NAS schützen in sechs Schritten
Mit diesen Maßnahmen schützen Sie Ihr Nas-system schnell und effektiv. Die Funktionen sind bereits vorhanden
An Sicherheitslücken bei Windows-10-rechnern haben Sie sich längst gewöhnt. Sie ergreifen konsequent Gegenmaßnahmen, damit Ihr PC möglichst gut gewappnet ist, um Angriffe jeglicher Art abzuwehren und Gefahren zu erkennen, bevor Schaden entstehen kann. Auch beim Router sind Sie sicherheitstechnisch auf dem aktuellen Stand. Verglichen dazu steht der Netzwerkspeicher weniger im Sicherheitsfokus. Denn das Betriebssystem Ihres Netzwerkspeichers ist ab Werk nicht in jedem Punkt so konfiguriert, dass es locker allen Bedrohungen standhalten kann. Die gute Nachricht: Sie können ohne viel Mühe nachbessern, da viele Nas-systeme mit umfassenden Schutzfunktionen ausgestattet sind. Unser Ratgeber führt Sie in Schritten gezielt zu den Nas-einstellungen, die die Sicherheit Ihres Datenlagers effektiv erhöhen. Ergänzend lesen Sie, welche regelmäßigen Maßnahmen den Schutz des Nas-systems und damit Ihrer persönlichen Daten am besten gewährleisten.
Schritt 1 : Firmware-update durchführen
Eine der wichtigsten Aktionen, die Sie zum Schutz Ihres Netzwerkspeichers ergreifen können, ist das Firmware-update. Denn wie bei jedem Rechner oder Router schließen auch die Hersteller von Nas-systemen Sicherheitslücken über regelmäßige Aktualisierungen des Betriebssystems. Dabei sind Sie vom Nas-hersteller abhängig, wie schnell er auf potenzielle Bedrohungen mit einem Update reagiert. Neben dem Sicherheitsaspekt hat ein Firmware-update noch einen weiteren Nutzen: Oft erhält das Speichergerät dadurch neue Funktionen.
Stets auf der sicheren Seite sind Sie, wenn der Netzwerkspeicher die Aktualisierungen automatisch vornehmen kann. Das ist etwa bei den meisten Geräten von Asustor, Qnap und Synology der Fall. Die Einstellung ist ab Werk in der Regel nicht aktiviert, lässt sich jedoch über die Systemeinstellungen in der Firmware vornehmen. Bei Synology-nasmodellen gehen Sie dazu beispielsweise auf „Systemsteuerung –› Aktualisieren & Wiederherst.“. Unter „Dsm-aktualisierung“wählen Sie „Update-einstellungen“und „Neues Update automatisch aktualisieren“. Gleichzeitig legen Sie unter „Zeitplan kontrollieren“fest, wie oft und wann das System nach einem Firmware-update suchen soll. Stellen Sie am besten „Täglich“sowie eine Uhrzeit ein.
Wenn sich Ihr Nas-modell nicht automatisch mit der aktuellen Firmware-version versorgt, dann zeigt es in der Regel einen Update-hinweis an, sobald Sie sich am Sys
„Die Nas-sicherheit können Sie leicht und schnell erhöhen. Die Funktionen sind vorhanden. Sie brauchen sie nur zu aktivieren.“
tem anmelden. Sie stoßen den Aktualisierungsprozess dann selbst an. Auch über ein eventuell vorhandenes Windows-hilfstool wie etwa Qfinder Pro bei Qnap-netzwerkspeichern erhalten Sie einen Hinweis, sobald ein Firmware-update für das NAS vorliegt. Mit einem Klick auf das Nas-modell stellen Sie die Verbindung zum Gerät her und melden sich an. Danach führen Sie das Update durch.
Schritt 2 : NAS-APPS aktuell halten
Ist die Geräte-firmware auf dem neuesten Stand, lohnt sich ein Blick auf die NASAPPS. Denn auch hier tragen möglichst aktuelle Versionen zum Schutz des Netzwerkspeichers bei. Damit Sie sich nur einmal mit der Thematik befassen müssen, automatisieren Sie den Update-prozess der Zusatzanwendungen. Die entsprechende Einstellung finden Sie im App-store Ihres Nas-modells. Ein Beispiel: Wenn Sie ein QNAP-NAS haben, dann öffnen Sie das „App Center“, gehen auf „Einstellungen“und in die Rubrik „Aktualisieren“. Hier setzen Sie ein Häkchen bei „Wenn Aktualisierungen verfügbar sind, dann möchte ich“und wählen aus dem Drop-down-menü „Alle Aktualisierungen automatisch installieren“aus. Sobald Sie die Eingabe mit „Übernehmen“bestätigen, spielt das NAS die App-updates automatisch für alle installierten Dienste auf.
Schritt 3 : Nas-eigene Sicherheitschecks
Viele Nas-modelle bringen Apps mit, die mehrere Sicherheitstools unter einem Dach vereinen. Bei Synology ist die Anwendung Teil des Betriebssystems und nennt sich „Sicherheitsberater“. Bei Qnap laden Sie den „Security Counselor“aus dem Store „App Central“. In beiden Fällen analysieren die Anwendungen die Systemeinstellungen und führen Malware- sowie Virenscans durch, um Schwachstellen auf dem NAS aufzudecken. Wie Sie die Nas-sicherheit erhöhen, zeigen die Apps anhand von Lösungsvorschlägen. Bei Synology klicken Sie dazu unter „Überblick“einen Warnhinweis an, bei Qnap gelangen Sie über „Berichte anzeigen“zu den jeweiligen Einträgen.
