Bitte keine Vorschläge wie „Hirn 2.0“, es geht nicht um mich, es geht um Leute, denen man seither geraten hat die TM-Platte ständig am Rechner zu lassen, weil sie mehr eh nicht hin bekommen.
Welche einfache Strategie könnte man umsetzen, damit das Backup im Falle eines Falles nicht auch betroffen ist?

Das einfachste ist wohl: Den Leuten (Eltern?) eine zweite Festplatte für Timemachine einzurichten und im Kalender einen wöchentlichen Reminder einzurichten nach dem Motto: Stöpsel die eine Platte ab und häng die andere Platte hin. Evtl. kombiniert mit nem Applescript, das die aktuelle Platte vorher abmeldet, nur um sicherzugehen
Und ja, man kann und muss soviel Eigeninitiative selbst von technischen Analphabeten einfordern.

Ich habe mir eine zweite NAS zugelegt. Auf diese macht die erste NAS wöchentlich eine Synchronisierung.
Auf die zweite NAS hat kein Benutzeraccount den ich an einem der Rechner verwende Schreibzugriff, lediglich ein NAS-interner Account darf schreiben. So kann ich sicherstellen dass ein Trojaner diese Daten nicht manipulieren kann.

Zusätzlich habe ich mir eine Anwendung geschrieben, die auf meinem Home-Server läuft. Diese hat Nur-Lese-Zugriff und überprüft ob die zweite Sicherung mit der ersten Sicherung übereinstimmt (und zusätzlich das Alter der jeweiligen Sicherungen), außerdem checkt sie die Hashwerte von verschiedenen Dateien auf den PCs / Macs, der ersten NAS (in allen Freigabeordnern) und der zweiten NAS. Dadurch erkenne ich automatisiert wenn in irgendeiner Quelle Dateien verschlüsselt werden. Die Anwendung schickt mir darüber Reports per Mail. Wenn Hash-Werte nicht stimmen, schickt sie übers Netzwerk einen Befehl an alle NAS damit die sich sofort ausschalten.

RansomWhere

jogoto
Da das ja "nur" Windowssysteme betrifft und zur Verschlüsselung Scripts über MS Office ablaufen müssen.
1. Könnte man vielleicht das "Scriptfähigkeit" von Office Programmen beschränken/deaktivieren?
2. Anhänge in mails generell nicht öffnen (kann man sogar automatisch löschen lassen).

Auf Macs gibt es ja "noch" keine Office-Script Fähigkeiten, die das Ausführen der Verschlüsselung ermöglichen. Also "noch" kein Handlungsbedarf.
2. Gilt aber natürlich auch für Mac-User, wenn man sich nicht sicher ist, was in einem Anhang enthalten ist.

u_wolf
Knapp am Thema vorbei. Es geht mir um Backups und nicht um das erkennen des Trojaners.
RansomWhere wurde schon umgangen.

nane
Da bist Du leider der Zeit etwas hinterher.

Megaseppl
Gute Idee. Das geht im kleinen ja auch mit einer zweiten Festplatte oder sogar einer zweiten Partition.

OliB
Das ist natürlich das naheliegenste aber die Erfahrung lehrt, schon das wechseln einer Festplatte führt zum „Support-Anruf“.

Klärst Du uns dann auch auf, welche Verschlüsselungstrojaner es für OSX gibt? Google kennt keinen. (abgesehen von KeRanger der sich einst über ein "fehlerhaftes" Installationsimage von Transmission übetrug).

Richtig, stand heute gibts da nichts. Aber es hat einmal ein Trojaner auf den Mac geschafft, und es kann (und wahrscheinlich wird) auch wieder passieren. Sich rechtzeitig Gedanken über einen vernünftigen Schutz zu machen ist nicht verkehrt.

nane
"abgesehen von“ gibt es auch keine Viren für Windows. Und Google weiß auch nicht alles.
Es gab vor KeRanger schon einmal einen, der es auf viele Macs geschafft hat, wegen eines Fehlers in der Programmierung dann aber nicht ausgeführt wurde. Ergo gibt es welche im Sinne von es ist technisch möglich und wurde und wird auch wieder gemacht.
Außerdem bin ich da ganz bei maculi. Wenn erst wieder einer in der freien Wildbahn unterwegs ist, ist es für Gedanken um ein gutes Backup zu spät.

