An Sicherheitslücken bei Windows-10-Rechnern haben Sie sich längst gewöhnt. Sie ergreifen konsequent Gegenmaßnahmen, damit Ihr PC möglichst gut gewappnet ist, um Angriffe jeglicher Art abzuwehren und Gefahren zu erkennen, bevor Schaden entstehen kann. Auch beim Router sind Sie sicherheitstechnisch auf dem aktuellen Stand. Verglichen dazu steht der Netzwerkspeicher weniger im Sicherheitsfokus.
Denn das Betriebssystem Ihres Netzwerkspeichers ist ab Werk nicht in jedem Punkt so konfiguriert, dass es locker allen Bedrohungen standhalten kann. Die gute Nachricht: Sie können ohne viel Mühe nachbessern, da viele NAS-Systeme mit umfassenden Schutzfunktionen ausgestattet sind. Unser Ratgeber führt Sie in Schritten gezielt zu den NAS-Einstellungen, die die Sicherheit Ihres Datenlagers effektiv erhöhen. Ergänzend lesen Sie, welche regelmäßigen Maßnahmen den Schutz des NAS-Systems und damit Ihrer persönlichen Daten am besten gewährleisten.
Test: Netzwerkspeicher (NAS) im Vergleich
Schritt 1 : Firmware-Update durchführen
Eine der wichtigsten Aktionen, die Sie zum Schutz Ihres Netzwerkspeichers ergreifen können, ist das Firmware-Update. Denn wie bei jedem Rechner oder Router schließen auch die Hersteller von NAS-Systemen Sicherheitslücken über regelmäßige Aktualisierungen des Betriebssystems. Dabei sind Sie vom NAS-Hersteller abhängig, wie schnell er auf potenzielle Bedrohungen mit einem Update reagiert. Neben dem Sicherheitsaspekt hat ein Firmware-Update noch einen weiteren Nutzen: Oft erhält das Speichergerät dadurch neue Funktionen.
Stets auf der sicheren Seite sind Sie, wenn der Netzwerkspeicher die Aktualisierungen automatisch vornehmen kann. Das ist etwa bei den meisten Geräten von Asustor, Qnap und Synology der Fall. Die Einstellung ist ab Werk in der Regel nicht aktiviert, lässt sich jedoch über die Systemeinstellungen in der Firmware vornehmen. Bei Synology-NAS-Modellen gehen Sie dazu beispielsweise auf „Systemsteuerung –› Aktualisieren & Wiederherst.“. Unter „DSM-Aktualisierung“ wählen Sie „Update-Einstellungen“ und „Neues Update automatisch aktualisieren“. Gleichzeitig legen Sie unter „Zeitplan kontrollieren“ fest, wie oft und wann das System nach einem Firmware-Update suchen soll. Stellen Sie am besten „Täglich“ sowie eine Uhrzeit ein.
Wenn sich Ihr NAS-Modell nicht automatisch mit der aktuellen Firmware-Version versorgt, dann zeigt es in der Regel einen Update-Hinweis an, sobald Sie sich am System anmelden. Sie stoßen den Aktualisierungsprozess dann selbst an. Auch über ein eventuell vorhandenes Windows-Hilfstool wie etwa Qfinder Pro bei Qnap-Netzwerkspeichern erhalten Sie einen Hinweis, sobald ein Firmware-Update für das NAS vorliegt. Mit einem Klick auf das NAS-Modell stellen Sie die Verbindung zum Gerät her und melden sich an. Danach führen Sie das Update durch.
