2560649

NAS effektiv schützen in 6 Schritten

01.02.2021 | 12:02 Uhr | Ines Walke-Chomjakov

Neben dem Rechner ist auch der Netzwerkspeicher das Ziel von Angreifern. Doch keine Panik: Mit diesen sechs Maßnahmen schützen Sie Ihr NAS-System schnell und effektiv.

An Sicherheitslücken bei Windows-10-Rechnern haben Sie sich längst gewöhnt. Sie ergreifen konsequent Gegenmaßnahmen, damit Ihr PC möglichst gut gewappnet ist, um Angriffe jeglicher Art abzuwehren und Gefahren zu erkennen, bevor Schaden entstehen kann. Auch beim Router sind Sie sicherheitstechnisch auf dem aktuellen Stand. Verglichen dazu steht der Netzwerkspeicher weniger im Sicherheitsfokus.

Denn das Betriebssystem Ihres Netzwerkspeichers ist ab Werk nicht in jedem Punkt so konfiguriert, dass es locker allen Bedrohungen standhalten kann. Die gute Nachricht: Sie können ohne viel Mühe nachbessern, da viele NAS-Systeme mit umfassenden Schutzfunktionen ausgestattet sind. Unser Ratgeber führt Sie in Schritten gezielt zu den NAS-Einstellungen, die die Sicherheit Ihres Datenlagers effektiv erhöhen. Ergänzend lesen Sie, welche regelmäßigen Maßnahmen den Schutz des NAS-Systems und damit Ihrer persönlichen Daten am besten gewährleisten.

Test: Netzwerkspeicher (NAS) im Vergleich

Schritt 1 : Firmware-Update durchführen

Eine der wichtigsten Aktionen, die Sie zum Schutz Ihres Netzwerkspeichers ergreifen können, ist das Firmware-Update. Denn wie bei jedem Rechner oder Router schließen auch die Hersteller von NAS-Systemen Sicherheitslücken über regelmäßige Aktualisierungen des Betriebssystems. Dabei sind Sie vom NAS-Hersteller abhängig, wie schnell er auf potenzielle Bedrohungen mit einem Update reagiert. Neben dem Sicherheitsaspekt hat ein Firmware-Update noch einen weiteren Nutzen: Oft erhält das Speichergerät dadurch neue Funktionen.

Stets auf der sicheren Seite sind Sie, wenn der Netzwerkspeicher die Aktualisierungen automatisch vornehmen kann. Das ist etwa bei den meisten Geräten von Asustor, Qnap und Synology der Fall. Die Einstellung ist ab Werk in der Regel nicht aktiviert, lässt sich jedoch über die Systemeinstellungen in der Firmware vornehmen. Bei Synology-NAS-Modellen gehen Sie dazu beispielsweise auf „Systemsteuerung –› Aktualisieren & Wiederherst.“. Unter „DSM-Aktualisierung“ wählen Sie „Update-Einstellungen“ und „Neues Update automatisch aktualisieren“. Gleichzeitig legen Sie unter „Zeitplan kontrollieren“ fest, wie oft und wann das System nach einem Firmware-Update suchen soll. Stellen Sie am besten „Täglich“ sowie eine Uhrzeit ein.

Wenn sich Ihr NAS-Modell nicht automatisch mit der aktuellen Firmware-Version versorgt, dann zeigt es in der Regel einen Update-Hinweis an, sobald Sie sich am System anmelden. Sie stoßen den Aktualisierungsprozess dann selbst an. Auch über ein eventuell vorhandenes Windows-Hilfstool wie etwa Qfinder Pro bei Qnap-Netzwerkspeichern erhalten Sie einen Hinweis, sobald ein Firmware-Update für das NAS vorliegt. Mit einem Klick auf das NAS-Modell stellen Sie die Verbindung zum Gerät her und melden sich an. Danach führen Sie das Update durch.

Hersteller von NAS-Systemen schließen Sicherheitslücken per Firmware-Update. Das stets aktuelle Betriebssystem ist damit ein zentraler Beitrag zur NAS-Sicherheit. Meist lässt sich der Update-Prozess automatisieren.
Vergrößern Hersteller von NAS-Systemen schließen Sicherheitslücken per Firmware-Update. Das stets aktuelle Betriebssystem ist damit ein zentraler Beitrag zur NAS-Sicherheit. Meist lässt sich der Update-Prozess automatisieren.

