Backup eines File-Server (Lehrer richtet sich zuhause ein)
Hallo allerseits,
ich bin Lehrer und verwalte eine Menge Schülerdaten aktuell zuhause. Ich möchte kurz meine IT-Umgebung beschreiben, bevor ich zu meiner Frage komme. Ich habe einen leistungsstarken PC mit WIN 10 Prof. Dieser PC ist gleichzeitig auch Host für Virtuelle Maschinen. Als Hypervisor verwende ich VMWare-Play. Damit virtualisiere ich einen Ubuntu Samba-AD-DC und einen Ubuntu-File-Server. Die Domain habe ich eingerichtet, um private Verzeichnisse von familiären zu trennen und um zu verhindern, dass Frau und Kinder irgendwelche Schülerdaten versehentlich manipulieren oder löschen können. Natürlich spielt auch eine große Rolle, dass ich mich mit verschiedenen Endgeräten im Haus und auch außerhalb in mein Lehrer-Profil zuhause einloggen möchte.
Nun zu meinem Problem. Die Daten, die sich auf dem File-Server befinden, sind sehr sensibel und müssen auch vor Verlust geschützt werden. Vor wenigen Tagen wollte ich ein Backup erstellen (per Hand mit USB-Festplatte). Dabei ist es mir zum ersten Mal passiert, dass die Festplatte ihren Dienst quittiert hat. Als ich nach Alternativen zum Backup mit USB-Festplatte recherchiert habe, sind mir auch einige Zweifel an meiner IT-Infrastruktur gekommen. Ist es wirklich gut, dass sich Samba-AD-DC und Filserver in Form einer VM in VMWare-Player auf dem Host befinden. Wenn z. B. mal der Host defekt ist. Kann ich dann überhaupt noch die VMs auf einem anderen Host mit anderer Hardware rekonstruieren?
Außerdem wäre es gut, wenn der Filserver automatisch Backups durchführt und auf ein separates Netzwerklaufwerk ablegt. Ist das möglich und wenn ja, wie würdet ihr das realisieren? Würdet ihr ein Produkt von Synology kaufen oder einen Backup-Server selber bauen?
Für Tipps und Anregungen wäre ich sehr dankbar.
ich bin Lehrer und verwalte eine Menge Schülerdaten aktuell zuhause. Ich möchte kurz meine IT-Umgebung beschreiben, bevor ich zu meiner Frage komme. Ich habe einen leistungsstarken PC mit WIN 10 Prof. Dieser PC ist gleichzeitig auch Host für Virtuelle Maschinen. Als Hypervisor verwende ich VMWare-Play. Damit virtualisiere ich einen Ubuntu Samba-AD-DC und einen Ubuntu-File-Server. Die Domain habe ich eingerichtet, um private Verzeichnisse von familiären zu trennen und um zu verhindern, dass Frau und Kinder irgendwelche Schülerdaten versehentlich manipulieren oder löschen können. Natürlich spielt auch eine große Rolle, dass ich mich mit verschiedenen Endgeräten im Haus und auch außerhalb in mein Lehrer-Profil zuhause einloggen möchte.
Nun zu meinem Problem. Die Daten, die sich auf dem File-Server befinden, sind sehr sensibel und müssen auch vor Verlust geschützt werden. Vor wenigen Tagen wollte ich ein Backup erstellen (per Hand mit USB-Festplatte). Dabei ist es mir zum ersten Mal passiert, dass die Festplatte ihren Dienst quittiert hat. Als ich nach Alternativen zum Backup mit USB-Festplatte recherchiert habe, sind mir auch einige Zweifel an meiner IT-Infrastruktur gekommen. Ist es wirklich gut, dass sich Samba-AD-DC und Filserver in Form einer VM in VMWare-Player auf dem Host befinden. Wenn z. B. mal der Host defekt ist. Kann ich dann überhaupt noch die VMs auf einem anderen Host mit anderer Hardware rekonstruieren?
Außerdem wäre es gut, wenn der Filserver automatisch Backups durchführt und auf ein separates Netzwerklaufwerk ablegt. Ist das möglich und wenn ja, wie würdet ihr das realisieren? Würdet ihr ein Produkt von Synology kaufen oder einen Backup-Server selber bauen?
Für Tipps und Anregungen wäre ich sehr dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 649498
Url: https://administrator.de/contentid/649498
Ausgedruckt am: 18.11.2024 um 13:11 Uhr
13 Kommentare
Neuester Kommentar
Wichtig vorab: Ist es mit dem Datenschutz und deinem Dienstherren abgeklärt? Du sagst ja selbst, dass die Daten heikel sind.
Wichtig bei Backups ist: Es muss drei Kopien geben. Die Originaldaten, mit denen gearbeitet wird, das erste Backup, was in der Regel On-Site liegt, maximales Intervall 24h, eher weniger, was online gehalten werden kann und das wichtigste: Das Offline-Off-Site-Backup, was nicht so häufig gemacht werden muss, aber zumindest eine gewisse Versionierung beinhalten muss, also den vergangenen Monat tageweise, die 12 Monate davor wochenweise, ... (als Beispiel) und es muss zwingend außerhalb der Gebäude sein, in denen sich die Originaldaten und die erste Sicherung liegt und sofort nach jeder Sicherung offline genommen werden.