Ja, den Support-Anruf wirst Du wohl zwei- oder dreimal hinnehmen müssen. Ansonsten halte ich es - gerade bei so einem Szenario - wirklich mit dem KISS-Grundsatz: Keep it simple, stupid. Je aufwändiger und komplizierter eine Lösung ist, desto höher die Wahrscheinlichkeit, dass irgendwas schief gelaufen ist, wenn's dann drauf ankommt. Und wie gesagt, ein bisschen Eigenverantwortung muss sein. Wer E-Mails schreiben, im Web surfen und Word-Dokumente ausdrucken kann, kann auch einmal in der Woche eine Festplatte umstöpseln.

Deswegen: Zwei Festplatten, nen wöchentlichen Reminder, und in der Anfangszeit Telefonsupport, bis die Eltern das verinnerlicht haben. Dann ist es ein relativ robustes Setup. Eine Overkill-Lösung wie von Megaseppl führt nur zu mehr Support-Anrufen

Ist zwar nicht Apple-like, aber man könnte die zweite Festplatte mit einer Zeitschaltuhr koppeln. Dann entfiele für die "Unbedarften" der Reminder und man könnte trotzdem mit TM arbeiten...

Wenn man es sich leisten kann, zwei Rechner laufen zu lassen, kann man auch auf dem Rechner, von dem ein Backup gemacht werden soll, eine Freigabe für den zweiten Rechner einrichten, so dass die HD dort sichtbar ist. Lesezugriff sollte ja reichen. Dann auf dem zweiten Rechner ein Backup-Programm wie Carbon Copy Cloner laufen lassen, dass sich die Daten vom ersten Rechner holt und auf einer Backup-Platte sichert.
Pull-Backup heißt so etwas, glaube ich.
Der zweite Rechner darf dann sicherheitshalber keine Freigaben im Netzwerk haben und natürlich möglichst nicht mit dem Internet verbunden sein.
Zwei Rechner laufen zu lassen, ist natürlich nicht gerade ernergiesparend und das ganze schützt natürlich auch nicht davor, dass bereits verschlüsselte Daten im Backup landen. Wenn man aber die Daten aus einem vorhergenden Backup-Durchlauf archivieren lässt (CCC nennt das Safety-Net), kann man mit etwas Glück dann immer noch darauf zugreifen.

Alternativ-Vorschlag:
Statt mit TM Backups mit CCC erstellen - Boot-Volumes sind dabei auch startfähig, durch "SafetyNet" Funktion ist auch eine Archivierung von Versionen möglich.
Zusätzlich gibt es die Optionen "Beim Aktivieren ausführen" (wenn Quelle und Ziel verbunden sind) - also z. B. nach Start des Rechners, wenn CCC das Backup-Medium als "aktiviert" erkennt.

Dann gibt's zusätzlich noch die Option "NACH DEM BACKUP" Zielvolumen deaktivieren.

Bedeutet: Pro EIn-/Aus-Zyklus des Macs wird unmittelbar nach dem Hochfahren einmal ein Backup erstellt - die Platte wird danach automatisch ausgeworfen.

Dem kann ich nur zustimmen. Zumal das mounten/unmounten einer externen 2,5"-Festplatte auch bedeutet, diese nicht an- und ausschalten zu müssen, da sie den Strom über USB bekommt. Zusätzlich kann CCC auch den Computer an- und ausschalten um ein Backup zu machen →

Es geht nicht um meine Eltern sondern ganz allgemein um alle, denen ich bisher zu einem einfachen TM Backup geraten oder für sie eingerichtet habe. Im Laufe der Zeit sind das doch ganz schön viele.


@ all
Schöne Ideen!
Kann CCC eine ausgeworfene Platte eigentlich auch wieder mounten?

Eigentlich müsste es doch auch mit einem Rechner und zwei ständig vorhandenen Festplatten gehen, oder?
Natürlich nur, wenn CCC mit einem nicht angemeldeten Benutzer arbeiten kann. Geht das?

Ja. Du kannst soviele Ferstplatten anschliessen wie Du Anschlüsse hast. Sogar über Netzwerk.

