Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
VG Wort Pixel
Sicherheit

NAS absichern: So schützen Sie sich vor Hackern

NAS-Systeme stellen schon in den Standardeinstellungen potenzielle Angriffsziele für Hacker dar. So sichern Sie Ihr Gerät richtig ab.

Autor: Artur Julian Hoffmann • 28.8.2019 • ca. 5:40 Min

NAS absichern: So schützen Sie sich vor Hackern
NAS absichern: Viele Laufwerke haben bereits Lücken in den Voreinstellungen
© Qnap / Montage: PC Magazin

Für viele Besitzer einer Qnap-NAS fing das Jahr alles andere als gut an: Der Versuch, das als QTS bezeichnete Betriebssystem zu aktualisieren, resultierte in einer Fehlermeldung, die besagte, dass das NAS-Gerät keine Verbindung zum Internet hat. App-Updates ließen sich ebenso wenig einspielen wie...

Für viele Besitzer einer Qnap-NAS fing das Jahr alles andere als gut an: Der Versuch, das als QTS bezeichnete Betriebssystem zu aktualisieren, resultierte in einer Fehlermeldung, die besagte, dass das NAS-Gerät keine Verbindung zum Internet hat. App-Updates ließen sich ebenso wenig einspielen wie die von Qnap bereitgestellte Komponente Malware Remover. 

Verantwortlich dafür war eine Malware. Ob eine Sicherheitslücke im als QTS bezeichneten Betriebssystem, ein Bug in der App Music Station oder Probleme mit dem Qnap-eigenen DynDNS-Service MyQnapCloud für die Infizierung verantwortlich war, weiß man bis heute nicht, da Qnap kaum Informationen veröffentlichte. 

Fakt ist, dass Tausende NAS-Systeme von einer ungemein resistenten Malware heimgesucht wurden, die unter anderem die Hosts-Datei manipulierte, ein verschlüsseltes Autorunskript einschleuste und den SSH-Zugriff aktivierte. Es dauerte sage und schreibe acht Wochen, bis Qnap mit derek-be-gone.sh ein Shellskript zur Verfügung stellte, das sich um die Desinfizierung kümmerte. 

Damit Sie zukünftig vor solchen Problemen verschont bleiben, zeigen wir Ihnen, welche Möglichkeiten Ihnen offen stehen, um ein NAS-System abzusichern. Dabei spielt es keine Rolle, ob Sie sich gerade einen Netzwerkspeicher zugelegt haben oder ob das Gerät schon seit längerer Zeit im Einsatz ist.

Als Testgeräte verwenden wir die 1bay-NAS Qnap TS-128A mit dem Betriebssystem QTS 4.3.6.0979 und das 2bay-Modell Synology DS 281+ mit DSM 6.2.2-24922.

NAS-Speicher Heimnetz
Netzwerkspeicher NAS im Heimnetzwerk einrichten: Tipps zur einfachen Integration

Die NAS-eigenen Security-Checks

Der erste Schritt auf dem Weg zum sicheren NAS-System führt bei Synology und Qnap über die herstellereigenen Apps Sicherheitsberater und Security Counselor. Gemäß den Bezeichnungen handelt es sich dabei um NAS-Apps, welche die Systemeinstellungen analysieren, Sie auf mögliche Schwachstellen hinweisen und Ihnen auch zeigen, wie Sie diese Probleme beheben. 

Nach dem erstmaligen Start der im Betriebssystem integrierten Synology-App Sicherheitsberater werden Sie gefragt, ob Sie Ihr NAS-System im privaten Umfeld oder in der Arbeit nutzen. Wir empfehlen, sich stets für die Option Für Arbeit und Unternehmen zu entscheiden, da auch Privatanwender von den weiterführenden Sicherheitseinstellungen profitieren. 

Nach Abschluss der Analyse werden Sie auf die potenziellen Schwachstellen hingewiesen, etwa auf unsichere Zugangsdaten, problematische Netzwerkeinstellungen und Systemwarnungen. Ein Malware-Check ist auch dabei. Klicken Sie einen der Warnhinweise an, um einen Blick auf die Details zu werfen. 

Ein Doppelklick auf einen der Einträge öffnet schließlich einen Dialog, in dem beschrieben wird, wie sich das Problem lösen lässt. Um auf Nummer sicher zu gehen, sollten Sie die App täglich laufen lassen. Dazu klicken Sie auf Erweitert und legen unter Scan planen den gewünschten Zeitplan fest. 

NAS absichern: Sicherheitswarnung Screen
Synologys Sicherheitsberater klopft das NAS-System auf Schwachstellen ab und schlägt auch die passenden Lösungen vor.
© Screenshot & Montage: PC Magazin

Die Qnap-App Security Counselor muss erst über das App Center eingespielt werden. Anschließend wählen Sie die gewünschte Sicherheitsrichtlinie aus, wir raten zu Erweiterte Sicherheitsrichtlinie. Ein Klick auf Jetzt scannen leitet die Überprüfung ein. 

Klicken Sie auf Berichte anzeigen, um die Liste der Risikofaktoren einzusehen. Als Hoch gekennzeichnete Probleme, etwa eine veraltete Firmware oder der Netzwerkzugriffschutz, müssen Sie umgehend lösen. 

Soll der Security Counselor auch nach Viren und/oder Malware suchen, müssen Sie – über Systemsteuerung und Antivirus – zusätzlich noch den im Qnap-Betriebssystem integrierten Open-Source-Virenscanner ClamAV (clamav.net) aktivieren und die NAS-App Malware Remover manuell einspielen. 

Auch diese App sollte täglich gestartet werden. Dazu klicken Sie in der linken Spalte auf das Icon Sicherheitsüberprüfung, wählen Scan-Zeitplan und legen fest, zu welcher Uhrzeit der umfassende Sicherheitscheck durchgeführt werden soll.

Starkes Kennwort und 2FA schützen

Wer sich ein NAS-System zulegt, möchte im Normalfall auch über das Internet auf die auf dem Gerät gespeicherten Inhalte zugreifen. Ermöglicht wird dies durch die herstellereigenen DynDNS-Dienste, die dafür sorgen, dass der Netzwerkspeicher auch dann stets unter der gleichen Adresse zu erreichen ist, wenn Sie von Ihrem Internet anbieter keine feste IP-Adresse zugeteilt bekommen. 

Im Umkehrschluss bedeutet dies jedoch, dass auch alle anderen Personen die Anmeldeseite Ihres NAS-Systems aufrufen können. Um zu verhindern, dass Hacker mittels Brute-Force das Kennwort des Administratorkontos herausfinden, ist es zwingend erforderlich, ein starkes Kennwort zu wählen, das nicht nur Groß- und Kleinbuchstaben sowie Zahlen, sondern auch Sonderzeichen wie §, # und + umfasst. 

NAS absichern: Zwei-Faktor-Authentifizierung Screen
Richten Sie die Zwei-Faktor-Authentifizierung ein, um die Sicherheit zu erhöhen.
© Screenshot & Montage: PC Magazin

Einen Schritt weiter geht die Zwei-Faktor-Authentifizierung. Hierbei muss zusätzlich zum Kennwort ein von der Mobil-App Google Authenticator (für Android und iOS) zufällig generierter Einmalcode eingegeben werden. 

Diese zusätzliche Verifikation aktivieren Sie in den Kontoeinstellungen des jeweiligen NAS-Betriebssystems, indem Sie Bestätigung in 2 Schritten (Qnap) respektive 2-Stufen-Verifizierung (Synology) einschalten und den Anweisungen des Einrichtungsassistenten folgen.

TIPP: Das Deaktivieren des standardmäßigen Administratorkontos erhöht den Schutz ebenfalls, da potenzielle Hacker in der Regel ausschließlich nach dem Kennwort des Benutzerkontos admin suchen. Um das Adminkonto zu deaktivieren, melden Sie sich mit einem anderen Konto, das über Administratorrechte verfügt, am NAS-System an und wechseln zur Benutzerverwaltung.

Zwei-Faktor-Authentifizierung NAS
Anleitung Qnap NAS mit Zwei-Faktor-Authentifizierung absichern

NAS-Firmware und -Apps automatisch aktualisieren 

Ganz gleich, ob Windows-PC, Router oder NAS – alle Betriebssysteme weisen Sicherheitslücken auf, die über kurz oder lang von findigen Hackern entdeckt werden. Wie gefährlich solche Lücken sind, hängt unter anderem auch davon ab, wie schnell sie von den Herstellern geschlossen werden. 

Denn je mehr Zeit verstreicht, bis eine OS-Aktualisierung zur Verfügung steht, desto größer der Kreis der Personen, der versucht, diese Schwachstelle auszunutzen. Gleiches gilt aber auch für die Zeit zwischen der Veröffentlichung und der tatsächlichen Installation der Betriebssystemaktualisierung. 

Problematisch ist in diesem Zusammenhang, dass Qnap-Geräte nach wie vor nicht in der Lage sind, das Betriebssystem ohne Zutun des Anwenders zu aktualisieren. Sie können in den Einstellungen lediglich angeben, dass Sie beim Anmelden an der NAS-Bedienoberfläche auf das Vorhandensein einer OS-Aktualisierung aufmerksam gemacht werden sollen. 

NAS absichern: Brute-Force Angriff Screen
Wird ein NAS-System zum Ziel einer koordinierten Brute-Force-Attacke, wird nahezu im Sekundentakt versucht, sich von wechselnden IP-Adressen aus als admin anzumelden.
© Screenshot & Montage: PC Magazin

Dass es auch anders geht, zeigt Synology: Nutzen Sie ein NAS-Gerät dieses Herstellers, wechseln Sie zur Systemsteuerung, entscheiden sich für Aktualisieren & Wiederherst. und klicken im Register DSM-Aktualisierung auf Update-Einstellungen. Aktivieren Sie Neues Update automatisch installieren, und legen Sie fest, dass täglich nach einer Betriebssystemaktualisierung gesucht werden soll. 

Bestätigen Sie die Änderung mit OK. Keinesfalls schaden kann es, auch alle NAS-Apps sofort nach Verfügbarkeit eines Updates zu aktualisieren. Diese Auto-Update-Funktion wird sowohl von Qnap als auch von Synology unterstützt. Im Qnap-Betriebssystem wechseln Sie zum App Center, klicken rechts auf das Zahnradsymbol und wählen Aktualisieren

Aktivieren Sie Wenn Aktualisierungen verfügbar sind, möchte ich, und wählen Sie im Ausklappmenü die Option Alle Updates automatisch installieren aus. Nutzen Sie ein Synology-Gerät, öffnen Sie das Paket-Zentrum, klicken auf Einstellungen, wählen Automatisch aktualisieren und aktivieren dann Pakete automatisch aktualisieren.

Potenzielle Angriffsfläche verkleinern 

Moderne NAS-Systeme lassen sich als FTP-, Mail- und Webserver nutzen, sie streamen Videos und gestatten den Fernzugriff über Telnet, SSH und VPN. Diese Vielfalt hat aber einen Nachteil: Denn je mehr Apps installiert und je mehr Services aktiv sind, desto größer die Anzahl der potenziellen Einfallstore. 

Gut: Die bereits angesprochenen NAS-Apps Sicherheitsberater und Security Counselor checken, welche Dienste im Hintergrund laufen, sodass Sie auf einen Blick sehen, welche Ports geöffnet sind. 

Nutzen Sie Ihr NAS-System etwa nicht als FTP-Server oder haben Sie nicht vor, per Telnet oder SSH auf das Gerät zuzugreifen, sollten Sie diese Dienste aus Sicherheitsgründen deaktivieren. Keinesfalls dürfen Sie das NAS-System und Ihren Router dahingehend konfigurieren, dass Portweiterleitungen automatisch eingerichtet werden. 

NAS absichern: Fritzbox Portfreigabe Screen
Damit Sie über das Internet auf Ihr NAS-System zugreifen können, müssen Sie die entsprechenden Portfreigaben manuell im Router konfigurieren. Von der automatischen Einrichtung der Portfreigaben raten wir aus Sicherheitsgründen ab.
© Screenshot & Montage: PC Magazin

Stattdessen müssen Sie den zusätzlichen Aufwand in Kauf nehmen, um die zwingend erforderlichen Weiterleitungen manuell im Router zu konfigurieren. Denn nur dann ist sichergestellt, dass Malware keine Ports ohne Ihr Wissen öffnen kann. 

Nutzen Sie eine Fritzbox als Router, wählen Sie in der Konfigurationsmaske erst Internet, dann Freigaben und klicken im Register Portfreigaben auf den Button Gerät für Freigaben hinzufügen. Wählen Sie dann bei Gerät das NAS-System aus, und richten Sie die Weiterleitungen ein. 

Die Option Selbstständige Portfreigaben für dieses Gerät erlauben darf keinesfalls eingeschaltet sein. Mithilfe von Online-Services wie können Sie prüfen, welche Ports am Router geöffnet sind.

Nächste passende Artikel
NAS-Speicher: 4 günstige Heimnetz-Speicher im Test
2-Bay-NAS-Modelle unter 200 Euro NAS-Speicher: 4 günstige Heimnetz-Speicher im Test
Synology DS223J im Test
2-Bay-NAS-Modell 2-Bay-NAS: Synology DS223J im Test
85,0%
2-Bay-NAS: Asustor AS1102T im Test
2-Bay-NAS-Speicher 2-Bay-NAS: Asustor AS1102T im Test
81,0%
synology-DS224plus-im-test
2-Bay-NAS Synology DiskStation DS224+ im Test
89,0%
qnap-ts-364-im-test
3-Bay-NAS Qnap TS-364-4G im Test: Speichervielfalt
85,0%
QNAP-TS-410E-Aufmacher
4-Bay-NAS Qnap TS-410E im Test: Lautloses Hochleistungs-NAS
84,0%
Was kann die KI-Software des TS-AI642?
NAS QNAP: TS-AI642 mit Künstlicher Intelligenz vorgestellt
Synology DS223 im Test: Sichere & sparsame Home-Cloud
Pwn2own Synology: NAS-Update soll Sicherheitslücken schließen
Mehr zum Thema
Qnap TS-233 im Test
Sicherheitslücke QNAP: NAS-Hersteller warnt vor kritischer Schwachstelle
Netzlaufwerk: Sicherheitswarnung abschalten
NAS, Freigaben & Co. Netzlaufwerk: So schalten Sie Sicherheitswarnungen ab
Video
Stilisiertes Vorhängeschloss neben der Aufschrift
"Checkmate" QNAP warnt vor Ransomware-Angriffen auf NAS-Geräte
Coronavirus: Home-Office
Open-Source-Tools Heimnetzwerk im Home-Office sichern: So geht's
Weiter zur Startseite