Schritt 2 : NAS-Apps aktuell halten
Ist die Geräte-Firmware auf dem neuesten Stand, lohnt sich ein Blick auf die NAS-Apps. Denn auch hier tragen möglichst aktuelle Versionen zum Schutz des Netzwerkspeichers bei. Damit Sie sich nur einmal mit der Thematik befassen müssen, automatisieren Sie den Update-Prozess der Zusatzanwendungen. Die entsprechende Einstellung finden Sie im App-Store Ihres NAS-Modells. Ein Beispiel: Wenn Sie ein Qnap-NAS haben, dann öffnen Sie das „App Center“, gehen auf „Einstellungen“ und in die Rubrik „Aktualisieren“. Hier setzen Sie ein Häkchen bei „Wenn Aktualisierungen verfügbar sind, dann möchte ich“ und wählen aus dem Drop-down-Menü „Alle Aktualisierungen automatisch installieren“ aus. Sobald Sie die Eingabe mit „Übernehmen“ bestätigen, spielt das NAS die App-Updates automatisch für alle installierten Dienste auf.
Schritt 3 : NAS-eigene Sicherheitschecks
Viele NAS-Modelle bringen Apps mit, die mehrere Sicherheitstools unter einem Dach vereinen. Bei Synology ist die Anwendung Teil des Betriebssystems und nennt sich „Sicherheitsberater“. Bei Qnap laden Sie den „ Security Counselor “ aus dem Store „App Central“. In beiden Fällen analysieren die Anwendungen die Systemeinstellungen und führen Malware- sowie Virenscans durch, um Schwachstellen auf dem NAS aufzudecken. Wie Sie die NAS-Sicherheit erhöhen, zeigen die Apps anhand von Lösungsvorschlägen. Bei Synology klicken Sie dazu unter „Überblick“ einen Warnhinweis an, bei Qnap gelangen Sie über „Berichte anzeigen“ zu den jeweiligen Einträgen.
Wie sensibel die App bei der Suche nach potenziellen Gefahren vorgehen soll, legen Sie bei Qnaps Security Counselor über die „Sicherheitsrichtlinie“ fest. Hier haben Sie die Wahl von „einfach“ bis „benutzerdefiniert“. Sobald Sie die Richtlinie geändert haben, startet ein neuer Analysevorgang. Außerdem führt die Toolkollektion einen Virenscan erst durch, wenn Sie den integrierten Open-Source-Virenscanner ClamAV aktiviert haben. Auch der Malware-Scan arbeitet erst, wenn Sie das Tool „ Malware Remover “ zusätzlich aus dem App-Store aufs NAS heruntergeladen haben. Ebenso gehen Sie beim Firewalltool „ QuFirewall “ vor.
Bei Synology-Netzwerkspeichern wiederum hängt der Einsatzzweck des Geräts direkt mit der Anzahl an Sicherheitseinstellungen zusammen. Dazu fragt der „Sicherheitsberater“ beim ersten Start ab, wie Sie das NAS-System einsetzen. Um als Privatanwender auch weiterführende Sicherheitsfunktionen nutzen zu können, entscheiden Sie sich für die Option „Für Arbeit und Unternehmen“. Sie können die Einstellung auch unter „Erweitert“ bei Bedarf wieder ändern.
NAS-Kaufberatung: Die besten Netzwerkspeicher
Schritt 4 : Admin-Konto deaktivieren
Schon während der NAS-Inbetriebnahme fordern die Installationsassistenten Sie dazu auf, das Standard-Passwort zu ändern. Dabei sind in den Routinen vielfach Einschätzungen zur Passwortstärke integriert. So erkennen Sie, ob es sich um ein starkes, mittleres oder schwaches Zugangswort handelt. Dagegen ändert sich am Kontonamen nichts. Er bleibt in der Regel bei „admin“ oder „Admin“. Das gilt unabhängig von NAS-Hersteller und Modell – und lässt sich deshalb von Hackern potenziell ausnutzen. Denn sie wollen bei Angriffsversuchen meist ausschließlich Zugriff auf das Admin-Konto erlangen.
