Sichere Remote Datensicherung für kleinere Firmen, Amazon S3 oder NAS VPN?

Aktuell hatten wir wieder den Fall, dass einer unserer Kunden sich Gedanken um die eigene Datensicherung machte und uns fragte, wie man das lösen kann. Er hätte Datenschutzbedenken gegen die Amazon S3 Cloud, und bei einem geschätzten Datenvolumen von mehreren Generationen um die 10 TB wäre auch der monatliche Preis doch sehr hoch. Wir haben einmal die Kosten der Amazon S3 Cloud berechnet, die für das Speichern von Daten ideal ist und auch von zahlreicher Backup-Software unterstützt wird. Amazon bietet dafür ein tolles Tool an: https://calculator.s3.amazonaws.com/index.html Stand 21.07.2018 ergeben sich dabei folgende Kalkulationen: 10TB Storage, 100 Requests, 0 Daten Returned = ~ 250USD / Monat Die Anzahl der PUT- oder GET-Requests ist dabei unerheblich und ändert den Preis kaum. Auch sind wir in diesem Modell davon ausgegangen, dass wir die Daten nicht monatlich benötigen - es ist ja nur ein Backup. Im Falle eines Restores verdient Amazon aber wieder mit! Da unser Kunde  den Datenschutzbedingungen der EU entsprechen wollte, wurde der Serverstandort Frankfurt gewählt. Die Backup-Software Novastore, die wir hier häufig einsetzen, bietet dazu auch eine gute Verschlüsselung, so dass die Daten auch auf dem S3 Server nochmals verschlüsselt vorliegen. Wir sagen das mit Vorsicht, da wir nicht an 100% Sicherheit glauben. Es gibt heute einfach zu viele Ansätze, um an Daten zu kommen  - ob es Passwortvergleiche, Listen mit verschlüsselten Passwörtern etc. sind, die ggf. zum Abgleich genutzt werden können. Die Frage ist auch immer, wie interessant die Daten sind und ob sich der Aufwand lohnen würde. 250 USD sind nach aktuellem Kurs ca. 210 EUR - so dass unser Kunde  in einem Jahr ca. 2500 € für die Speicherplatzmiete ausgeben würde. Kurz ausführen möchten wir auch noch, wie der Kunde bzw. wir auf die 10 TB Daten kommen. Der Kunde hat selbst mit Datenbank, Dateien und dem Archivsystem aktuell 800GB auf seiner Server-Festplatte liegen. Um Datensicherheit zu gewährleisten, wird täglich ein Backup im Generationen-Verfahren durchgeführt: 1x wöchentlich (sonntags) eine komplette Datensicherung und an allen 6 Tagen eine inkrementelle Datensicherung. An diesen Tagen werden also nur die Änderungen gespeichert. Diese Generationen werden 7 Wochen aufbewahrt - warum so lange? Heutige Malware-Angriffe zeigen teilweise erst nach 4-5 Wochen ihre Auswirkungen - da sollte man schon auf ältere, unverseuchte Daten zurückgreifen können, um im Falle von WannaCry und Co. nicht wirklich heulen zu müssen. 7X800GB = 5.600GB = 5.6TB. Die Änderungen der Dateien betragen täglich um die 50 GB. 7*6*50 = 2.1TB. Hier sind wir also schon bei 7,7 TB aktiven Daten. Zusätzlich hat dieser Kunde noch 2 TB Altdaten aus den letzten Jahren, die sich nicht mehr ändern. Darunter fallen virtuelle Images von alten Rechnern oder alter Software, sowie Archivdaten die nicht mehr geändert wurden. Auch diese müssen gesichert werden. Da diese sich aber nicht mehr ändern, ist ein tägliches oder wöchentliches Überschreiben nicht gewünscht. Es geht lediglich darum diese Daten auch extern zu sichern und damit im Zweifel eine Kopie zu haben. Zwar könnte man diese Daten auch auf Blu-Ray Discs archivieren, jedoch würde das eine jährliche Überprüfung voraussetzen, dass die Daten noch lesbar sind. Festplatten zeigen hingegen Fehler an, so dass proaktiv gehandelt werden kann. Wie man sieht, ist diese Datenmenge also auf keinen Fall überschätzt. Welche Möglichkeiten hat der Kunde denn noch? Da sich unser Kunde mit der Cloud nicht so sicher ist und seine Daten lieber in seinem Zugriff haben möchte, ergab sich die Frage welche Alternativen man anbieten könnte. a) Datensicherung auf Festplatten. Zum einen könnte man die Archivdaten auf mindestens 2 externen Festplatten lagern, die man 1x im Jahr kopiert, um die Datensicherheit zu gewährleisten. 