Da es sich bei dir vermutlich um personenbezogene Daten handelt, muss hier das BDSG eingehalten werden, also nur das speichern, was nötig ist, auf einem System, was dem Stand der Technik entspricht und mit entsprechend geschützt. Da du vermutlich nicht die technische Ausrüstung hast, um einen physikalischen Zugriff sowie den unerlaubten Zugriff mit letzter Sicherheit zu vermeiden, bleibt hier nur die Verschlüsselung der Systeme, auf denen die Sachen gespeichert, verarbeitet und übertragen werden.
Dazu kommt dann die Netzwerk- und Gerätetrennung, also ein physikalisches Gerät nur für dienstliche Arbeiten, dazu ein komplett getrenntes Netzwerk, mi dem sich nur die dienstlich genutzten Geräte verbinden können/dürfen, für den privaten Bereich auch ein getrenntes Netzwerk, auf das nur die privaten Geräte zugreifen dürfen.
Wichtig bei Backups ist: Es muss drei Kopien geben. Die Originaldaten, mit denen gearbeitet wird, das erste Backup, was in der Regel On-Site liegt, maximales Intervall 24h, eher weniger, was online gehalten werden kann und das wichtigste: Das Offline-Off-Site-Backup, was nicht so häufig gemacht werden muss, aber zumindest eine gewisse Versionierung beinhalten muss, also den vergangenen Monat tageweise, die 12 Monate davor wochenweise, ... (als Beispiel) und es muss zwingend außerhalb der Gebäude sein, in denen sich die Originaldaten und die erste Sicherung liegt und sofort nach jeder Sicherung offline genommen werden.
Da es sich bei dir vermutlich um personenbezogene Daten handelt, muss hier das BDSG eingehalten werden, also nur das speichern, was nötig ist, auf einem System, was dem Stand der Technik entspricht und mit entsprechend geschützt. Da du vermutlich nicht die technische Ausrüstung hast, um einen physikalischen Zugriff sowie den unerlaubten Zugriff mit letzter Sicherheit zu vermeiden, bleibt hier nur die Verschlüsselung der Systeme, auf denen die Sachen gespeichert, verarbeitet und übertragen werden.
Dazu kommt dann die Netzwerk- und Gerätetrennung, also ein physikalisches Gerät nur für dienstliche Arbeiten, dazu ein komplett getrenntes Netzwerk, mi dem sich nur die dienstlich genutzten Geräte verbinden können/dürfen, für den privaten Bereich auch ein getrenntes Netzwerk, auf das nur die privaten Geräte zugreifen dürfen.
Hallo,
ich würde meinen Arbeitgeber bitten, mir einen VPN-Tunnel und einen RDP Zugang einzurichten.
Bete zu Gott, dass niemand auf die Idee kommt, bei euch einzubrechen, den Rechner mit den personenbezogenen Daten zu klauen und bei eBay reinzusetzen. Wo ihn dann ein c't Leser findet (alles schon vorgekommen).
Also, Sachen gibt 's...
Gruß,
Jörg
ich würde meinen Arbeitgeber bitten, mir einen VPN-Tunnel und einen RDP Zugang einzurichten.
Bete zu Gott, dass niemand auf die Idee kommt, bei euch einzubrechen, den Rechner mit den personenbezogenen Daten zu klauen und bei eBay reinzusetzen. Wo ihn dann ein c't Leser findet (alles schon vorgekommen).
Also, Sachen gibt 's...
Gruß,
Jörg
Moin,
Persönliche Meinung: Halte ich für grundsätzlich sehr kritisch, u.a. bist Du allein im Falle eines Verlusts, einer Manipulation, eines unberechtigten Zugriffs usw. verantwortlich und das kann sehr teuer werden. Mir ist grundsätzlich klar, dass eine Lehrkraft schon immer gewisse Daten bei sich zu Hause/auf Privatgeräten ausgelagert hat und sei es eine Zettelwirtschaft Wie @tikayevent das bereits gesagt hat, muss das mit dem zuständigen Datenschutzbeauftragten und Deinem Dienstherren abgesprochen sein, sollten diese einfach nur sagen "Machen Sie doch", würde ich mich nicht darauf verlassen, dass es im Falle eines Falles nicht heißt "Davon haben wir nichts gewusst".
Aber zunächst muss definitb geklärt werden, was Du überhaupt zu Hause speichern und verarbeiten darfst. Nicht erst, wenn das Kind sprichwörtlich in den Brunnen gefallen ist.
