hat den auch auf m Backup. Somit kannst es auch auf 10 platten sichern was völliger blödsinn is. Meiner Meinung nach is des einfach pech das jedem passieren kann und wenn es so is dann is es so. Ich hab alles auf einem NAS und die Bilder die mir wichtig sind von Family und Co. in meiner iCloud somit is das thema gegessen.

zusätzliches Backup zur Time Maschine is völlig sinnlos vorallem bei deinem Fallbeispiel
0
Marcel Bresink14.08.1910:44
Weia
Die Suggestion, dass alles, was innerhalb von /Applications/ liegt, quasi offiziell und also risikolos ist, ist doch sehr stark.

Das würde ich bezweifeln. Wenn der Trojaner einen Programme-Ordner im Privatordner des Benutzers anlegt oder im "Geteilt"-Bereich, lädt das genauso zum Anklicken ein.
Weia
Bleibt noch das von mistamilla angesprochene Problem, dass ein paar Software-Hersteller derart inkompetent sind, dass ihre Programme in Standard-Accounts zicken,

Das liegt in 99% der Fälle an Apple, denn in dem Mechanismus (die "Authorization Services"), mit denen Programme in Standard-Accounts privilegierte Vorgänge ausführen können sollen, häufen sich seit Jahren immer mehr Bugs an, die nicht behoben werden. In der Internationalisierung sind inzwischen mehrere Konstruktionsfehler, der Zugriff auf Touch-ID funktioniert nicht, etc.
Weia
Wie vertrauenswürdig ist die Nutzung eines Programms, das in einem Standard-Account nicht korrekt funktioniert?

In vielen Fällen ist es vertrauenswürdiger, denn diese Vorgehensweise macht ja noch bewusster, dass Admin-Rechte benötigt werden. Die Programme, die das über einen Standard-Account machen, sind in der Regel unsicherer, denn sie nutzen in der Regel Sicherheitsmängel in macOS, die noch aus der Jaguar-Ära von Mac OS X stammen, aber aus Kompatibilitätsgründen bis heute im System verblieben sind.
0
Weia
Weia14.08.1911:09
Marcel Bresink
Das würde ich bezweifeln. Wenn der Trojaner einen Programme-Ordner im Privatordner des Benutzers anlegt oder im "Geteilt"-Bereich, lädt das genauso zum Anklicken ein.
Nicht in dem Maße, finde ich. Und vor allem lädt es nur einen einzigen Nutzer ein (gut, das ist egal, wenn nur eine Person den Mac nutzt).
Weia
Bleibt noch das von mistamilla angesprochene Problem, dass ein paar Software-Hersteller derart inkompetent sind, dass ihre Programme in Standard-Accounts zicken,
Das liegt in 99% der Fälle an Apple, denn in dem Mechanismus (die "Authorization Services"), mit denen Programme in Standard-Accounts privilegierte Vorgänge ausführen können sollen, häufen sich seit Jahren immer mehr Bugs an, die nicht behoben werden.
Mit etwas Sorgfalt bekommt man das dennoch hin. Aber das meinte ich gar nicht. Ich meinte Programme, die überhaupt keine Authorization Services benutzen, sondern schlicht deswegen nicht korrekt funktionieren, weil sie vom Entwickler niemals auf einem Standard-Account getestet wurden und einfach davon ausgehen, mit Admin-Rechten zu laufen. Davon gibt es leider einige.
Weia
Wie vertrauenswürdig ist die Nutzung eines Programms, das in einem Standard-Account nicht korrekt funktioniert?
In vielen Fällen ist es vertrauenswürdiger, denn diese Vorgehensweise macht ja noch bewusster, dass Admin-Rechte benötigt werden.
Wenn das Programm ohne jeden Hinweis auf die Problemursache schlicht nicht funktioniert, macht es lediglich bewusst, dass der Hersteller Mist gebaut hat, und sonst gar nichts. Auf die Idee, dass das Programm in einem Admin-Account aber funktionieren würde, muss man ja erstmal kommen. Ich weiß nicht, wie das mittlerweile ist, weil ich deren Produkte nicht mal mehr mit der Kneifzange anfasse, aber Adobe war diesbezüglich früher oftmals ein Paradebeispiel von Inkompetenz.
0
Marcel Bresink14.08.1911:20
Weia
Und vor allem lädt es nur einen einzigen Nutzer ein (gut, das ist egal, wenn nur eine Person den Mac nutzt).