Was hindert einen Trojaner daran ein ausgeworfenes Medium wieder zu aktivieren?
Wenn CCC dies kann, kann dies auch eine andere Software.

@jogoto, Ganz wichtig ist immer erst zu sehen was man so anklickt, ich denke das machst du auch.

Mein Tipp wäre ein separater Speicher der CopyOnWrite nutzt. Also ein ZFS Speicher z.B. FreeNAS, NAS4Free oder BTRFS Speicher z.B. Synology oder QNAP. Dort müssen dann zyklische Snapshots eingetragen werden. Das Admin Kennwort sollte mit keinem der Kennwörter auf dem Mac identisch sein. Die Problematik ist, das diese Crypto-Trojaner (nenne diese mal Locky) in verschiedenen Varianten auftreten, die den Datenverlust enorm steigern.

Locky2 nannte die verschlüsselten Dateien noch um. Aus einer "WordDatei.doc" wurde ggf. eine "WordDatei.doc.crypt". Locky3 verschlüsselte den Dateinamen, also sowas wie "HJGAJHGE.GHG". Locky4 ist noch schlimmer, die Datei behält den gleichen Namen und der Inhalt ist verschlüsselt, dass ist sehr gemein.

All dies bedeutet, du kommst ohne eine Datensicherung mit Versionsverwaltung nicht herum. Wenn du Beispielsweise auf einem ZFS Speicher stündliche Snapshots machst, dann siehst du anhand der Snapshot Größe schon, ob so ein Trojaner aktiv war/ist. Der Trojaner ändert ja viele Dateien, dadurch wird auch die Sicherung größer, würde in dem Fall auch auf Timemachine auffallen, wenn die Sicherung länger läuft.

Diese Speicher sind in der Lage den Altzustand in Sekunden wiederherzustellen oder man geht einfach wie bei Timemachine in die Zeit, wo der Befall noch nicht vorhanden war.

Aktives Klicken seitens des Benutzers gar nicht groß notwendig ("Drive-by-Download" ). Eine einzige entsprechend infizierte unscheinbare und harmlos aussehende Webseite im Browser anschauen/anzeigen lassen reicht. Infektion via infiziertem Werbebanner reicht. Sogar via MTN kann/könnte man sich auf diese Weise unbemerkt infizieren - aufgrund von infizierter Werbung, die durchgerutscht ist und die angezeigt wird. Klicken unnötig. Der "Klick"/das Ausführen/das Initiieren der Infektion aus Sicht der Schadsoftware ist das Anzeigen/Darstellen des Trägers, an den sich der Türöffner der Schadsoftware gehängt hat im Browser selbst also das Anzeigen der heimlich infizierten Werbung zum Beispiel.

Übrigens, dazu grad' aktuell:

Golem (30.04.2016): Ransomware: Verfassungsschutz von Sachsen-Anhalt wurde verschlüsselt
Der Verfassungsschutz in Sachsen-Anhalt hat ein Trojaner-Problem. Mehrere Arbeitsplatzrechner wurden mit Ransomware verschlüsselt, außerdem wurde ein Backdoor-Trojaner gefunden. Die Grünen fordern Aufklärung.


MZ (29.04.2016): Verfassungsschutz Sachsen-Anhalt Geheimdienst gehackt

Und:

Pressemitteilung BSI (27.04.2016): Ransomware: Ein Drittel der Unternehmen ist betroffen
Bedrohungslage unverändert hoch



Und:

Malwarebytes/The Safe Mac (27.03.2016): An iCloud scam that may be worse than ransomware

Malwarebytes/The Safe Mac (07.03.2016): First Mac ransomware spotted

Um mich mach ich mir auch keine Sorgen und beruflich hab ich mit Ransomware leider fast täglich zu tun aber eben in IT-Umgebungen, bei denen man dann halt aus einer von vielen Backup-Varianten die Wiederherstellung anwirft.
Es geht mir ganz gezielt um einen Ersatz für die einfache TM-Platte, die ich bisher für das private Umfeld (man wird ja gefragt, „Du machst doch was mit Computer ...“) empfohlen habe, wegen der einfachen Handhabung. Da hab ich die Balance zwischen Kosten/Aufwand v. Einfachheit noch nicht gefunden.
Aber hier waren ja schon einige Ansätze dabei, die ich weiter verfolgen werde.