Gruß
cykes
Persönliche Meinung: Halte ich für grundsätzlich sehr kritisch, u.a. bist Du allein im Falle eines Verlusts, einer Manipulation, eines unberechtigten Zugriffs usw. verantwortlich und das kann sehr teuer werden. Mir ist grundsätzlich klar, dass eine Lehrkraft schon immer gewisse Daten bei sich zu Hause/auf Privatgeräten ausgelagert hat und sei es eine Zettelwirtschaft Wie @tikayevent das bereits gesagt hat, muss das mit dem zuständigen Datenschutzbeauftragten und Deinem Dienstherren abgesprochen sein, sollten diese einfach nur sagen "Machen Sie doch", würde ich mich nicht darauf verlassen, dass es im Falle eines Falles nicht heißt "Davon haben wir nichts gewusst".
Ich möchte kurz meine IT-Umgebung beschreiben, bevor ich zu meiner Frage komme. Ich habe einen leistungsstarken PC mit WIN 10 Prof. Dieser PC ist gleichzeitig auch Host für Virtuelle Maschinen. Als Hypervisor verwende ich VMWare-Play. Damit virtualisiere ich einen Ubuntu Samba-AD-DC und einen Ubuntu-File-Server. Die Domain habe ich eingerichtet, um private Verzeichnisse von familiären zu trennen und um zu verhindern, dass Frau und Kinder irgendwelche Schülerdaten versehentlich manipulieren oder löschen können.
Du betreibst ja schon einen erhöhten Aufwand, wobei man das natürlich schön auch auslagern könnte auf ein NAS, dass dann ggf. nur für die Arbeit ist, darauf könnte man auch das Backup auf externe Datenträger laufen lassen.Natürlich spielt auch eine große Rolle, dass ich mich mit verschiedenen Endgeräten im Haus und auch außerhalb in mein Lehrer-Profil zuhause einloggen möchte.
Insbesondere der Zugriff von außerhalb wird wie realisiert und überwacht?Aber zunächst muss definitb geklärt werden, was Du überhaupt zu Hause speichern und verarbeiten darfst. Nicht erst, wenn das Kind sprichwörtlich in den Brunnen gefallen ist.
Gruß
cykes
Hallo,
aha .. @Enrixk macht also "Datenverarbeitung im Auftrag".
Das vereinfacht die Sache, weil: alle notwendigen Regeln sind in dem Vertrag definiert.
Dateneigentümer müßte der Schulträger sein (dort wo die Daten erhoben werden). Sollte (keine nAhnung was für Schule) dann auch noch die Lehrerschaft Landesangestellte sein, wirds noch fummeliger
Der Dateneigentümer (!) ist auch gehalten, regelmässig die Sicherheit und andere Auflagen für die Datenverabeitung (ausserhalb/im Auftrg ) zu überprüfen.
Im Zweifelsfall hilft ein Blick in DSVGO und (!) Bundesdatenschutzgesetz( ggfs . noch Landesdatenschutzgesetz). Also schön im "Betrieb" bleiben - also alles Inhouse betreiben. Es ist ein höllischer Unterschied ob du das intern (als Angestellter o.ä.) betriebst oder als "externer Dienstleister" - so wie die Frage ist, vermutlich ohne Betriebshaftpflicht o.ä. .
Alles mag gut gemeint sein, aber "einer der mault" reicht !
Klar - du kannst ohne Führerschein Auto fahren .. bei manchen ist das 50 Jahre gut gegangen, andere kommen nur bis zur nächsten Kreuzung
Server + Netz einrichten ist fast der letzte Arbeitsgang .
l.g.
Fred
aha .. @Enrixk macht also "Datenverarbeitung im Auftrag".
Das vereinfacht die Sache, weil: alle notwendigen Regeln sind in dem Vertrag definiert.
Dateneigentümer müßte der Schulträger sein (dort wo die Daten erhoben werden). Sollte (keine nAhnung was für Schule) dann auch noch die Lehrerschaft Landesangestellte sein, wirds noch fummeliger
Der Dateneigentümer (!) ist auch gehalten, regelmässig die Sicherheit und andere Auflagen für die Datenverabeitung (ausserhalb/im Auftrg ) zu überprüfen.
Im Zweifelsfall hilft ein Blick in DSVGO und (!) Bundesdatenschutzgesetz( ggfs . noch Landesdatenschutzgesetz). Also schön im "Betrieb" bleiben - also alles Inhouse betreiben. Es ist ein höllischer Unterschied ob du das intern (als Angestellter o.ä.) betriebst oder als "externer Dienstleister" - so wie die Frage ist, vermutlich ohne Betriebshaftpflicht o.ä. .
Alles mag gut gemeint sein, aber "einer der mault" reicht !
Klar - du kannst ohne Führerschein Auto fahren .. bei manchen ist das 50 Jahre gut gegangen, andere kommen nur bis zur nächsten Kreuzung
Server + Netz einrichten ist fast der letzte Arbeitsgang .
l.g.
Fred
Lehrer können einem schon leidtun.
Leider ist das nicht so einfach, vom Dienstherren eine entstechend abgesicherte Lösung zu verlangen. Im Gegenteil!
