Aus Sorge um Datenschutz und Datensicherheit bevorzugen viele Anwender den Einsatz eines eigenen Netzwerkspeichers gegenüber der Cloud. Aber ganz so einfach ist das nicht. Auch NAS-Geräte müssen abgesichert werden.
Die ideale Welt sieht in Hinblick auf die Datensicherheit so aus: Das NAS liegt isoliert im heimischen Netzwerk, das von Bedrohungen von außen durch eine Firewall geschützt ist. Ein Datenverkehr zwischen dem offenen Netz des Internets und den heimischen Geräten wäre damit unmöglich. Allerdings existiert dieses ideale Szenario spätestens dann nicht mehr, wenn im Haushalt auch Elemente für das Smart Home installiert sind. Denn zu deren Komfort gehört der Fernzugriff über das Internet. Ein Hub oder ein smartes Thermostat könnte Angreifern also als Sprungbrett für Attacken dienen. Das ließe sich dadurch lösen, dass das NAS in einem separaten Netz liegt. Aber wer macht sich schon die Mühe? Deswegen lohnt es sich, die Sicherheit des Netzwerkspeichers gezielt zu verbessern.
Den Admin-Zugang sichern
Die meisten Geräte werden mit dem Standardnutzer „admin“ ausgeliefert, dem dann auch noch das triviale Passwort „admin“ zugeordnet ist. Das versuchen die Hersteller dadurch zu heilen, dass sie die Nutzer schon während der ersten Einrichtung dazu auffordern, dieses allzu einfache Passwort zu ändern. Noch besser ist es, auf das Standardbenutzerkonto „admin“ ganz zu verzichten. Schließlich haben Bots für Brute-Force-Attacken mit diesem Benutzernamen bereits 50 Prozent der benötigten Informationen. Legen Sie also einen neuen Nutzer an, dem Sie ein starkes Passwort mitgeben. Diesen ordnen Sie dann die Rechte eines Administrators zu. Nachdem Sie sich davon überzeugt haben, dass das funktioniert hat, loggen Sie sich mit diesem Konto ein und deaktivieren (oder löschen) das vorherige Admin-Konto. Auf einem aktuellen Synology-NAS wechseln Sie in die Systemsteuerung und wählen „Benutzer & Gruppen“. Mittels „Bearbeiten“ finden Sie auf der nachfolgenden Bildschirmseite dann die Option zum Deaktivieren. Ebenso kann die Einrichtung einer Zwei-Faktor-Authentifizierung sehr sinnvoll sein. Im Betriebssystem der Synology ist das unter „Sicherheit, Konto“ bereits eingebaut. Der zweite Faktor wird dann in den persönlichen Einstellungen der Benutzer aktiviert.
Unnötige Dienste abschalten
Besonders in heterogenen Umgebungen neigen Einsteiger dazu, zu viele Dienste zu aktivieren. In einem Haushalt, in dem neben Linux auch Windows- und Mac-Systeme zum Einsatz kommen, scheint es nur konsequent, wenn auch die passenden Freigabeprotokolle eingeschaltet werden. Neben dem eigentlichen Datenprotokoll lassen sich dann auch gleich noch Dienste aktivieren, die den Zugriff auf das NAS vereinfachen. Das sieht trivial aus, ist es aber nicht. Denn es gibt auch (wenn auch wenige) Konstellationen, in denen es zu Filelock-Problemen kommen kann, wenn Clients über unterschiedliche Protokolle parallel auf die gleiche Freigabe zugreifen.
Sie werden etwa häufig lesen, dass Sie im Falle von Apple am besten AFP nutzen. Das sei performanter und ideal. Tatsächlich schwenkt Apple aber immer zusehends auf SMB um. SMB-Freigaben versteht jedes Linux, Windows und Mac-OS. NFS wiederum, einstmals von Sun entwickelt, ist perfekt für Linux-Umgebungen.
Schauen Sie kritisch unter „Systemsteuerung –› Dateidienste“ nach (Synology, ähnlich bei anderen NAS-Systemen), was dort alles aktiviert ist. Über das SMB-Protokoll können Sie unter Windows eine Freigabe als Netzlaufwerk auch direkt via IP-Adresse anlegen. Die Netzwerkerkennung von Windows ist komfortabel, aber eben nur optional. Gleiches gilt auch für das Apple-Pendant Bonjour. Besonders vorsichtig sollten Sie mit Portfreigaben sein. Denn mit jedem Port, den Sie öffnen oder weiterleiten, schaffen Sie einen zusätzlichen Kanal von außen in das lokale Netz.
