NAS Security Guide: 7 Best Practices für die Sicherheit Ihrer Daten

Transparenz
DAS WICHTIGSTE IM ÜBERBLICK

Die Sicherung Ihres Network-Attached Storage (NAS) ist entscheidend für den Schutz wertvoller Daten vor Cyberkriminellen.

Ihr NAS-Gerät enthält eine Fülle von digitalen Daten. Unabhängig davon, ob sie für andere interessant sind oder nicht, stellen sie jedenfalls ein wichtiges Gut für Sie und ein Ziel für Täter dar.

Sicherheit und Ihr NAS

Es gab mehrere aufsehenerregende und weit verbreitete Angriffe auf Netzwerkspeichergeräte.

Die Qlocker-Attacke aus dem Jahr 2021 zielte auf QNAP-Geräte ab und nutzte eine Schwachstelle in der mitgelieferten Software, um einen Ransomware-Angriff auszuführen.

Berichten zufolge haben die Kriminellen damit in einem einzigen Monat rund 350.000 $ eingenommen.

Wohl im Bestreben, eine Entdeckung zu verhindern, hat die Qlocker-Bande ihr Geschäft geschlossen und alle zugehörigen Websites wurden vom Netz genommen.

Dies ist ein besorgniserregender Trend – es bedeutet, dass die letzte Welle von Opfern keine Möglichkeit hat, das Lösegeld zu zahlen und ihre Entschlüsselungsschlüssel zu erhalten.

Ihr einziger Ausweg besteht in der Löschung ihres NAS und der Wiederherstellung ihrer Daten aus Backups.

Auch Synology ist von Attacken und Angriffen nicht verschont geblieben. Die SynoLocker-Ransomware wurde erstmals 2013 entdeckt und taucht immer wieder in neuen Varianten auf.

NAS-Geräte werden ins Visier genommen, weil ein NAS für Cyberkriminelle eine ebenso wertvolle Beute ist wie ein Server. Sie sind voller wertvoller Daten.

Ein Ransomware-Angriff ist für das Opfer wahrscheinlich verheerend. Viele sind bereit, für die Rückgabe ihrer Daten zu zahlen.

Ein NAS hat aus der Sicht eines Angreifers zwei zusätzliche Vorteile. Sie sind in der Regel leichter zu kompromittieren als ein Server, und sehr oft sind sie nicht gesichert.

Dem Opfer bleibt also kaum etwas anderes übrig, als für den Ransomware-Entschlüsselungsschlüssel zu bezahlen.
Natürlich nur, solange die Cyberkriminellen sie noch zur Verfügung stellen.

7 bewährte Praktiken zum Schutz Ihres NAS

1. NAS sichern

Ein NAS ist wahrscheinlich einer der größten Datenspeicher in Ihrem Netzwerk. Vielleicht sogar der größte. Das stellt ein Problem bei der Datensicherung dar.

Was kann seine Backups aufnehmen? Wer aber kein Backup hat, ist den Cyberkriminellen schutzlos ausgeliefert.

Ohne eine robuste und getestete Backup-Lösung müssen Sie das Lösegeld bezahlen und hoffen, dass der Entschlüsselungsschlüssel funktioniert.

Ein NAS wird häufig für die Speicherung von Netzwerk-Backups verwendet. Er ist schnell zu sichern, und da er lokal ist, kann er auch einfach wiederhergestellt werden.

Doch ohne eine Sicherung des NAS selbst setzen Sie Ihr Unternehmen einem Risiko aus. Die einzige sinnvolle Option für die meisten NAS-Geräte ist das externe Backup.

Eine Möglichkeit, Geräte mit hoher Kapazität wie ein NAS unterzubringen, ist die Sicherung über einen Cloud-Dienst.

Wenn Ihr Betrieb verschiedene Zweigstellen oder Standorte verwaltet, können diese so organisiert werden, dass sie sich gegenseitig sichern, vorausgesetzt, sie verfügen über die entsprechende Kapazität und Ihre Infrastruktur kann die Bandbreite bewältigen.

Entwickeln Sie einen Zeitplan für Sicherungstests und halten Sie ihn ein. Überprüfen Sie regelmäßig, ob Sie sich auf Ihre Backups verlassen können. Sie müssen darauf vertrauen können, dass sie zum vorgesehenen Zeitpunkt erstellt werden.

Sie müssen sicher und ohne Beeinträchtigung oder Beschädigung gespeichert werden.