In einigen Bundesländern (z.B. NRW) werden die Lehrkräfte sogar dazu verpflichtet, Schülerdaten auf den privaten Endgeräten zu speichern. Die Verantwortung trägt dann alleine die Lehrkraft. Ich finde, das ist ein Skandal! Aber niemanden scheint's zu interessieren...
Auch hier lese ich kluge Vorschläge (zur DSGVO), die aber an der Wirklichkeit vorbei gehen. (Lehrkräfte tragen u.U. das alleinige Risiko und können sich nicht einmal dagegen versichern! Sie haften mit ihrem Privatvermögen.)
Hier als Beispiel für die Nutzung von LOGINEO NRW (deren landesweite Schulplattform)
Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/ §2 Absatz 4 VO-DV II
Wer sich ein wenig mit Datenschutz auskennt, der schüttelt nur noch mit dem Kopf.
Hier noch ein wenig mehr Hintergrundwissen:
https://datenschutz-schule.info/themen/genehmigung-lehrkraefte-nutzung-p ...
Und von wegen sichere Cloud! Datenschutz leichter durch sicheren USB Stick
Und wäre das nicht genug verar...ung der Lehrer:
Dienstlaptop für jeden Lehrer: Pro Gerät stehen maximal 600 Euro zur Verfügung – samt Software und Service
Jeder der hier in den letzten paar Monaten mal nach einem Laptop geschaut hat, der weiß, das kann nicht klappen. (Selbst wenn der dazugerufene ITler den Service umsonst machen würde.) Ohne Corona hieße es weiter, dass eine Lehrkraft keinen Anspruch auf ein Dienstgerät hat.
Nun aber zum eigentlichen Thema:
Wichtig wäre die Einhaltung der 3-2-1-Regel der Datensicherung
- Es sollten mindestens drei Kopien Ihrer Daten vorhanden sein.
- Speichern Sie die Kopien auf zwei unterschiedlichen Medien.
- Bewahren Sie eine Backup-Kopie an einem externen Speicherort
Außerdem sollten die Daten und die Datensicherung verschlüsselt sein. (Damit im Falle eines Abhandenkommens die Daten geschützt sind.)
https://www.veeam.com/blog/de/how-to-follow-the-3-2-1-backup-rule-with-v ...
Mein Vorschlag wäre:
Ein NAS (von QNAP oder Synology) mit mind. 2 Festplatten (Speichergröße nach Anforderung, wahrscheinlich 2-3TB) konfiguriert als RAID1.
Zusätzlich zwei externe Festplatten, zur abwechsenden lokalen Sicherung des NAS. (Nach Gebrauch in Tresor.)
Ggf. noch Sicherung auf einem deutschen Cloud-Server.
Natürlich ALLES VERSCHLÜSSELT!
(Den Schlüssel kann man zusätzlich im Schultresor hinterlegen.)
Leider wird der Aufwand wohl nicht von einem staatlichen Schulträger übernommen. Private Lehranstalten sind da oft besser aufgestellt. (Und wir hätten wohl diesen Post nicht.)
Gruß
its
Leider ist das nicht so einfach, vom Dienstherren eine entstechend abgesicherte Lösung zu verlangen. Im Gegenteil!
In einigen Bundesländern (z.B. NRW) werden die Lehrkräfte sogar dazu verpflichtet, Schülerdaten auf den privaten Endgeräten zu speichern. Die Verantwortung trägt dann alleine die Lehrkraft. Ich finde, das ist ein Skandal! Aber niemanden scheint's zu interessieren...
Auch hier lese ich kluge Vorschläge (zur DSGVO), die aber an der Wirklichkeit vorbei gehen. (Lehrkräfte tragen u.U. das alleinige Risiko und können sich nicht einmal dagegen versichern! Sie haften mit ihrem Privatvermögen.)
Hier als Beispiel für die Nutzung von LOGINEO NRW (deren landesweite Schulplattform)
Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/ §2 Absatz 4 VO-DV II
Wer sich ein wenig mit Datenschutz auskennt, der schüttelt nur noch mit dem Kopf.
Hier noch ein wenig mehr Hintergrundwissen:
https://datenschutz-schule.info/themen/genehmigung-lehrkraefte-nutzung-p ...
Und von wegen sichere Cloud! Datenschutz leichter durch sicheren USB Stick
Und wäre das nicht genug verar...ung der Lehrer:
Dienstlaptop für jeden Lehrer: Pro Gerät stehen maximal 600 Euro zur Verfügung – samt Software und Service
Jeder der hier in den letzten paar Monaten mal nach einem Laptop geschaut hat, der weiß, das kann nicht klappen. (Selbst wenn der dazugerufene ITler den Service umsonst machen würde.) Ohne Corona hieße es weiter, dass eine Lehrkraft keinen Anspruch auf ein Dienstgerät hat.
Nun aber zum eigentlichen Thema:
Wichtig wäre die Einhaltung der 3-2-1-Regel der Datensicherung
- Es sollten mindestens drei Kopien Ihrer Daten vorhanden sein.