Naja, aber Nutzer, die auf diesem Niveau mit dem Mac arbeiten, starten wahrscheinlich alle Programme über Launchpad und betreiben den Finder in der Standardeinstellung "Neue Fenster zeigen 'Zuletzt benutzt'". In diesen Fällen wird überhaupt nicht angezeigt, wo ein Programm liegt.
Weia
Ich meinte Programme, die überhaupt keine Authorization Services benutzen

Ach so, also Programme, die sich noch nicht einmal bewusst sind, dass sie privilegierte Rechte benötigen, um ihre Arbeit zu erledigen? Dann stimme ich zu. Die sind natürlich sowieso Schrott.
0
Weia
Weia14.08.1912:48
Marcel Bresink
Ach so, also Programme, die sich noch nicht einmal bewusst sind, dass sie privilegierte Rechte benötigen, um ihre Arbeit zu erledigen?
Yep. Davon sind mir mehr untergekommen, als ich erwartet hätte.
Dann stimme ich zu. Die sind natürlich sowieso Schrott.
Eben.
0
WePe14.08.1914:10
Bei den Gefahren für Time-Machine-Backups sollte man vielleicht noch Time-Machine selbst erwähnen:
Wie ich vor kurzem erfahren musste gibt es bestimmte Dateien, die - warum auch immer - von Time-Machine problemlos "gebackupt" werden, dann aber - unter bestimmten Bedingungen??? - das Einspielen eines Backups sicher verhindern...

Beispiele:
- /[USERFOLDER]/Library/Group Containers/2BUA8C4S2C.com.agilebits/App Store Receipts/receipt (gehört zur App "1Password")
- /[USERFOLDER]/Library/Application Support/WiFi Signal/_MASReceipt/receipt (gehört zur App "WiFi Signal")
- /[USERFOLDER]/Library/Group Containers/PB4R74AA4J.com.junecloud.Deliveries/receipt (gehört zur App "Lieferungen"; diese Datei hat z.B. bei mir das Problem verursacht!)

(Ein Artikel zu diesem Problem findet sich unter: "https://discussions.agilebits.com/discussion/99295/full-tim e-machine-restore-failed-due-to-receipt-folder-of-1password- 6-from-mac-app-store")

Das Problem wird dadurch besonders "fies", dass Time-Machine beim Restore bei diesen Dateien einfach mit einen nichtssagenden Fehlermeldung "stehen bleibt" (bei mir nach ca. 8 Stunden...) und dummer Weise keine Möglichkeit bietet, die betreffende - nach meinen Erfahrungen "verzichtbare" - Datei einfach zu überspringen! Ach Apple...

Die einzige Lösung:
1. Einsehen des Restore-Protokolls (über den Menüpunkt "Fenster" in der Wiederherstellungsumgebung)
2. Am Ende der Datei gibt es eine Textzeile mit dem Begriff "critical failure" und dem Pfadnamen der "Problemdatei"
3. Wenn alles gut geht, kann diese Datei über die Bedienoberfläche von Time-Machine (NICHT über den Finder!) aus allen Backups gelöscht werden
4. Nach weiteren z.B. 8 Stunden sieht man dann, ob die kritische Stelle "überwunden" wird - und ob es vielleicht eine weitere "Problemdatei" gibt; wenn JA: Gehe zu Schritt 1!

Wenn zeitgleich die CCC-Festplatte ihren Geist aufgibt kann das beschriebene Problem trotz mehrere Time-Machine-Festplatten (die alle die Problemdatei enthalten...) die Nerven ernsthaft schädigen...
+1
almdudi
almdudi14.08.1919:12
Ich würde alle wirklich wichtigen Dateien - also private Fotos und Dokumente, die sich nicht wiederherstellen oder irgendwoher bekommen lassen - ganz simpel manuell - und am besten mehrfach - sichern.
Das sollte verhindern, daß Malware mit Verzögerungszünder einen Schaden anrichtet. Es sei denn, jemand macht sich die Mühe, eine solche Malware so zu programmieren, daß sie sich beim reinen Kopieren einzelner Dateien mitschleicht auf das Sicherungsmedium. Dann müsste die Malware als Programm ja auch auf diesem Backupvolume laufen können, und zwar bevor man den Schaden auf dem Arbeitsvolume merkt.
0
linux4n614.08.1919:28
Wer ganz sicher gehen will, kann folgendes tun:

Erstens normale Time Machine Backups auf verschiedene externe USB Festplatten (mindestens 2), die wechselweise an den Rechner angeschlossen werden. Optimalerweise täglicher Wechsel, sonst alle paar Tage oder 1x wöchentlich. Je wichtiger das Backup ist, desto öfter sichern und wechseln.