Ihre Backups müssen bei Bedarf zugänglich sein und Ihre Daten schnell und wortgetreu wiederherstellen können.

2. Standardpasswörter ändern

Ändern Sie alle Standardkennwörter auf Ihrem NAS. Wenn Sie das nicht tun, ist das so, als würden Sie Ihr Haus die ganze Nacht über unverschlossen und unbeaufsichtigt lassen.

Aus denselben Gründen sollten Sie auch Ihre Standardpasswörter ersetzen.

Ändern Sie das Kennwort für das Standard-Admin-Konto sowie für jedes andere Konto, das eine Anmeldung oder Verbindung zu Ihrem NAS ermöglicht, wie z. B. ein SSH-Konto.

Wählen Sie starke und eindeutige Passwörter. Drei nicht zusammenhängende Wörter, die durch Satzzeichen oder Zahlen verbunden sind, stellen eine ideale Vorlage dar.

Bei den meisten NAS-Geräten können Sie einen neuen Benutzer anlegen und ihm Admin-Rechte zuweisen. Dies ist eine besonders effektive Maßnahme, um dem Standardkonto die Administratorrechte zu entziehen – oder das Standardkonto ganz zu entfernen.

Der Malware des Angreifers wird es nicht gelingen, Brute-Force-Methoden gegen das Standard-Administrationskonto anzuwenden. Auch der Name Ihres tatsächlichen Admin-Kontos wird ihm nicht bekannt sein.

Zum Thema: Sicheres Passwort erstellen: 5 Expertentipps zur sofortigen Anwendung

3. Zwei-Faktoren-Authentifizierung verwenden

Falls dies von Ihrem Gerät unterstützt wird, aktivieren Sie die Zwei-Faktor-Authentifizierung.

Dazu müssen Sie einen sicheren USB-Schlüssel oder eine registrierte Smartphone-App für den Empfang oder die Erzeugung von Token oder Codes für jeden Anmeldeversuch verwenden.

Neben Ihrer Benutzerkonto-ID und Ihrem Passwort (etwas, das Sie kennen) werden die Token oder Codes als weitere Form der Identifizierung (etwas, das Sie haben) eingesetzt.

Bei aktivierter Zwei-Faktor-Authentifizierung reichen Ihre Benutzerkonto-ID und Ihr Passwort nicht aus, um Zugang zu Ihrem Konto zu erhalten.

Selbst wenn Ihre Anmeldedaten kompromittiert werden, kann ein Angreifer nicht auf Ihr Konto zugreifen.

4. Ungenutzte Apps und Dienste deaktivieren

Moderne NAS-Geräte sind bereits mit einer Reihe von Tools und Anwendungen ausgestattet. Je mehr Software Sie ausführen, desto größer ist Ihre Angriffsfläche.

Und natürlich hat einige dieser Software ihre Schwachstellen. Die Qlocker-Malware nutzte eine Sicherheitslücke in der Multimedia-Verwaltungssoftware von QNAP aus.

Das Synology Package Center ermöglicht Ihnen die Installation von WordPress auf Ihrem Synology NAS. Ungepatchte und veraltete WordPress-Installationen sind notorisch unsicher.

Deaktivieren Sie alles, was Sie nicht verwenden. Insbesondere gilt es für FTP, Telnet, Wi-Fi Protected Setup (WPS) und SSH.

Schauen Sie sich auch die Anwendungen an, die im Lieferumfang des NAS enthalten sind, und deaktivieren oder deinstallieren Sie alles, was Sie nicht benötigen.

Selbst wenn Sie sie noch nie benutzt haben, können sie Dienste oder Daemons haben, die Verbindungen akzeptieren und Schwachstellen aufweisen können.

5. NAS und Software patchen

Vergewissern Sie sich, dass Ihr NAS-System, seine Firmware und jede gebündelte Software, die Sie noch verwenden, mit aktuellen Sicherheits-Patches und Bug-Fix-Releases versehen sind.

Veraltete Software birgt Schwachstellen und setzt Sie im Laufe der Zeit zunehmend Risiken aus.

Nutzen Sie alle Anti-Malware- oder Antiviren-Scanfunktionen Ihres NAS. Planen Sie, wenn möglich, regelmäßige automatische Scans.

6. Sichere Remote-Konnektivität gewährleisten

Sollte Ihr NAS über das Internet erreichbar sein, um eine Fernverbindung zu ermöglichen, sollten Sie die folgenden Schritte berücksichtigen und die jeweils zutreffenden anwenden.