4 TB externe HDDs verursachen aktuell Kosten von ca. 130€ pro Festplatte. Diese müssten dann in einem externen Safe außerhalb der Firma archiviert und feuerfest abgelegt werden. In unserem Fall hatte der Geschäftsführer des Kunden tatsächlich einen Safe im Eigenheim, so dass wir hier auch gegenüber der Cloud-Lösung Kosten sparen können. Festplatten als Backuplösung halten wir aber nicht für gut, denn wie erwähnt ist eine Überprüfung auch von nicht genutzten HDDs von Zeit zu Zeit unbedingt notwendig, und auf der anderen Seite bedeutet es immer "Arbeitszeit". b) Datensicherung auf RDX Laufwerke Eine weitere Möglichkeit ist die Sicherung auf RDX Laufwerken. Ein solches Laufwerk am Rechner angeschlossen und ein täglicher Bandwechsel stellen ebenfalls eine gute Lösung dar. Da die Cartridges von den Laufwerken getrennt sind, ist der Zugriff auch sehr sicher. Für die vormals erwähnten 2 TB an Archivdaten könnte man auch hier nur lesbare Cartridges nutzen, so dass die Daten auf keinen Fall gelöscht werden können - nur durch eine Beschädigung des Datenträgers. Einzig und alleine: Täglich muss ein Mitarbeiter die richtigen Laufwerke einlegen (Reihenfolge beachten) und die Daten sicher ablegen - am besten extern in einem Safe. Natürlich sind auch hier die Daten mit einem Passwort verschlüsselt. Dieses Vorgehen bedeutet aber einen täglichen Eingriff eines Mitarbeiters und damit viel Arbeitszeit, die in die Kosten mit einberechnet werden müsste. Hier bat der Kunde also um eine weitere Lösung: c) Datensicherung über VPN an Remote Standort Im Prinzip ist die Sicherung in die Cloud ja auch eine Sicherung an einem externen Ort. Der Geschäftsführer hat tatsächlich in seinem Haus einen abschließbaren Raum, der nicht offen zugänglich ist, und auch dort ein schnelles Internet (100/40 Mbit/s) mit einer Fritzbox. Damit ist dieser Ort tatsächlich gut dafür geeignet, als externe Cloud zu dienen. In der Firma ist eine Elmeg Bintec Be.IP Plus Telefonanlage verfügbar. Beide Anlagen (Bintec + AVM Fritzbox) ermöglichen es eine LAN-LAN Kopplung über IPSEC VPN vorzunehmen. Das hat nicht nur den Vorteil, dass hier sicher Daten über das Internet übertragen werden können, sondern auch, dass der Geschäftsführer von zu Hause im Firmennetzwerk arbeiten kann. Bisher war schon für die mobilen Telefone der Mitarbeiter eine IPSEC VPN Verbindung zum Firmenserver möglich - neu ist nun die VPN LAN-LAN-Kopplung. Bisher wurde die Datensicherung durch NOVASTOR Backup auf ein QNAP NAS in der Firma mit 10TB Festplattenplatz vorgenommen. Die Lösung war nun, beim Geschäftsführer in dessen Privaträumen ein zusätzliches QNAP NAS zu installieren und eine Synchronisierung einzurichten. Nachdem also die Daten auf dem NAS innerhalb der Firma gesichert wurden, synchronisiert sich das NAS automatisch. Somit stehen also die Daten nun in der Firma - und gesichert und synchronisiert auf einem externen NAS zur Verfügung. Sollte es also ein Problem z.B. mit Feuer in der Firma geben, so sind die wertvollen Firmendaten noch an einem Remote-Platz gespeichert - mit dem Vorteil, dass die Daten nicht aus der Hand gegeben wurden. Alles bleibt in der Firma. Wichtig bei solchen Synchronisationen sind für die Sicherheit natürlich unterschiedliche Zugriffsrechte und Passwörter, so dass Trojaner und Malware keinen Zugriff haben. Dank der IPSEC VPN Verbindung sind auch keine Ports nach außen offen, die es sonst eventuell ermöglichen, einen Zugriff auf ein NAS zu bekommen. Betrachtet man nun einmal die Kosten für eine solche Lösung, so sieht man, dass man mit einer solchen privaten Backup-Cloud gegenüber den professionellen großen Anbietern schnell Kosten einsparen kann. Ein QNAP NAS mit 10 TB Festplattenspeicher (4x4 TB HDDs) kostet knapp 1000€ in der Anschaffung. Während Seagate z.B. den Verbrauch der Festplatten mit 1-2 Watt angibt, verbraucht ein NAS in dieser Größenordnung zwischen 13 und 26 Watt. Nehmen wir also vereinfacht 30 W an und damit einen Jahresenergieverbrauch von 26.2800 W = 262KW. Bei aktuellen Preise also 262*  0,3€ = ~80,00€ Stromkosten im Jahr. Alle anderen Kosten und Produkte sind ja bereits vorhanden! So ist es also durchaus schnell möglich, für ein kleines Unternehmen richtig Geld zu sparen, und man hat die Daten auch noch im eigenen Haus! Wir stellen das Ergebnis einmal so gegenüber: Wie man an diesem Rechenbeispiel sieht, ist also schon im ersten Jahr eine Ersparnis zu erwarten, bei voller Datenhoheit. Sicherlich ist die Cloud nur einen Klick weit entfernt, doch das lässt man sich auch sehr gut bezahlen. Nehmen wir nun eine Firma, die keinerlei interne NAS hat, selbst dann ist man etwa bei Kostengleichheit im ersten Jahr. Falls auch du eine solche Lösung suchst, um deine Daten sicher zu archivieren und zu synchronisieren, ohne dabei die Hoheit über deine Daten zu verlieren, beraten wir dich gerne.