Deshalb erhöhen Sie die Sicherheit Ihres NAS-Systems, indem Sie das Admin-Konto deaktivieren und durch ein individuelles Konto ersetzen, dem Sie volle Admin-Rechte zuteilen. Dazu melden Sie sich zuerst mit den herkömmlichen Admin-Zugangsdaten an der NAS-Bedienoberfläche an. Dann erstellen Sie einen weiteren Benutzer – beispielsweise „Master“. Ihn statten Sie mit vollen Zugriffs- und Benutzerrechten aus. Melden Sie sich nun als Admin ab und mit den Zugangsdaten des neuen Benutzers (im Beispiel: Master) wieder an. Wechseln Sie erneut in die Benutzerverwaltung. Sie können jetzt das Admin-Profil bearbeiten und damit auch deaktivieren.
Schritt 5 : Kontozugriffsschutz einrichten
Auf den Netzwerkspeicher greifen in der Regel mehrere Anwender zu, die Sie als Admin mit bestimmten Zugangsdaten und Zugriffsrechten ausgestattet haben. Da Sie nicht ausschließen können, dass Teile von Anmeldedaten in falsche Hände geraten, ist ein zusätzlicher Kontoschutz empfehlenswert. Dazu lassen sich die Anmeldeversuche für Benutzer limitieren und die Konten bei einer Überschreitung innerhalb einer bestimmten Zeit deaktivieren.
Die entsprechende Einstellung finden Sie etwa bei Qnap in der Systemsteuerung unter „System –› Sicherheit“ und dem Register „Kontozugriffsschutz“. Damit Sie nicht zu viel Ärger mit fälschlich deaktivierten Zugängen haben, bestimmen Sie hier relativ genau, wann die Schutzmaßnahme greifen soll. Der Kontoschutz lässt sich auf Gruppen- und Einzelbenutzer festlegen und kann sich auf ein bestimmtes Protokoll konzentrieren – etwa Http(s) oder FTP. Außerdem tritt er erst nach einer bestimmen Anzahl von fehlgeschlagenen Anmeldeversuchen ein.
Admins von Synology-Netzwerkspeichern bauen den Kontoschutz über das Blockieren von IP-Adressen auf. Sie finden die Funktion in der Firmware-Systemsteuerung unter „Sicherheit“ und dem Register „Konto“. Die „Automatische Blockierung“ löst hierbei unterschiedliche Szenarien aus. So unterscheidet das NAS-Betriebssystem DSM zwischen „Nicht vertrauenswürdigen Clients“ und „Vertrauenswürdigen Clients“. Für beide Gruppen lässt sich die Anzahl der Log-in-Versuche innerhalb eines Zeitlimits separat definieren. Dazu können Sie festlegen, wann die Blockierung aufgehoben wird und welche IP-Adressen davon ausgenommen sind.
Schritt 6: Zwei-Faktor-Authentifizierung fürs NAS-Konto
Die meisten Anwender nutzen den Netzwerkspeicher nicht nur innerhalb des Heimnetzwerks, sondern auch über das Internet, um auf das Datenlager zuzugreifen.
Für diesen Zugang bieten NAS-Hersteller Relay-basierte Dienste wie etwa EZ-Connect von Asustor, Myqnapcloud von Qnap oder Quickconnect von Synology an. Dabei verbindet sich das NAS mit dem Cloudserver des NAS-Herstellers, mit dem Sie wiederum eine Verbindung über einen Client aufbauen. Dazu registrieren Sie Ihren Netzwerkspeicher beim Clouddienst und können ihn dann über eine fest definierte Adresse erreichen.
Ist diese Adresse bekannt, erreichen jedoch auch andere Personen die Anmeldeseite Ihres Netzwerkspeichers. Das birgt die Gefahr von Brute-Force-Attacken, um so an Ihre Admin-Zugangsdaten zu kommen. Dem wirken Sie über eine Zwei-Faktor-Authentifizierung entgegen. Sie lässt sich direkt in den Konto-Einstellungen des NAS-Betriebssystems vornehmen.
Ein Beispiel: Bei Ihrem Qnap-NAS klicken Sie in der Bedienoberfläche rechts oben auf das Konto (etwa „admin“) und wählen „Optionen“. Gehen Sie dann in die Rubrik „Bestätigung in zwei Schritten“. Synology nennt das Verfahren „2-Stufen-Verifizierung“. Die Funktion ist wiederum direkt in den Konto-Einstellungen unter „Persönlich“ zu finden.