- Speichern Sie die Kopien auf zwei unterschiedlichen Medien.
- Bewahren Sie eine Backup-Kopie an einem externen Speicherort
Außerdem sollten die Daten und die Datensicherung verschlüsselt sein. (Damit im Falle eines Abhandenkommens die Daten geschützt sind.)
https://www.veeam.com/blog/de/how-to-follow-the-3-2-1-backup-rule-with-v ...
Mein Vorschlag wäre:
Ein NAS (von QNAP oder Synology) mit mind. 2 Festplatten (Speichergröße nach Anforderung, wahrscheinlich 2-3TB) konfiguriert als RAID1.
Zusätzlich zwei externe Festplatten, zur abwechsenden lokalen Sicherung des NAS. (Nach Gebrauch in Tresor.)
Ggf. noch Sicherung auf einem deutschen Cloud-Server.
Natürlich ALLES VERSCHLÜSSELT!
(Den Schlüssel kann man zusätzlich im Schultresor hinterlegen.)
Leider wird der Aufwand wohl nicht von einem staatlichen Schulträger übernommen. Private Lehranstalten sind da oft besser aufgestellt. (Und wir hätten wohl diesen Post nicht.)
Gruß
its
Zitat von @Enrixk:
Ich danke euch für die wertvollen Beiträge. Die Problematik ist bei uns an der Schule nicht ganz unbekannt und diskutiert wird darüber schon sehr lange. Nachdem die DSGVO in Kraft getreten ist, waren alle Lehrkräfte aufgefordert, mit Unterschrift zu bestätigen, dass am häuslichen Arbeitsplatz der Datenschutz gem DSGVO gewahrt und eine Überprüfung durch den Landesdatenschutzbeauftragten ermöglicht wird.
Und Du bzw. ihr seid euch auch bewußt, was ihr da unterschrieben habt? Nach Deinen obigen Schilderungen verstößt Deine aktuelle Infrastruktur in mehreren Punkten gegen diese Vereinbarung bzw. Anweisung (!). Sprich, sie würde einer Überpüfung ggf. nicht standhalten. Findet diese Überprüfung erst nachdem irgendetwas passiert ist statt, kann das ganz unangenehme Konsequenzen haben.Ich danke euch für die wertvollen Beiträge. Die Problematik ist bei uns an der Schule nicht ganz unbekannt und diskutiert wird darüber schon sehr lange. Nachdem die DSGVO in Kraft getreten ist, waren alle Lehrkräfte aufgefordert, mit Unterschrift zu bestätigen, dass am häuslichen Arbeitsplatz der Datenschutz gem DSGVO gewahrt und eine Überprüfung durch den Landesdatenschutzbeauftragten ermöglicht wird.
Nun ist es aber so, dass man als Lehrer auch gewissermaßen gezwungen ist, Schülerdaten mit nach Hause zu nehmen. Viele Schulen schließen um 16 Uhr. Wenn du dann bis 15:00 Unterricht hast und zwei Klassenarbeiten kontrollieren musst, bleibt dir nichts anderes übrig und jetzt im Homeschooling nimmt die Sache noch einmal mehr Fahrt auf.
Nun will ich aber keine Diskusion über das Einhalten und Nichteinhalten von Datenschutz vom zaun brechen. Es ist möglich alle personenbezogenen Daten über SFTP auf den Schulserver zu übertragen und zuhause möglichst keine Schülerdaten zu halten.
Das allein sichert Dir und Deinen Kollegen aber nicht die Einhaltung der DSGVO.Nun will ich aber keine Diskusion über das Einhalten und Nichteinhalten von Datenschutz vom zaun brechen. Es ist möglich alle personenbezogenen Daten über SFTP auf den Schulserver zu übertragen und zuhause möglichst keine Schülerdaten zu halten.
Trotzdem würde ich gern meine Arbeitsblätter, die für mich mittlerweile einen unschätzbar hohen Wert haben, vor Verlust sichern. Das hat jetzt nichts mehr mit dem Schutz personenbezogener Daten zutun. Ich finde es persönlich sehr umständlich, Backups per Hand auf USB-Festplatten zu ziehen. Könnt ihr mir einen Tipp geben, welche Backup-Strategie angesichts meiner vorhanden IT (siehe oben) die beste wäre? Ich bin ja nur Laie. Mich würde interessieren, wie sich ein Profi zuhause vor Datenverlust schützen würde.
