Verschlüsselung

Wir empfehlen Ihnen, alle Backups zu verschlüsseln, die im Cloud Storage gespeichert werden – insbesondere, wenn Ihr Unternehmen gesetzlichen Bestimmungen (zum Datenschutz u. Ä.) unterliegt.

Falls Sie Ihr Kennwort verlieren, gibt es keine Möglichkeit, Ihre verschlüsselten Backups wiederherzustellen!

Verschlüsselung in einem Schutzplan

Die Verschlüsselung wird aktiviert, wenn Sie beim Erstellen eines Schutzplans die entsprechenden Verschlüsselungseinstellungen spezifizieren. Nachdem ein Schutzplan angewendet wurde, können die Verschlüsselungseinstellungen nicht mehr geändert werden. Erstellen Sie einen neuen Schutzplan, wenn Sie andere Verschlüsselungseinstellungen verwenden wollen.

Für Konten im Modus " Erhöhte Sicherheit" können Sie das Verschlüsselungskennwort nicht in einem Schutzplan festlegen. Sie müssen dieses Kennwort lokal festlegen, also auf dem geschützten Gerät.

So können Sie die Verschlüsselungseinstellungen in einem Schutzplan spezifizieren

Aktivieren Sie im Fensterbereich des Schutzplans in den Einstellungen des Backup-Moduls den Schalter Verschlüsselung.
Spezifizieren und bestätigen Sie das Verschlüsselungskennwort.
Wählen Sie einen der folgenden Verschlüsselungsalgorithmen:
- AES 128 – die Backups werden nach dem Advanced Encryption Standard (AES) und mit einer Tiefe von 128 Bit verschlüsselt.
- AES 192 – die Backups werden mit dem AES-Algorithmus und einer Tiefe von 192-Bit verschlüsselt.
- AES 256 – die Backups werden mit dem AES-Algorithmus und einer Tiefe von 256-Bit verschlüsselt.
Klicken Sie auf OK.

Verschlüsselung als Eigenschaft einer Maschine

Sie können die Verschlüsselung von Backups erzwingen oder ein individuelles Verschlüsselungskennwort für eine Maschine festlegen, unabhängig von den Einstellungen in deren Schutzplan. Die Backups werden mit dem AES-Algorithmus und einer Tiefe von 256-Bit verschlüsselt.

Das Speichern von Verschlüsselungseinstellungen auf einer Maschine beeinflusst die Schutzpläne folgendermaßen:

Bei Schutzplänen, die bereits auf die Maschine angewendet wurden. Wenn die Verschlüsselungseinstellungen in einem Schutzplan anders sind, wird das Backup fehlschlagen.
Bei Schutzplänen, die später auf die Maschine angewendet werden. Die auf einer Maschine gespeicherten Verschlüsselungseinstellungen überschreiben die Verschlüsselungseinstellungen eines Schutzplans. Jedes Backup wird verschlüsselt – selbst dann, wenn die Verschlüsselung in den Backup-Modul-Einstellungen deaktiviert ist.

Diese Option kann auch auf einer Maschine verwendet werden, auf welcher der Agent für VMware läuft. Sie sollten jedoch vorsichtig sein, wenn Sie mehr als einen Agenten für VMware mit demselben vCenter Server verbunden haben. Sie müssen dieselben Verschlüsselungseinstellungen für alle Agenten verwenden, weil es eine Art Lastverteilung (Load Balancing) zwischen ihnen gibt.

Sie sollten die Verschlüsselungseinstellungen auf einer Maschine nur ändern, solange deren Schutzplan noch keine Backups erstellt hat. Wenn Sie die Verschlüsselungseinstellungen danach noch ändern, wird der Schutzplan fehlschlagen und Sie werden einen neuen Schutzplan erstellen/zuweisen müssen, um diese Maschine weiter sichern zu können.

Nachdem die Verschlüsselungseinstellungen gespeichert wurden, können diese wie unten beschrieben geändert oder zurückgesetzt werden.

So können Sie die Verschlüsselungseinstellungen auf einer Maschine speichern

Melden Sie sich als Administrator (unter Windows) oder als Benutzer 'root' (unter Linux) an.
Führen Sie folgendes Skript aus:
- Unter Windows: <Installationspfad>\PyShell\bin\acropsh.exe -m manage_creds --set-password <Verschlüsselungskennwort>
  
  Wobei <Installationspfad> für den Installationspfad des Protection Agenten steht. Standardmäßig ist dies der Ordner '%ProgramFiles%\BackupClient'.
- Unter Linux: /usr/sbin/acropsh -m manage_creds --set-password <Verschlüsselungskennwort>

So können Sie die Verschlüsselungseinstellungen auf einer Maschine zurücksetzen

Melden Sie sich als Administrator (unter Windows) oder als Benutzer 'root' (unter Linux) an.
Führen Sie folgendes Skript aus:
- Unter Windows: <Installationspfad>\PyShell\bin\acropsh.exe -m manage_creds --reset
  
  Wobei <Installationspfad> für den Installationspfad des Protection Agenten steht. Standardmäßig ist dies der Ordner '%ProgramFiles%\BackupClient'.
- Unter Linux: /usr/sbin/acropsh -m manage_creds --reset

So können Sie die Verschlüsselungseinstellungen über den Cyber Protect Monitor ändern

Melden Sie sich bei Windows oder macOS als Administrator an.
Klicken Sie im Infobereich der Taskleiste (Windows) oder in der Menüleiste (macOS) auf das Symbol für den Cyber Protect Monitor.
Klicken Sie auf das Zahnradsymbol.
Klicken Sie auf die Option Verschlüsselung.
Gehen Sie nach einer der nachfolgenden Möglichkeiten vor:
- Wählen Sie den Befehl Spezifisches Kennwort für diese Maschine festlegen. Spezifizieren und bestätigen Sie das Verschlüsselungskennwort.
- Wählen Sie den Befehl Verschlüsselungseinstellungen des Schutzplans verwenden.
Klicken Sie auf OK.

Wie die Verschlüsselung arbeitet

Der kryptografische AES-Algorithmus arbeitet im 'Cipher Block Chaining Mode' (CBC) und verwendet einen zufällig erstellten Schlüssel mit einer benutzerdefinierten Größe von 128, 192 oder 256 Bit. Je größer der Schlüssel, desto länger wird das Programm zur Verschlüsselung der Backups benötigen, aber desto sicherer sind auch die Daten.

Der Codierungsschlüssel ist dann per AES-256 verschlüsselt, wobei ein SHA-256-Hash-Wert des Kennworts als Schlüssel dient. Das Kennwort selbst wird weder auf dem Laufwerk noch in den Backups gespeichert; stattdessen wird der Kennwort-Hash zur Verifikation verwendet. Mit dieser zweistufigen Methode sind die gesicherten Daten vor unberechtigtem Zugriff geschützt – ein verlorenes Kennwort kann daher auch nicht wiederhergestellt werden.