Damit die Zwei-Faktor-Authentifizierung funktioniert, benötigen Sie zusätzlich zum NAS-Kennwort einen einmal generierten Code, der zeitlich begrenzt gültig ist. Um ihn zu erzeugen, nutzen Sie Ihr Smartphone und eine entsprechende App wie etwa Google Authenticator. Sie finden die Anwendung in den jeweiligen App-Stores für Android und iOS. Bevor Sie sie einsetzen können, müssen Sie sowohl App als auch NAS-Konto konfigurieren. Dabei unterstützen Sie die jeweiligen Einrichtungsassistenten.
Es empfiehlt sich, zusätzlich zur Verifizierung per Smartphone eine alternative Methode einzurichten. So können Sie sicher sein, dass die Zwei-Faktor-Anmeldung am NAS auch dann klappt, wenn Sie Ihr Smartphone nicht einsetzen können. Deshalb sieht der NAS-Einrichtungsassistent meist auch das Versenden von Sicherheitscodes per E-Mail vor.
Ist alles erledigt, werden Sie bei der nächsten Anmeldung an der NAS-Bedienoberfläche aufgefordert, nach der Verifizierung des Benutzernamens und des Kennworts einen sechsstelligen Code einzugeben. Das zweistufige Anmeldeverfahren lässt sich auch wieder deaktivieren. Dazu rufen Sie erneut die entsprechenden Konto-Einstellungen auf.
Schritt 7: Unnötige Dienste abschalten
Besonders in heterogenen Umgebungen neigen Einsteiger dazu, zu viele Dienste zu aktivieren. In einem Haushalt, in dem neben Linux auch Windows- und Mac-Systeme zum Einsatz kommen, scheint es nur konsequent, wenn auch die passenden Freigabeprotokolle eingeschaltet werden. Neben dem eigentlichen Datenprotokoll lassen sich dann auch gleich noch Dienste aktivieren, die den Zugriff auf das NAS vereinfachen. Das sieht trivial aus, ist es aber nicht. Denn es gibt auch (wenn auch wenige) Konstellationen, in denen es zu Filelock-Problemen kommen kann, wenn Clients über unterschiedliche Protokolle parallel auf die gleiche Freigabe zugreifen.
Sie werden etwa häufig lesen, dass Sie im Falle von Apple am besten AFP nutzen. Das sei performanter und ideal. Tatsächlich schwenkt Apple aber immer zusehends auf SMB um. SMB-Freigaben versteht jedes Linux, Windows und Mac-OS. NFS wiederum, einstmals von Sun entwickelt, ist perfekt für Linux-Umgebungen.
Schauen Sie kritisch unter „Systemsteuerung –› Dateidienste“ nach (Synology, ähnlich bei anderen NAS-Systemen), was dort alles aktiviert ist. Über das SMB-Protokoll können Sie unter Windows eine Freigabe als Netzlaufwerk auch direkt via IP-Adresse anlegen. Die Netzwerkerkennung von Windows ist komfortabel, aber eben nur optional. Gleiches gilt auch für das Apple-Pendant Bonjour. Besonders vorsichtig sollten Sie mit Portfreigaben sein. Denn mit jedem Port, den Sie öffnen oder weiterleiten, schaffen Sie einen zusätzlichen Kanal von außen in das lokale Netz.
Schritt 8: Cloudservices? Mit Risiken!
Fast jeder NAS-Hersteller bietet einen optionalen Zugang via Cloud auf das NAS an. Damit soll dann der Zugriff von unterwegs auf Fotos, Musik, Dateien und Verwaltungsfunktionen besonders einfach werden. Ein passendes Benutzerkonto ist schnell eingerichtet und via App auf dem Smartphone gelangen Sie dann tatsächlich von überall auf alle Daten und Verwaltungsfunktionen des heimischen NAS-Geräts. Technisch handelt es sich hier einfach um einen Dienst für dynamische DNS-Einträge.