Das wurde in den vorigen Beiträgen bereits mehrfach erwähnt. Am besten kaufst Du Dir ein NAS (Synology, QNAP o.ä.), aktivierst darauf die Verschlüsselung und setzt ein komplexes Passwort. Darauf packst Du Deine Arbeitsdaten und nimmst zusätzlich 2 (oder mehr) USB-Platten für das abwechselnde verschlüsselte Backup dieses Arbeits-Fileservers. Die Backupsoftware gibt es vom Hersteller und die synchronisiert Deine Daten auf die USB-PLatten und wirft diese dann aus, wenn der Job fertig ist, dann schließt Du die nächste Platte an und packst dieses Backup irgendwo am besten außer Haus.Gruß
cykes
Hallo,
ich bin zwar kein Profi, aber ich sichere meine Daten wie folgt:
Zusätzlich habe ich mich so erzogen, Daten konsequent in einem via Cryptomator abgesicherten Container zu speichern, den ich bei Microsoft OneDrive gespeichert habe. Dieser wird nur bei Bedarf entschlüsselt.
Gruß,
Jörg
ich bin zwar kein Profi, aber ich sichere meine Daten wie folgt:
- die Arbeitsplatzrechner werden von der Firewall nachts aufgeweckt, sichern via Veeam auf einem NAS und fahren sich dann wieder herunter
- die Server sind alle mit Proxmox virtualisiert. Hier nutze ich die Backup-Funktion von Proxmox, um die VMs "stumpf auf das NAS wegzuspeichern"
Zusätzlich habe ich mich so erzogen, Daten konsequent in einem via Cryptomator abgesicherten Container zu speichern, den ich bei Microsoft OneDrive gespeichert habe. Dieser wird nur bei Bedarf entschlüsselt.
Gruß,
Jörg
Hallo,
Disclaimer: das ist keine Rechtsberatung, nur meine Meinung.
Das DSGVO Problem kann man doch recht schnell bearbeiten, solange es um eine Schule geht, die in öffentlicher Trägerschaft ist. Dort sieht die DSGVO ja von Strafen ab. Also geht es höchstens um Dienstrechtliche Dinge, und da hängt die Schule ja - Unterschrift hin oder her - mit drin. Ich würde nur sicherheitshalber möglichst regelmäßig gegenüber der Schulleitung rumerzählen, was ich so alles unternehme, um die Daten zu schützen. und mir dazu eine Notiz machen.
Also gehts eigentlich nur ums Backup und dessen Absicherung. Dazu ist oben vieles ausgeführt.
Grüße
lcer
Disclaimer: das ist keine Rechtsberatung, nur meine Meinung.
Das DSGVO Problem kann man doch recht schnell bearbeiten, solange es um eine Schule geht, die in öffentlicher Trägerschaft ist. Dort sieht die DSGVO ja von Strafen ab. Also geht es höchstens um Dienstrechtliche Dinge, und da hängt die Schule ja - Unterschrift hin oder her - mit drin. Ich würde nur sicherheitshalber möglichst regelmäßig gegenüber der Schulleitung rumerzählen, was ich so alles unternehme, um die Daten zu schützen. und mir dazu eine Notiz machen.
Also gehts eigentlich nur ums Backup und dessen Absicherung. Dazu ist oben vieles ausgeführt.
Grüße
lcer
Hallo,
ich denke deine eigentliche Frage wurde noch nicht beantwortet.
" Ist es wirklich gut, dass sich Samba-AD-DC und Filserver in Form einer VM in VMWare-Player auf dem Host befinden. Wenn z. B. mal der Host defekt ist. Kann ich dann überhaupt noch die VMs auf einem anderen Host mit anderer Hardware rekonstruieren?"
Nein. Die Backups müssen ja logischerweise auf einem physikalischen anderem Gerät zugriffsbereit stehen.
Die eigentliche Frage, die sich beim Lesen deiner Fragen stellt, wozu diese komplexe Umgebung? Dein Kernproblem ist ja, wie du beschreibst, Zugriffstrennung und Datenverfügbarkeit. Die antwortenden Kollegen empfehlen zurecht eine simple NAS und ein Offsite-Backup derselbigen.
Alles Weitere ist ungewöhnlich aufwendig. Als DSB und DS-Auditor rege ich an, jedes zusätzlich betriebene Feature bietet zwangslogisch immer Sicherheitslücken, die du periodisch überprüfen müsstest.
Daher denke über eine Vereinfachung nach. Datenschutzrechtlich gehst du, ob nun gezwungen oder nicht, auf sehr dünnem Eis. Lobenswert dass auch Lehrer nun endlich anfangen, Datensicherheit ernst zu nehmen. Ehrlich gesagt, betreiben wir seit einigen Jahren Datenschutz- und IT-Sicherheitsworkshops an unseren örtlichen Schulen, jedoch ist es nur bei wenigen Lehrkräften angekommen, dass die Datensicherheit von enormer Wichtigkeit ist.
Bei weiteren Fragen kannst du dich gern anderweitig melden.
in diesem sinne
ich denke deine eigentliche Frage wurde noch nicht beantwortet.
" Ist es wirklich gut, dass sich Samba-AD-DC und Filserver in Form einer VM in VMWare-Player auf dem Host befinden. Wenn z. B. mal der Host defekt ist. Kann ich dann überhaupt noch die VMs auf einem anderen Host mit anderer Hardware rekonstruieren?"
Nein. Die Backups müssen ja logischerweise auf einem physikalischen anderem Gerät zugriffsbereit stehen.