Zweitens ein gelegentliches Vollbackup mittels SuperDuper! oder Carbon Copy Cloner - was auch den Vorteil hat, dass eventuell nicht von Time Machine gesicherte Verzeichnisse (z.B. virtuelle Maschinen) ebenfalls gesichert werden. Je nach Menge der veränderten Daten und deren Bedeutung z.B. 1x wöchentlich oder 1x monatlich ausführen.

Drittens kann das System durch Software abgesichert werden. Hier vor allem durch RansomWhere (kostenlos), siehe . Vom gleichen Autor (Patrick Wardle) gibt es noch weitere interessante Tools, z.B. Lulu, OverSight oder KnockKnock, siehe .

Ich selbst nutze eine Time Capsule als permanentes Standardziel für die Time Machine. Dazu abwechselnd 2 USB3 Festplatten. Time Machine sichert dann das nächste Backup extern, sobald eine der USB Platten angeschlossen ist. Zusätzlich eine dritte externe HDD bzw. SSD für Carbon Copy Cloner.

Und selbstverständlich sind alle HDD und SSD Speichermedien verschlüsselt! Und nur kurzfristig an iMac und Macbook angeschlossen, nur für die Dauer der TM Sicherung. Nur die Time Capsule ist immer verbunden.

Thomas
+1
Smallersen14.08.1923:35
Weia
Smallersen
3. Die Time Machine Daten sind nicht "reparierbar", d.h. ein Trojaner ließe sich nicht vom Time Machine NAS entfernen.
Inwiefern? Wenn Du weißt, welche Dateien gelöscht werden müssen, kannst Du sie doch auch in Time Machine löschen. Du kannst in Time Machine jede beliebige Datei mit einem Rechtsklick anwählen und sagen, dass alle Versionen dieser Datei restlos entfernt werden sollen.

Hallo Weia,
danke für Deine Antwort, genau das meine ich: Was hilft es aber alle Versionen einer Datei zu löschen wenn z.B. nur die letzte infiziert ist? Dann sind alle Versionen verloren. Es kann sich ja um tausende infizierte Dateien handeln, das kann man händisch eh nicht erledigen.
Es wäre (mit MAC Hausmitteln) doch nicht möglich z.B. nur die letzten 5 Backups (= 5 Stunden) komplett zu löschen, oder? Das meine ich mit reparieren. Die infizierten Dateien löschen, die guten Verisonen behalten.
0
Weia
Weia14.08.1923:49
Smallersen
genau das meine ich: Was hilft es alle Versionen einer Datei zu löschen wenn z.B. nur die letzte infiziert ist? Dann sind alle Versionen verloren. Es kann sich ja um tausende infizierte Dateien handeln, das kann man händisch eh nicht erledigen.
Das verstehe ich nicht. Wenn Du dir einen Virus eingefangen hast, ist es doch nicht so, dass irgendwelche Deiner Dokument-Dateien, also z.B. ein PDF oder ein Pages-Dokument, „infiziert“ sind. Sondern es sind zusätzliche Schädlingsdateien auf dem Rechner (und das sind auch nicht „Tausende“, sondern ein paar) – und die willst Du natürlich restlos löschen.

Die einzige Ausnahme, die mir jetzt einfiele, wären kompromittierte Programme, wo die Originalversion durch eine gehackte ersetzt wurde. Aber da kannst Du doch auch einfach das Programm restlos von Time Machine löschen und dann neu aus vertrauenswürdiger Quelle herunterladen und installieren.
Das meine ich mit reparieren. Die infizierten Dateien löschen, die guten Verisonen behalten.
Was bitte sollen „infizierte Dateien“ sein?
0
Smallersen15.08.1907:45
Momentan gibt es das von mir befürchtete Szenario noch nicht, aber wer weiß was in den nächsten Jahren alles kommt - darum geht es bei meiner ursprünglichen Anfrage.
Infizierte Dateien wären vor allem ganze Ordner und Volumes, wo sich bei den mehreren Millionen Dateien, die auf einem Rechner liegen kompromitiertes befinden könnte.