Wie schon bei den oben genannten Diensten sollten Sie sorgfältig abwägen, ob Sie solchen Fernzugriff tatsächlich benötigen. Sie begeben sich damit in die Abhängigkeit vom Hersteller, der sich um die Sicherheit dieser Dienste und seiner Anmeldeportale kümmern muss. Tritt dort eine Sicherheitslücke auf, sind Sie zwar nicht der einzige Betroffene, das hilft Ihnen dann aber auch nicht weiter.
Falls Sie diese Dienste abschalten: Wie präsentieren Sie dann etwa unterwegs Ihre Fotos? Eine denkbare Alternative wäre ein zusätzlicher Raspberry Pi als Server. Es gibt unzählige Anwendungen, die Galerien für Fotos anbieten. Und mittels eines Programms wie Rsync können Sie auf dem NAS gespeicherte Bilder mit dem Raspberry abgleichen. Sie kommen also zum gleichen Ergebnis, ohne den Zugang zum zentralen Datenspeicher freizugeben.
Lesetipp: NAS-Update schneller installieren
Schritt 9: Ein NAS bleibt besser ein NAS
Was gibt es nicht alles an Softwarepaketen für die NAS-Modelle der führenden kommerziellen Hersteller? Der Zugriff auf diese Wundertüte ist verführerisch, schließlich handelt es sich ja um einen kleinen Computer in einem kompakten Gehäuse, der rund um die Uhr läuft. Der Ansatz, ein NAS durch allerlei Zusatzfunktionen aufzubohren, stammt noch aus der Zeit, als kompakte und stromsparende Computer noch ziemlich teuer waren. Spätestens mit dem Raspberry Pi wurde das anders. Dessen Ausstattung überholt inzwischen ältere NAS-Systeme in der Leistung deutlich.
Sie sollten sich also genau überlegen, ob Sie sich einen Gefallen tun, wenn Sie ein Serversystem wie WordPress auf dem gleichen System laufen lassen, das alle wichtigen Dokumente und Erinnerungen speichert. Besser für Wartung und Sicherheit ist es, das NAS auf seine Kernfunktion zu beschränken. Wenn es Bedarf an weiteren Serverfunktionen gibt, sollte für einen Raspberry noch Platz sein. Diese Investition sollten Ihnen die Daten wert sein.
Nicht nur Synology hat in den vergangenen Jahren viel unternommen, die Sicherheit der Geräte zu verbessern. Mit wachsender Verbreitung wurden diese aber auch verstärkt Ziel von Attacken. Es lohnt sich, den Bereich „Sicherheit“ in der Systemsteuerung genauer anzuschauen. Hier finden Sie Optionen, um Passwörter regelmäßig erneuern zu lassen, können deren Stärke vorgeben und auch zu häufige Anmeldeversuche blockieren.
Ob nun ein NAS eines kommerziellen Herstellers oder Raspberry-Server im Eigenbau: Sie sollten das System stets aktuell halten. Wird eine Aktualisierung des Betriebssystems angeboten, installieren Sie diese möglich zügig. Bei einem kommerziellen NAS wird es zudem auch gelegentlich neue Firmware geben, die Sie ebenfalls einspielen sollten.
Alle Maßnahmen nützen nichts, falls das Gerät gestohlen oder irreparabel geschädigt ist. Deswegen benötigt ein NAS mit wertvollen Daten streng genommen ein weiteres Datenbackup, das an einem anderen Ort liegt.
Autor: Ines Walke-Chomjakov
Ines Walke-Chomjakov kümmert sich um alles Wissenswerte zu IT-Peripheriegeräten. Zu ihren Spezialgebieten gehören Drucker, externe SSDs und HDDs sowie Displays aller Art. Weitere Themenbereiche drehen sich um Netzwerktechnik - hier vor allen Dingen Netzwerkspeicher.