Die eigentliche Frage, die sich beim Lesen deiner Fragen stellt, wozu diese komplexe Umgebung? Dein Kernproblem ist ja, wie du beschreibst, Zugriffstrennung und Datenverfügbarkeit. Die antwortenden Kollegen empfehlen zurecht eine simple NAS und ein Offsite-Backup derselbigen.
Alles Weitere ist ungewöhnlich aufwendig. Als DSB und DS-Auditor rege ich an, jedes zusätzlich betriebene Feature bietet zwangslogisch immer Sicherheitslücken, die du periodisch überprüfen müsstest.
Daher denke über eine Vereinfachung nach. Datenschutzrechtlich gehst du, ob nun gezwungen oder nicht, auf sehr dünnem Eis. Lobenswert dass auch Lehrer nun endlich anfangen, Datensicherheit ernst zu nehmen. Ehrlich gesagt, betreiben wir seit einigen Jahren Datenschutz- und IT-Sicherheitsworkshops an unseren örtlichen Schulen, jedoch ist es nur bei wenigen Lehrkräften angekommen, dass die Datensicherheit von enormer Wichtigkeit ist.
Bei weiteren Fragen kannst du dich gern anderweitig melden.
in diesem sinne
Hallo,
Das habe ich nicht geschrieben. Ich habe geschrieben, dass ich die Daten dort mit dem Programm "Cryptomator" verschlüsselt habe.
Cryptomator ist OpenSource und erzeugt einen eigenen lokalen Schlüssel.
Der OneDrive-Tresor verwendet hingegen einen Schlüssel von Microsoft. Was dieser Dienst letztendlich alles macht, kannst Du schlichtweg nicht beurteilen.
Ob Dir das sicher genug ist, darfst Du selber beurteilen. Wichtig ist erst einmal, dass Du dir bewusst bist, dass die Verantwortung für alles, was Microsoft mit deinen Daten macht, bei Dir(!) liegt.
"Jein". Das ist tatsächlich eine Sache, die ich bei OneDrive für die normalen Dateien recht gut gelöst finde. Allerdings weiß ich nicht, inwieweit das mit den Daten im Tresor harmoniert.
Wie gesagt - Du bist voll verantwortlich. Im Zweifelsfall (z.B. wenn die Daten durch einen Trojaner abgegriffen werden) wird man sich halt anschauen, inwieweit Du deiner Verantwortung gewahr geworden bist.
Es tut uns sehr leid - aber da wir nicht wissen, was Microsoft mit den Daten im "Tresor" macht können wir unmöglich beurteilen, ob das datenschutzkonform ist oder nicht.
Ich würde niemals(!) ein Endgerät mit jemanden teilen. Das ist zwar technisch möglich, erfordert aber eine Komplexität und ein Fachwissen, dass frühestens in Konzernen > 500 Mitarbeitern vorhanden ist. Ich persönlich wäre überfordert. Und ich behaupte mal, dass ich in 10 Minuten alle Daten aus Papas Cloud habe. Den Tresor vielleicht noch nicht, aber das Passwort dafür würde ich dann demnächst von meinem Keylogger geliefert bekommen.
Eine Replication ist eine Replikation und keine Datensicherung. Und: Fehler und Schädlinge werden übrigens "mitrepliziert".
Gruß,
Jörg
Übrigens: Was Trojaner, Keylogger usw. betrifft: Wenn Du digitale Dokumente (Word usw.) von Pubertätsopfern empfängst, kann ich mir durchaus vorstellen, dass da vielleicht mal etwas "Schabernack" drin ist. Ich will da jetzt keine Zwietracht säen - aber ich hätt's gemacht für 30 Jahren^^
Zitat von @Enrixk:
Hallo Forum-Mitglieder,
ich habe als Zwischenlösung die Idee von altmetaller aufgegriffen: Meine wichtigen Arbeitsblätter habe ich in der OneDrive-Cloud von Microsoft gesichert. Dort gibt es die Tresor-Funktion.
Hallo Forum-Mitglieder,
ich habe als Zwischenlösung die Idee von altmetaller aufgegriffen: Meine wichtigen Arbeitsblätter habe ich in der OneDrive-Cloud von Microsoft gesichert. Dort gibt es die Tresor-Funktion.
Das habe ich nicht geschrieben. Ich habe geschrieben, dass ich die Daten dort mit dem Programm "Cryptomator" verschlüsselt habe.
Cryptomator ist OpenSource und erzeugt einen eigenen lokalen Schlüssel.
Der OneDrive-Tresor verwendet hingegen einen Schlüssel von Microsoft. Was dieser Dienst letztendlich alles macht, kannst Du schlichtweg nicht beurteilen.
Ob Dir das sicher genug ist, darfst Du selber beurteilen. Wichtig ist erst einmal, dass Du dir bewusst bist, dass die Verantwortung für alles, was Microsoft mit deinen Daten macht, bei Dir(!) liegt.