Mir hat vor allem KeRanger Sorge gemacht. Das erste Mal soviel ich weiß dass auch Time Machine Daten angegriffen wurden.
0
Marcel Bresink15.08.1908:32
Smallersen
Es wäre (mit MAC Hausmitteln) doch nicht möglich z.B. nur die letzten 5 Backups (= 5 Stunden) komplett zu löschen, oder?

Natürlich geht das. Sowohl per grafischer Oberfläche als auch per Befehlszeile.
Smallersen
Das erste Mal soviel ich weiß dass auch Time Machine Daten angegriffen wurden.

Das ist auf normalem Wege nicht möglich. Time Machine-Sicherungen sind seit einigen Systemgenerationen durch mehrere, voneinander unabhängig arbeitende Sicherheitsmechanismen geschützt.
0
Weia
Weia15.08.1909:59
Smallersen
Momentan gibt es das von mir befürchtete Szenario noch nicht
Das kann es auch nicht geben. Du steigerst Dich da in etwas hinein. Nochmals: Was bitte soll eine „infizierte Datei“ oder gar ein „infizierter Ordner“ sein?
Mir hat vor allem KeRanger Sorge gemacht.
Der verschlüsselt aber Dateien und „infiziert“ sie nicht. Das ist etwas ziemlich anderes.
0
RichMcTcNs15.08.1911:24
[quote=Marcel Bresink]
Das ist auf normalem Wege nicht möglich. Time Machine-Sicherungen sind seit einigen Systemgenerationen durch mehrere, voneinander unabhängig arbeitende Sicherheitsmechanismen geschützt.
[/
Ist es also nach Deiner Einschätzung zur Zeit wenig wahrscheinlich, dass eine über Netz dauerhaft verbundene TimeCapsule durch eine Schadsoftware verschlüsselt wird?
0
Marcel Bresink15.08.1911:42
Ja, so ist es.

In so einer Konstellation dürfte es allerdings einfacher sein, nicht die Dateien in der Sicherung, sondern den File Server der Time Capsule anzugreifen, um dort alle Bundles zu löschen, in denen sich die virtuellen Platten der Datensicherungen befinden.
0
Micke64
Micke6415.08.1917:00
Warum nicht ein sehr gutes Sicherheitssystem installieren. Was ich nicht verstehe, viele
nehmen ein kostenloses, werfen aber das Geld für unwichtige Dinge zum Fenster raus.
Meine Privatdaten, Software, Bilder und Musik sind immer zusätzlich auf einer externen
Festplatte gesichert, da ich dummerweise mal die ganze Festplatte gelöscht habe, als ich
Bootcamp löschen wollte.
Seither ist Windows auf einer externen SSDFestplatte.
TimeMachine ist super, wird auch von Bitdefender zusätzlich überwacht, wer möchte.
0
Smallersen15.08.1920:16
Weia
Das kann es auch nicht geben. Du steigerst Dich da in etwas hinein.

Das Problem ist eher, dass ich meistens viel zu sorglos agiere, für die Profis hier sicher haarsträubend. Dabei habe ich aber Time Machine immer im Hinterkopf als Fallback. Mit Time Machine darf aber ganz sicher nichts schiefgehen, deshalb dieser Thread. Vielleicht habe ich zuviel Respekt vor der Findigkeit von Hackern, aber m.E. macht es Sinn auch momentan undenkbare Szenarien zu berücksichten.
Mit dem Auslagern von Time Machine auf ein NAS bin ich erst einmal zufrieden, danke an alle.
0
mac-mark
mac-mark15.08.1921:12
Bin ich der einzige, der interessiert daran ist, wie die Geschichte mit deinem Bruder weitergeht?
+2
Philantrop
Philantrop15.08.1921:42
mac_heibu
Ich gehe einen anderen Weg und nutze diese Software des renommierten Sicherheitsexperten Patrick Wardle.

Ich empfehle alle Objective-See Apps - die sind klein - großartig und ein echter Gewinn.
Allesamt Standardapps auf meinen Macs!
„Was du nicht willst, dass man dir tut zzz “
+1
MikeMuc16.08.1909:13
mac-mark
Nein. Aber was mich dort gewundert hat war, das die angerufen haben... hie hat auch Microsoft angerufen und mir wirres Zeug erzählt
Insofern halte ich es sogar für möglich, das es dort dort ähnlich war. Daher die Frage: was war da wirklich los und war der Rechner anschließend kompromittiert? Den wer mit Linux unterwegs ist macht das doch freiwillig und hat Ahnung von dem, was er da macht da läßt man sich doch von irgendwelchen Anrufern nicht einschüchtern das man jetzt unbedingt wo Software runterlasen muß, diese installiert und dann startet. Wer das macht, der hat sich freiwillig ins Knie geschossen und gehört entsprechend bestraft
0
Wiesi
Wiesi16.08.1910:22
Smallersen