Schritt 2 : NAS-Apps aktuell halten

Ist die Geräte-Firmware auf dem neuesten Stand, lohnt sich ein Blick auf die NAS-Apps. Denn auch hier tragen möglichst aktuelle Versionen zum Schutz des Netzwerkspeichers bei. Damit Sie sich nur einmal mit der Thematik befassen müssen, automatisieren Sie den Update-Prozess der Zusatzanwendungen. Die entsprechende Einstellung finden Sie im App-Store Ihres NAS-Modells. Ein Beispiel: Wenn Sie ein Qnap-NAS haben, dann öffnen Sie das „App Center“, gehen auf „Einstellungen“ und in die Rubrik „Aktualisieren“. Hier setzen Sie ein Häkchen bei „Wenn Aktualisierungen verfügbar sind, dann möchte ich“ und wählen aus dem Drop-down-Menü „Alle Aktualisierungen automatisch installieren“ aus. Sobald Sie die Eingabe mit „Übernehmen“ bestätigen, spielt das NAS die App-Updates automatisch für alle installierten Dienste auf.

Für ein sicheres NAS-System sollten auch die aufgespielten Apps immer aktuell sein. Das können Sie recht einfach sicherstellen, indem Sie den Update-Vorgang über die Einstellungen im App-Store automatisieren.
Vergrößern Für ein sicheres NAS-System sollten auch die aufgespielten Apps immer aktuell sein. Das können Sie recht einfach sicherstellen, indem Sie den Update-Vorgang über die Einstellungen im App-Store automatisieren.

Schritt 3 : NAS-eigene Sicherheitschecks

Viele NAS-Modelle bringen Apps mit, die mehrere Sicherheitstools unter einem Dach vereinen. Bei Synology ist die Anwendung Teil des Betriebssystems und nennt sich „Sicherheitsberater“. Bei Qnap laden Sie den „ Security Counselor “ aus dem Store „App Central“. In beiden Fällen analysieren die Anwendungen die Systemeinstellungen und führen Malware- sowie Virenscans durch, um Schwachstellen auf dem NAS aufzudecken. Wie Sie die NAS-Sicherheit erhöhen, zeigen die Apps anhand von Lösungsvorschlägen. Bei Synology klicken Sie dazu unter „Überblick“ einen Warnhinweis an, bei Qnap gelangen Sie über „Berichte anzeigen“ zu den jeweiligen Einträgen.

Wie sensibel die App bei der Suche nach potenziellen Gefahren vorgehen soll, legen Sie bei Qnaps Security Counselor über die „Sicherheitsrichtlinie“ fest. Hier haben Sie die Wahl von „einfach“ bis „benutzerdefiniert“. Sobald Sie die Richtlinie geändert haben, startet ein neuer Analysevorgang. Außerdem führt die Toolkollektion einen Virenscan erst durch, wenn Sie den integrierten Open-Source-Virenscanner ClamAV aktiviert haben. Auch der Malware-Scan arbeitet erst, wenn Sie das Tool „ Malware Remover “ zusätzlich aus dem App-Store aufs NAS heruntergeladen haben. Ebenso gehen Sie beim Firewalltool „ QuFirewall “ vor.

Qnap bündelt in der Toolsammlung „Security Counselor“ mehrere Sicherheitsprogramme fürs NAS. Teilweise müssen die Anwendungen für die Firewall und Malware-Scans erst extra aus dem App-Store geladen werden.
Vergrößern Qnap bündelt in der Toolsammlung „Security Counselor“ mehrere Sicherheitsprogramme fürs NAS. Teilweise müssen die Anwendungen für die Firewall und Malware-Scans erst extra aus dem App-Store geladen werden.

Bei Synology-Netzwerkspeichern wiederum hängt der Einsatzzweck des Geräts direkt mit der Anzahl an Sicherheitseinstellungen zusammen. Dazu fragt der „Sicherheitsberater“ beim ersten Start ab, wie Sie das NAS-System einsetzen. Um als Privatanwender auch weiterführende Sicherheitsfunktionen nutzen zu können, entscheiden Sie sich für die Option „Für Arbeit und Unternehmen“. Sie können die Einstellung auch unter „Erweitert“ bei Bedarf wieder ändern.

NAS-Kaufberatung: Die besten Netzwerkspeicher

Schritt 4 : Admin-Konto deaktivieren

Schon während der NAS-Inbetriebnahme fordern die Installationsassistenten Sie dazu auf, das Standard-Passwort zu ändern. Dabei sind in den Routinen vielfach Einschätzungen zur Passwortstärke integriert. So erkennen Sie, ob es sich um ein starkes, mittleres oder schwaches Zugangswort handelt. Dagegen ändert sich am Kontonamen nichts. Er bleibt in der Regel bei „admin“ oder „Admin“. Das gilt unabhängig von NAS-Hersteller und Modell – und lässt sich deshalb von Hackern potenziell ausnutzen. Denn sie wollen bei Angriffsversuchen meist ausschließlich Zugriff auf das Admin-Konto erlangen.

Deshalb erhöhen Sie die Sicherheit Ihres NAS-Systems, indem Sie das Admin-Konto deaktivieren und durch ein individuelles Konto ersetzen, dem Sie volle Admin-Rechte zuteilen. Dazu melden Sie sich zuerst mit den herkömmlichen Admin-Zugangsdaten an der NAS-Bedienoberfläche an. Dann erstellen Sie einen weiteren Benutzer – beispielsweise „Master“. Ihn statten Sie mit vollen Zugriffs- und Benutzerrechten aus. Melden Sie sich nun als Admin ab und mit den Zugangsdaten des neuen Benutzers (im Beispiel: Master) wieder an. Wechseln Sie erneut in die Benutzerverwaltung. Sie können jetzt das Admin-Profil bearbeiten und damit auch deaktivieren.

Da NAS-Angriffe oft auf das Admin-Konto zielen, erhöht das Deaktivieren dieses Zugangs die NAS-Sicherheit. Erstellen Sie vorher einen individuellen Benutzer mit Admin-Rechten, um den vollen Systemzugriff zu erhalten.
Vergrößern Da NAS-Angriffe oft auf das Admin-Konto zielen, erhöht das Deaktivieren dieses Zugangs die NAS-Sicherheit. Erstellen Sie vorher einen individuellen Benutzer mit Admin-Rechten, um den vollen Systemzugriff zu erhalten.

Schritt 5 : Kontozugriffsschutz einrichten

Auf den Netzwerkspeicher greifen in der Regel mehrere Anwender zu, die Sie als Admin mit bestimmten Zugangsdaten und Zugriffsrechten ausgestattet haben. Da Sie nicht ausschließen können, dass Teile von Anmeldedaten in falsche Hände geraten, ist ein zusätzlicher Kontoschutz empfehlenswert. Dazu lassen sich die Anmeldeversuche für Benutzer limitieren und die Konten bei einer Überschreitung innerhalb einer bestimmten Zeit deaktivieren.

Die entsprechende Einstellung finden Sie etwa bei Qnap in der Systemsteuerung unter „System –› Sicherheit“ und dem Register „Kontozugriffsschutz“. Damit Sie nicht zu viel Ärger mit fälschlich deaktivierten Zugängen haben, bestimmen Sie hier relativ genau, wann die Schutzmaßnahme greifen soll. Der Kontoschutz lässt sich auf Gruppen- und Einzelbenutzer festlegen und kann sich auf ein bestimmtes Protokoll konzentrieren – etwa Http(s) oder FTP. Außerdem tritt er erst nach einer bestimmen Anzahl von fehlgeschlagenen Anmeldeversuchen ein.

Admins von Synology-Netzwerkspeichern bauen den Kontoschutz über das Blockieren von IP-Adressen auf. Sie finden die Funktion in der Firmware-Systemsteuerung unter „Sicherheit“ und dem Register „Konto“. Die „Automatische Blockierung“ löst hierbei unterschiedliche Szenarien aus. So unterscheidet das NAS-Betriebssystem DSM zwischen „Nicht vertrauenswürdigen Clients“ und „Vertrauenswürdigen Clients“. Für beide Gruppen lässt sich die Anzahl der Log-in-Versuche innerhalb eines Zeitlimits separat definieren. Dazu können Sie festlegen, wann die Blockierung aufgehoben wird und welche IP-Adressen davon ausgenommen sind.

NAS-Benutzerkonten lassen sich deaktivieren, wenn zu viele Anmeldungsversuche fehlschlagen – eine Schutzmaßnahme, die auch dann greift, wenn Zugriffsdaten teilweise in falsche Hände geraten sind.
Vergrößern NAS-Benutzerkonten lassen sich deaktivieren, wenn zu viele Anmeldungsversuche fehlschlagen – eine Schutzmaßnahme, die auch dann greift, wenn Zugriffsdaten teilweise in falsche Hände geraten sind.

PC-WELT Marktplatz

2560649