Cloudservices? Mit Risiken!
Fast jeder NAS-Hersteller bietet einen optionalen Zugang via Cloud auf das NAS an. Damit soll dann der Zugriff von unterwegs auf Fotos, Musik, Dateien und Verwaltungsfunktionen besonders einfach werden. Ein passendes Benutzerkonto ist schnell eingerichtet und via App auf dem Smartphone gelangen Sie dann tatsächlich von überall auf alle Daten und Verwaltungsfunktionen des heimischen NAS-Geräts. Technisch handelt es sich hier einfach um einen Dienst für dynamische DNS-Einträge.
Wie schon bei den oben genannten Diensten sollten Sie sorgfältig abwägen, ob Sie solchen Fernzugriff tatsächlich benötigen. Sie begeben sich damit in die Abhängigkeit vom Hersteller, der sich um die Sicherheit dieser Dienste und seiner Anmeldeportale kümmern muss. Tritt dort eine Sicherheitslücke auf, sind Sie zwar nicht der einzige Betroffene, das hilft Ihnen dann aber auch nicht weiter.
Falls Sie diese Dienste abschalten: Wie präsentieren Sie dann etwa unterwegs Ihre Fotos? Eine denkbare Alternative wäre ein zusätzlicher Raspberry Pi als Server. Es gibt unzählige Anwendungen, die Galerien für Fotos anbieten. Und mittels eines Programms wie Rsync können Sie auf dem NAS gespeicherte Bilder mit dem Raspberry abgleichen. Sie kommen also zum gleichen Ergebnis, ohne den Zugang zum zentralen Datenspeicher freizugeben.
Ein NAS bleibt besser ein NAS
Was gibt es nicht alles an Softwarepaketen für die NAS-Modelle der führenden kommerziellen Hersteller? Der Zugriff auf diese Wundertüte ist verführerisch, schließlich handelt es sich ja um einen kleinen Computer in einem kompakten Gehäuse, der rund um die Uhr läuft. Der Ansatz, ein NAS durch allerlei Zusatzfunktionen aufzubohren, stammt noch aus der Zeit, als kompakte und stromsparende Computer noch ziemlich teuer waren. Spätestens mit dem Raspberry Pi wurde das anders. Dessen Ausstattung überholt inzwischen ältere NAS-Systeme in der Leistung deutlich.
Sie sollten sich also genau überlegen, ob Sie sich einen Gefallen tun, wenn Sie ein Serversystem wie WordPress auf dem gleichen System laufen lassen, das alle wichtigen Dokumente und Erinnerungen speichert. Besser für Wartung und Sicherheit ist es, das NAS auf seine Kernfunktion zu beschränken. Wenn es Bedarf an weiteren Serverfunktionen gibt, sollte für einen Raspberry noch Platz sein. Diese Investition sollten Ihnen die Daten wert sein.
Nicht nur Synology hat in den vergangenen Jahren viel unternommen, die Sicherheit der Geräte zu verbessern. Mit wachsender Verbreitung wurden diese aber auch verstärkt Ziel von Attacken. Es lohnt sich, den Bereich „Sicherheit“ in der Systemsteuerung genauer anzuschauen. Hier finden Sie Optionen, um Passwörter regelmäßig erneuern zu lassen, können deren Stärke vorgeben und auch zu häufige Anmeldeversuche blockieren.
Ob nun ein NAS eines kommerziellen Herstellers oder Raspberry-Server im Eigenbau: Sie sollten das System stets aktuell halten. Wird eine Aktualisierung des Betriebssystems angeboten, installieren Sie diese möglich zügig. Bei einem kommerziellen NAS wird es zudem auch gelegentlich neue Firmware geben, die Sie ebenfalls einspielen sollten.
Alle Maßnahmen nützen nichts, falls das Gerät gestohlen oder irreparabel geschädigt ist. Deswegen benötigt ein NAS mit wertvollen Daten streng genommen ein weiteres Datenbackup, das an einem anderen Ort liegt.