Wie sensibel die App bei der Suche nach potenziellen Gefahren vorgehen soll, legen Sie bei Qnaps Security Counselor über die „Sicherheitsrichtlinie“fest. Hier haben Sie die Wahl von „einfach“bis „benutzerdefiniert“. Sobald Sie die Richtlinie geändert haben, startet ein neuer Analysevorgang. Außerdem führt die Toolkollektion einen Virenscan erst durch, wenn Sie den integrierten Open-source-virenscanner Clamav aktiviert haben. Auch der Malware-scan arbeitet erst, wenn Sie das Tool „Malware Remover“zusätzlich aus dem App-store aufs NAS heruntergeladen haben. Ebenso gehen Sie beim Firewalltool „Qufirewall“vor.
Bei Synology-netzwerkspeichern wiederum hängt der Einsatzzweck des Geräts direkt mit der Anzahl an Sicherheitseinstellungen zusammen. Dazu fragt der „Sicherheitsberater“beim ersten Start ab, wie Sie das Nas-system einsetzen.
Um als Privatanwender auch weiterführende Sicherheitsfunktionen nutzen zu kön
nen, entscheiden Sie sich für die Option „Für Arbeit und Unternehmen“. Sie können die Einstellung auch unter „Erweitert“bei Bedarf wieder ändern.
Schritt 4 : Admin-konto deaktivieren
Schon während der Nas-inbetriebnahme fordern die Installationsassistenten Sie dazu auf, das Standard-passwort zu ändern. Dabei sind in den Routinen vielfach Einschätzungen zur Passwortstärke integriert. So erkennen Sie, ob es sich um ein starkes, mittleres oder schwaches Zugangswort handelt. Dagegen ändert sich am Kontonamen nichts. Er bleibt in der Regel bei „admin“oder „Admin“. Das gilt unabhängig von Nas-hersteller und Modell – und lässt sich deshalb von Hackern potenziell ausnutzen. Denn sie wollen bei Angriffsversuchen meist ausschließlich Zugriff auf das Admin-konto erlangen.
Deshalb erhöhen Sie die Sicherheit Ihres Nas-systems, indem Sie das Admin-konto deaktivieren und durch ein individuelles Konto ersetzen, dem Sie volle Admin-rechte zuteilen. Dazu melden Sie sich zuerst mit den herkömmlichen Admin-zugangsdaten an der Nas-bedienoberfläche an. Dann erstellen Sie einen weiteren Benutzer – beispielsweise „Master“. Ihn statten Sie mit vollen Zugriffs- und Benutzerrechten aus. Melden Sie sich nun als Admin ab und mit den Zugangsdaten des neuen Benutzers (im Beispiel: Master) wieder an. Wechseln Sie erneut in die Benutzerverwaltung. Sie können jetzt das Admin-profil bearbeiten und damit auch deaktivieren.
Schritt 5 : Kontozugriffsschutz einrichten
Auf den Netzwerkspeicher greifen in der Regel mehrere Anwender zu, die Sie als Admin mit bestimmten Zugangsdaten und Zugriffsrechten ausgestattet haben. Da Sie nicht ausschließen können, dass Teile von Anmeldedaten in falsche Hände geraten, ist ein zusätzlicher Kontoschutz empfehlenswert. Dazu lassen sich die Anmeldeversuche für Benutzer limitieren und die Konten bei einer Überschreitung innerhalb einer bestimmten Zeit deaktivieren.
Die entsprechende Einstellung finden Sie etwa bei Qnap in der Systemsteuerung unter „System –› Sicherheit“und dem Register „Kontozugriffsschutz“. Damit Sie nicht zu viel Ärger mit fälschlich deaktivierten Zu
gängen haben, bestimmen Sie hier relativ genau, wann die Schutzmaßnahme greifen soll. Der Kontoschutz lässt sich auf Gruppenund Einzelbenutzer festlegen und kann sich auf ein bestimmtes Protokoll konzentrieren – etwa Http(s) oder FTP. Außerdem tritt er erst nach einer bestimmen Anzahl von fehlgeschlagenen Anmeldeversuchen ein.
Admins von Synology-netzwerkspeichern bauen den Kontoschutz über das Blockieren von Ip-adressen auf. Sie finden die Funktion in der Firmware-systemsteuerung unter „Sicherheit“und dem Register „Konto“. Die „Automatische Blockierung“löst hierbei unterschiedliche Szenarien aus. So unterscheidet das Nas-betriebssystem DSM zwischen „Nicht vertrauenswürdigen Clients“und „Vertrauenswürdigen Clients“. Für beide Gruppen lässt sich die Anzahl der Log-in-versuche innerhalb eines Zeitlimits separat definieren. Dazu können Sie festlegen, wann die Blockierung aufgehoben wird und welche Ip-adressen davon ausgenommen sind.