Ist das eigentlich ein Backup?
"Jein". Das ist tatsächlich eine Sache, die ich bei OneDrive für die normalen Dateien recht gut gelöst finde. Allerdings weiß ich nicht, inwieweit das mit den Daten im Tresor harmoniert.
Ist das dann nicht datenschutzkonform?
Wie gesagt - Du bist voll verantwortlich. Im Zweifelsfall (z.B. wenn die Daten durch einen Trojaner abgegriffen werden) wird man sich halt anschauen, inwieweit Du deiner Verantwortung gewahr geworden bist.
Es tut uns sehr leid - aber da wir nicht wissen, was Microsoft mit den Daten im "Tresor" macht können wir unmöglich beurteilen, ob das datenschutzkonform ist oder nicht.
Als Familie arbeiten wir alle auf unterschiedlichen Geräten, wollen aber trotzdem jeder unseren eigenen Account auf dem jeweiligen Endgerät haben.
Ich würde niemals(!) ein Endgerät mit jemanden teilen. Das ist zwar technisch möglich, erfordert aber eine Komplexität und ein Fachwissen, dass frühestens in Konzernen > 500 Mitarbeitern vorhanden ist. Ich persönlich wäre überfordert. Und ich behaupte mal, dass ich in 10 Minuten alle Daten aus Papas Cloud habe. Den Tresor vielleicht noch nicht, aber das Passwort dafür würde ich dann demnächst von meinem Keylogger geliefert bekommen.
eine Replication
Eine Replication ist eine Replikation und keine Datensicherung. Und: Fehler und Schädlinge werden übrigens "mitrepliziert".
Gruß,
Jörg
Übrigens: Was Trojaner, Keylogger usw. betrifft: Wenn Du digitale Dokumente (Word usw.) von Pubertätsopfern empfängst, kann ich mir durchaus vorstellen, dass da vielleicht mal etwas "Schabernack" drin ist. Ich will da jetzt keine Zwietracht säen - aber ich hätt's gemacht für 30 Jahren^^
Zitat von @Enrixk:
Meine wichtigen Arbeitsblätter habe ich in der OneDrive-Cloud von Microsoft gesichert. Dort gibt es die Tresor-Funktion.
GANZ schlechte Idee! Microsoft = US-Unternehmen = Unsicherer Drittstaat. Kurz gesagt: Die USA verpflichten Unternehmen Daten an Geheimdienste weiterzugeben und keiner kann garantieren, was die Geheimdienste damit machen, wer sie sonst noch so missbraucht (alles schon vorgekommen) etc. Deswegen ist auch das "Datenschutzabkommen" Privacy Shield gekippt worden, weil das auf dem Papier zusichert, was in der Praxis keiner einhalten geschweige denn kontrollieren kann.Meine wichtigen Arbeitsblätter habe ich in der OneDrive-Cloud von Microsoft gesichert. Dort gibt es die Tresor-Funktion.
Wenn du eine Cloud nutzen willst:
1.) Verschlüsseln! Das ist Pflicht, Cryptomator ist eine gute Lösung
2.) Bevorzugt Unternehmen aus Deutschland oder zumindest der EU ~> Hier gelten strengere Datenschutzvorschriften als im Ausland
Grundsätzlich kannst du einer Verschlüsselung nur trauen, wenn du sie mit als sicher geltenden Tools selbst durchführst und der Schlüssel nicht aus der Hand gegeben wird!
Ich würde empfehlen: Speichere auf lokalen Medien (ext Festplatte z.B.) und verschlüssle zusätzlich mit einer offenen, vertrauenswürdigen Software wie dem schon vorgeschlagenen Cryptomator. Das ist datenschutzfreundlich, du hast keine externe Cloud involviert und selbst wenn jemand anders die Platten in die Finger bekommt, kann er ohne das PW nichts machen. Voraussetzung ist natürlich ein sicheres PW dass du nirgends speicherst außer wiederum verschlüsselt in einem PW safe.
Schau dir auch mal Duplicati und rclone an.
Ist das eigentlich ein Backup? Per Definition ja nicht, wobei die Begriffe hier sehr nahe beieinander liegen.
Kommt drauf an. Du solltest auch Schadsoftwareangriffe bedenken. OneDrive unverschlüsselt ist nur durch das Account-PW geschützt. Wenn das z.B. auf dem PC gespeichert ist, sind die Backups bei einem Angriff auch in Gefahr.Die Schülerdaten (Noten, Anwesenheitslisten etc.) bewahre ich jetzt auf dem Schulserver auf. Wenn ich sie bearbeiten muss, greife ich per SFTP auf mein Schul-Account zu. Dort lege ich sie dann auch wieder ab, damit ich nach Möglichkeit nichts lokal auf meinem PC behalte. Ist das dann nicht datenschutzkonform?
SFTP auf Schulserver klingt schon mal wesentlich besser. Wieder ablegen heißt du lädst sie runter, bearbeitest und lädst wieder hoch oder wie ist das zu verstehen?