Daß Du die TM über Synology mit einem RAID betreiben willst, kann ich nachvollziehen: Da bekommst Du einen weiteren Schutz und viel Bequemlichkeit, zumal Dein MB gleich mit versorgt ist. Auch ist es sehr wahrscheinlich, daß das NAS am Hackingtosh läuft. Da es aber auch anders kommen kann, empfehle ich vorheriges Erkundigen bzw. Probieren.

Bei den CCC-Backups würde ich System und User auf getrennten Datenträgern sichern. Die Systeme selten und als Klon, die User häufiger und als echten Backup. So kannst Du Dich optimal vor Malware mit "Zeitzünder" schützen.

Wie Marcel schon geschrieben hat, lohnt es sich bei der TM nicht, den Datenträger vorzeitig zu wechseln. Ich würde jedoch die aktuelle Belegung und die jeweiligen Inkremente im Auge behalten. Vielleicht läßt sich das Automatisieren.

Im Übrigen würde ich das Archiv mit den "Altlasten" vergrößern, um Platz zu schaffen und Zeit zu sparen bei der TM. Regelmäßiges Umkopieren der Daten im Archiv nicht vergessen!

Zum Schluß: Ich habe meinen Backup-Plan schriftlich formuliert und schreibe ihn fort. Weil ich schon seit 20 Jahren Rentner bin, fällt er bei mir drastisch kleiner aus als bei Dir.

Gruß Paul
„Everything should be as simple as possible, but not simpler“
+1
Smallersen17.08.1901:50
Anscheinend hat mein Bruder letzlich doch einen Weg gefunden die Sperre zu umgehen. Linux kenne ich gar nicht, deshalb kann ich das alles nicht nachvollziehen. Dass die Hacker sich getraut haben anzurufen war jedenfalls dreist.

Entspricht meinen Erfahrungen: Wenn so etwas passiert bricht Panik aus. Diese Panik und nicht verstehen was passiert ist muss man bei allen Planungen mit einkalkulieren. Hier in aller Ruhe im Forum lassen sich super Vorgehensweisen ausdenken. Ganz sicher würde es bei einem echten Hack ganz anders kommen.

Das Synology mit einer 8 TB Platte macht gerade die Erstkopie in Time Machine im Dual Modus. Dauert sicher zwei Tage für die ca. 3TB, ziemlich lahm alles. Direkt draufkopieren geht schnell, aber Time Machine ist noch etwas träger als sonst.

@Paul: Nein, ich werde Time Machine nie eigenständig Daten löschen lassen. Bevor es dazu kommt wegen knappem Platz wechsle ich die Platte, bleibt dabei.

Ständig archivieren wie von Dir angeregt mache ich schon seit Jahren. Bei allen Betrachtungen hier ging es nur um Backups von aktuellen Projekten, z.B. momentan ca. 500 GB - 1 TB Fotos von einem Großprojekt, an dem ich täglich mit einem Kunden arbeite. Verlust nur von einem Tag Arbeit wäre da eine Katastrophe.
0
Smallersen17.08.1911:08
Es scheint, dass das "throttling" bei Time Machine auf NAS eine riesige Rolle spielt. Das abzuschalten beschleunigt Time Machine um ca. das 10fache! Jetzt rennt es mit normaler Geschwindigkeit, ca. 100MB/sec.
Puh, ich hatte mit dem Gedanken gespielt das NAS zurückzuschicken.

Hierzu:
ifun.de/so-beschleunigt-ihr-das-time-machine-backup-90284/

An die Profis hier: Was sind die Nachteile throttling per Skript schon beim Booten immer abzuschalten?
0
MikeMuc17.08.1912:59
Smallersen
Das stecht doch im verlinkten Artikel. Andere Prozesse kriegen deutlich weniger Rechenzeit. Wenn du also während der Zeit, in der TM gerade arbeitet, noch andere rechenintensive Arbeiten durchführen willst, dann dauern die halt länger.
Wenn man das einmalig macht, damit TM die Erstsicherung zügiger fertigstellt und man währenddessen den Rechner nicht braucht, dann kann man diesen Befehl einmalig verwenden und nach Abschluß das Throttling wieder einschalten.
0

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen