Sicherheit

NAS absichern: So schützen Sie sich vor Hackern

NAS-Systeme stellen schon in den Standardeinstellungen potenzielle Angriffsziele für Hacker dar. So sichern Sie Ihr Gerät richtig ab.

NAS absichern: So schützen Sie sich vor Hackern

© Qnap / Montage: PC Magazin

NAS absichern: Viele Laufwerke haben bereits Lücken in den Voreinstellungen

Für viele Besitzer einer Qnap-NAS fing das Jahr alles andere als gut an: Der Versuch, das als QTS bezeichnete Betriebssystem zu aktualisieren, resultierte in einer Fehlermeldung, die besagte, dass das NAS-Gerät keine Verbindung zum Internet hat. App-Updates ließen sich ebenso wenig einspielen wie die von Qnap bereitgestellte Komponente Malware Remover. 

Verantwortlich dafür war eine Malware. Ob eine Sicherheitslücke im als QTS bezeichneten Betriebssystem, ein Bug in der App Music Station oder Probleme mit dem Qnap-eigenen DynDNS-Service MyQnapCloud für die Infizierung verantwortlich war, weiß man bis heute nicht, da Qnap kaum Informationen veröffentlichte. 

Fakt ist, dass Tausende NAS-Systeme von einer ungemein resistenten Malware heimgesucht wurden, die unter anderem die Hosts-Datei manipulierte, ein verschlüsseltes Autorunskript einschleuste und den SSH-Zugriff aktivierte. Es dauerte sage und schreibe acht Wochen, bis Qnap mit derek-be-gone.sh ein Shellskript zur Verfügung stellte, das sich um die Desinfizierung kümmerte. 

Damit Sie zukünftig vor solchen Problemen verschont bleiben, zeigen wir Ihnen, welche Möglichkeiten Ihnen offen stehen, um ein NAS-System abzusichern. Dabei spielt es keine Rolle, ob Sie sich gerade einen Netzwerkspeicher zugelegt haben oder ob das Gerät schon seit längerer Zeit im Einsatz ist.

Als Testgeräte verwenden wir die 1bay-NAS Qnap TS-128A mit dem Betriebssystem QTS 4.3.6.0979 und das 2bay-Modell Synology DS 281+ mit DSM 6.2.2-24922.

Mehr lesen

NAS-Speicher Heimnetz
Netzwerkspeicher

Eigene Cloud, Media-Player und mehr: Wir geben Ihnen Tipps und Tricks rund um NAS-Geräte, die im Heimnetzwerk sinnvoll integriert werden können.

Die NAS-eigenen Security-Checks

Der erste Schritt auf dem Weg zum sicheren NAS-System führt bei Synology und Qnap über die herstellereigenen Apps Sicherheitsberater und Security Counselor. Gemäß den Bezeichnungen handelt es sich dabei um NAS-Apps, welche die Systemeinstellungen analysieren, Sie auf mögliche Schwachstellen hinweisen und Ihnen auch zeigen, wie Sie diese Probleme beheben. 

Nach dem erstmaligen Start der im Betriebssystem integrierten Synology-App Sicherheitsberater werden Sie gefragt, ob Sie Ihr NAS-System im privaten Umfeld oder in der Arbeit nutzen. Wir empfehlen, sich stets für die Option Für Arbeit und Unternehmen zu entscheiden, da auch Privatanwender von den weiterführenden Sicherheitseinstellungen profitieren. 

Nach Abschluss der Analyse werden Sie auf die potenziellen Schwachstellen hingewiesen, etwa auf unsichere Zugangsdaten, problematische Netzwerkeinstellungen und Systemwarnungen. Ein Malware-Check ist auch dabei. Klicken Sie einen der Warnhinweise an, um einen Blick auf die Details zu werfen. 

Ein Doppelklick auf einen der Einträge öffnet schließlich einen Dialog, in dem beschrieben wird, wie sich das Problem lösen lässt. Um auf Nummer sicher zu gehen, sollten Sie die App täglich laufen lassen. Dazu klicken Sie auf Erweitert und legen unter Scan planen den gewünschten Zeitplan fest. 

NAS absichern: Sicherheitswarnung Screen

© Screenshot & Montage: PC Magazin

Synologys Sicherheitsberater klopft das NAS-System auf Schwachstellen ab und schlägt auch die passenden Lösungen vor.

Die Qnap-App Security Counselor muss erst über das App Center eingespielt werden. Anschließend wählen Sie die gewünschte Sicherheitsrichtlinie aus, wir raten zu Erweiterte Sicherheitsrichtlinie. Ein Klick auf Jetzt scannen leitet die Überprüfung ein. 

Klicken Sie auf Berichte anzeigen, um die Liste der Risikofaktoren einzusehen. Als Hoch gekennzeichnete Probleme, etwa eine veraltete Firmware oder der Netzwerkzugriffschutz, müssen Sie umgehend lösen. 

Soll der Security Counselor auch nach Viren und/oder Malware suchen, müssen Sie – über Systemsteuerung und Antivirus – zusätzlich noch den im Qnap-Betriebssystem integrierten Open-Source-Virenscanner ClamAV (clamav.net) aktivieren und die NAS-App Malware Remover manuell einspielen. 

Auch diese App sollte täglich gestartet werden. Dazu klicken Sie in der linken Spalte auf das Icon Sicherheitsüberprüfung, wählen Scan-Zeitplan und legen fest, zu welcher Uhrzeit der umfassende Sicherheitscheck durchgeführt werden soll.

Starkes Kennwort und 2FA schützen

Wer sich ein NAS-System zulegt, möchte im Normalfall auch über das Internet auf die auf dem Gerät gespeicherten Inhalte zugreifen. Ermöglicht wird dies durch die herstellereigenen DynDNS-Dienste, die dafür sorgen, dass der Netzwerkspeicher auch dann stets unter der gleichen Adresse zu erreichen ist, wenn Sie von Ihrem Internet anbieter keine feste IP-Adresse zugeteilt bekommen. 

Im Umkehrschluss bedeutet dies jedoch, dass auch alle anderen Personen die Anmeldeseite Ihres NAS-Systems aufrufen können. Um zu verhindern, dass Hacker mittels Brute-Force das Kennwort des Administratorkontos herausfinden, ist es zwingend erforderlich, ein starkes Kennwort zu wählen, das nicht nur Groß- und Kleinbuchstaben sowie Zahlen, sondern auch Sonderzeichen wie §, # und + umfasst. 

NAS absichern: Zwei-Faktor-Authentifizierung Screen

© Screenshot & Montage: PC Magazin

Richten Sie die Zwei-Faktor-Authentifizierung ein, um die Sicherheit zu erhöhen.

Einen Schritt weiter geht die Zwei-Faktor-Authentifizierung. Hierbei muss zusätzlich zum Kennwort ein von der Mobil-App Google Authenticator (für Android und iOS) zufällig generierter Einmalcode eingegeben werden. 

Diese zusätzliche Verifikation aktivieren Sie in den Kontoeinstellungen des jeweiligen NAS-Betriebssystems, indem Sie Bestätigung in 2 Schritten (Qnap) respektive 2-Stufen-Verifizierung (Synology) einschalten und den Anweisungen des Einrichtungsassistenten folgen.

TIPP: Das Deaktivieren des standardmäßigen Administratorkontos erhöht den Schutz ebenfalls, da potenzielle Hacker in der Regel ausschließlich nach dem Kennwort des Benutzerkontos admin suchen. Um das Adminkonto zu deaktivieren, melden Sie sich mit einem anderen Konto, das über Administratorrechte verfügt, am NAS-System an und wechseln zur Benutzerverwaltung.

Mehr lesen

Zwei-Faktor-Authentifizierung NAS
Anleitung

Eine 2-stufige Verifizierung macht Ihre NAS-Benutzerkonten sicherer. Wir zeigen, wie Sie für eine QNAP-NAS die 2-Faktor-Authentifizierung einrichten.

NAS-Firmware und -Apps automatisch aktualisieren 

Ganz gleich, ob Windows-PC, Router oder NAS – alle Betriebssysteme weisen Sicherheitslücken auf, die über kurz oder lang von findigen Hackern entdeckt werden. Wie gefährlich solche Lücken sind, hängt unter anderem auch davon ab, wie schnell sie von den Herstellern geschlossen werden. 

Denn je mehr Zeit verstreicht, bis eine OS-Aktualisierung zur Verfügung steht, desto größer der Kreis der Personen, der versucht, diese Schwachstelle auszunutzen. Gleiches gilt aber auch für die Zeit zwischen der Veröffentlichung und der tatsächlichen Installation der Betriebssystemaktualisierung. 

Problematisch ist in diesem Zusammenhang, dass Qnap-Geräte nach wie vor nicht in der Lage sind, das Betriebssystem ohne Zutun des Anwenders zu aktualisieren. Sie können in den Einstellungen lediglich angeben, dass Sie beim Anmelden an der NAS-Bedienoberfläche auf das Vorhandensein einer OS-Aktualisierung aufmerksam gemacht werden sollen. 

NAS absichern: Brute-Force Angriff Screen

© Screenshot & Montage: PC Magazin

Wird ein NAS-System zum Ziel einer koordinierten Brute-Force-Attacke, wird nahezu im Sekundentakt versucht, sich von wechselnden IP-Adressen aus als admin anzumelden.

Dass es auch anders geht, zeigt Synology: Nutzen Sie ein NAS-Gerät dieses Herstellers, wechseln Sie zur Systemsteuerung, entscheiden sich für Aktualisieren & Wiederherst. und klicken im Register DSM-Aktualisierung auf Update-Einstellungen. Aktivieren Sie Neues Update automatisch installieren, und legen Sie fest, dass täglich nach einer Betriebssystemaktualisierung gesucht werden soll. 

Bestätigen Sie die Änderung mit OK. Keinesfalls schaden kann es, auch alle NAS-Apps sofort nach Verfügbarkeit eines Updates zu aktualisieren. Diese Auto-Update-Funktion wird sowohl von Qnap als auch von Synology unterstützt. Im Qnap-Betriebssystem wechseln Sie zum App Center, klicken rechts auf das Zahnradsymbol und wählen Aktualisieren

Aktivieren Sie Wenn Aktualisierungen verfügbar sind, möchte ich, und wählen Sie im Ausklappmenü die Option Alle Updates automatisch installieren aus. Nutzen Sie ein Synology-Gerät, öffnen Sie das Paket-Zentrum, klicken auf Einstellungen, wählen Automatisch aktualisieren und aktivieren dann Pakete automatisch aktualisieren.

Potenzielle Angriffsfläche verkleinern 

Moderne NAS-Systeme lassen sich als FTP-, Mail- und Webserver nutzen, sie streamen Videos und gestatten den Fernzugriff über Telnet, SSH und VPN. Diese Vielfalt hat aber einen Nachteil: Denn je mehr Apps installiert und je mehr Services aktiv sind, desto größer die Anzahl der potenziellen Einfallstore. 

Gut: Die bereits angesprochenen NAS-Apps Sicherheitsberater und Security Counselor checken, welche Dienste im Hintergrund laufen, sodass Sie auf einen Blick sehen, welche Ports geöffnet sind. 

Nutzen Sie Ihr NAS-System etwa nicht als FTP-Server oder haben Sie nicht vor, per Telnet oder SSH auf das Gerät zuzugreifen, sollten Sie diese Dienste aus Sicherheitsgründen deaktivieren. Keinesfalls dürfen Sie das NAS-System und Ihren Router dahingehend konfigurieren, dass Portweiterleitungen automatisch eingerichtet werden. 

NAS absichern: Fritzbox Portfreigabe Screen

© Screenshot & Montage: PC Magazin

Damit Sie über das Internet auf Ihr NAS-System zugreifen können, müssen Sie die entsprechenden Portfreigaben manuell im Router konfigurieren. Von der automatischen Einrichtung der Portfreigaben raten wir aus Sicherheitsgründen ab.

Stattdessen müssen Sie den zusätzlichen Aufwand in Kauf nehmen, um die zwingend erforderlichen Weiterleitungen manuell im Router zu konfigurieren. Denn nur dann ist sichergestellt, dass Malware keine Ports ohne Ihr Wissen öffnen kann. 

Nutzen Sie eine Fritzbox als Router, wählen Sie in der Konfigurationsmaske erst Internet, dann Freigaben und klicken im Register Portfreigaben auf den Button Gerät für Freigaben hinzufügen. Wählen Sie dann bei Gerät das NAS-System aus, und richten Sie die Weiterleitungen ein. 

Die Option Selbstständige Portfreigaben für dieses Gerät erlauben darf keinesfalls eingeschaltet sein. Mithilfe von Online-Services wie können Sie prüfen, welche Ports am Router geöffnet sind.

Mehr zum Thema

WD MyBook Sicherheitsluecke Firmware Update
Netzwerkspeicher von Western Digital

Wegen schwerer Sicherheitslücken sollten Besitzer einer MyCloud-NAS von Western Digital schnellstmöglich ein Firmware-Update installieren.
IP Kameras Steuern mit NAS
Personal Computing

NAS-Systeme von Asustor, Qnap und Synology lassen sich mit IP-Kamera und wenig Aufwand in Videoüberwachungszentralen verwandeln. Wir zeigen, wie es…
Zwei-Faktor-Authentifizierung NAS
Anleitung

Eine 2-stufige Verifizierung macht Ihre NAS-Benutzerkonten sicherer. Wir zeigen, wie Sie für eine QNAP-NAS die 2-Faktor-Authentifizierung einrichten.
Computernetzwerk
Tipps und Tricks

Auf Ihrem NAS sammeln sich Filme, Musik, Urlaubsfotos, private Dokumente, Backups und mehr. Datensicherheit ist essenziell. So sichern Sie Ihr NAS ab.
Synology NAS: Sicherheit gefährdet
Brute-Force-Attacke und Ransomware - Update

Die NAS-Hersteller Synology und QNAP melden Attacken auf ihre Netzwerkfestplatten. Mit den folgenden Sicherheits-Tipps sind Sie bestens vorbereitet.