Portweiterleitung

Kommunikations- und Verbindungsprotokolle verwenden Standard-Portnummern. So ist beispielsweise der SSH-Standardanschluss Port 22.

Wenn Sie Port 22 in Ihrer Firewall schließen, werden keine Verbindungen über diesen Port angenommen. Dadurch werden Brute-Force-Angriffe verhindert.

Zur Herstellung von SSH-Verbindungen können Sie jeden anderen verfügbaren Port wählen und den an diesem Port ankommenden Datenverkehr von Ihrer Firewall an die IP-Adresse Ihres NAS an Port 22 weiterleiten lassen.

Ihr NAS kann dann eingehende SSH-Verbindungsanfragen wie gewohnt entgegennehmen.

Idealerweise sollten Sie SSH-Schlüssel für sichere und passwortlose SSH-Verbindungen einrichten.

IP-Sperre

Wahrscheinlich kann Ihr NAS IP-Adressen, die eine bestimmte Anzahl von falschen Verbindungsversuchen unternommen haben, automatisch blockieren.

Wenn Ihr NAS die automatische IP-Sperre unterstützt, schalten Sie diese Funktion ein.

Beim Geoblocking handelt es sich um eine Form der IP-Sperre, die jede Art von Verbindung von einer IP-Adresse in den Ländern oder Regionen zugewiesenen IP-Adressbereichen verhindert.

Dies ist praktisch, weil Sie leicht ganze Länder auf eine schwarze Liste setzen können, von denen Sie wissen, dass es nie eine gültige Verbindungsanfrage geben wird.

Wenn Ihr NAS kein Geoblocking unterstützt, überprüfen Sie Ihre Firewall. Bei aktuellen Modellen sind möglicherweise Geoblocking-Funktionen enthalten.

SSL/TSL aktivieren

Wenn Sie über einen Browser eine Verbindung zu Ihrem NAS herstellen können, achten Sie darauf, dass Sie das verschlüsselte HTTPS-Protokoll aktiviert haben und ein gültiges SSL/TSL-Zertifikat installiert ist.

Der Hersteller Ihres NAS bietet Ihnen eine Reihe von Anweisungen, wie Sie ein SSL/TSL-Zertifikat über die Verwaltungsoberfläche Ihres Geräts erhalten und installieren können.

Übrigens: Ein OpenSSL-Zertifikat ist kostenlos.

VPN verwenden

Die meisten NAS-Geräte unterstützen VPN-Server, die eine Verbindung über ein Virtual Private Network ermöglichen.

Diese verwenden einen verschlüsselten Tunnel für die Kommunikation zwischen den beiden Endpunkten der Verbindung.

Bekannte NAS-Marken unterstützen VPNs entweder direkt oder durch Add-ons.

Zum Thema: VPN einrichten und nutzen: Tipps und Beispiele

Schutz vor Denial of Service

Bei einem Denial-of-Service-Angriff wird das Gerät des Opfers so stark mit Netzwerkverkehr überflutet, dass es den echten Traffic nicht mehr erkennen und darauf reagieren kann.

Im Endeffekt wird das Gerät offline genommen.

Die Aktivierung des Denial-of-Service-Schutzes ist oft so einfach wie das Ankreuzen eines Kontrollkästchens in den Einstellungen Ihres NAS.

7. Netzwerk nicht vergessen

Da sich Ihr NAS in Ihrem Netzwerk befindet, wirkt sich die Sicherheit Ihres Netzwerks auch auf die Sicherheit Ihres NAS aus.

Vergewissern Sie sich, dass Ihr Router, Ihre Firewall und andere Netzwerkgeräte auf dem neuesten Stand sind, gut konfiguriert und mit neuen Passwörtern versehen sind und über aktuelle Patches verfügen.

Und natürlich verschwinden viele Ihrer Sicherheitsbedenken, wenn das Gerät überhaupt nicht mit dem Internet verbunden ist. Wenn es nicht unbedingt notwendig ist, sollten Sie Ihr NAS nicht der Außenwelt aussetzen.

Verwandte Begriffe

Marshall Gunnell
Tech Redakteur
Marshall Gunnell
Tech Redakteur

Marshall ist ein erfahrener technischer Autor und Gaming-Enthusiast mit Sitz in Tokio. Er ist ein professioneller Wortschöpfer mit Hunderten von Artikeln, die auf VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier und vielen anderen veröffentlicht wurden. Seine Texte haben ein riesiges Publikum von über 70 Millionen Lesern erreicht.