In der jüngeren Vergangenheit mussten einige Besitzer von Synology NAS-Systemen feststellen, dass ihre gespeicherten Dateien verschlüsselt wurden. Bedauerlicherweise hatte eine Ransomware das NAS infiltriert und forderte eine finanzielle Entschädigung für die Freigabe der Daten. Im Folgenden wird erläutert, wie Sie Ihr NAS-System vor solchen Bedrohungen schützen können.
Präventive Maßnahmen gegen Ransomware-Angriffe
Synology hat NAS-Nutzer gewarnt vor einer Zunahme von Ransomware-Attacken. Diese Angriffe nutzen oft Brute-Force-Methoden, um das Standardpasswort zu knacken, indem sie systematisch jede mögliche Kombination ausprobieren. Sobald ein gültiges Passwort gefunden und Zugang zum Netzwerkspeicher erlangt wurde, verschlüsseln die Angreifer sämtliche Dateien und verlangen Lösegeld.
Es gibt verschiedene Strategien, um sich vor solchen Angriffen zu schützen. Eine Möglichkeit ist, den Fernzugriff vollständig zu deaktivieren und lediglich lokale Verbindungen zuzulassen. Falls Fernzugriff notwendig ist, kann ein VPN eingerichtet werden, um den Zugriff auf das NAS zu beschränken. Sollte ein VPN nicht praktikabel sein (beispielsweise wegen zu langsamer Netzwerkverbindungen), können die Fernzugriffsoptionen verschärft werden.
Option 1: Fernzugriff komplett abschalten
Die sicherste Methode ist die vollständige Deaktivierung aller Remote-Zugriffsfunktionen. Wenn kein externer Zugriff auf Ihr NAS besteht, kann auch kein Hacker eindringen. Dies kann zwar den Komfort etwas einschränken, ist aber ideal, wenn Sie Ihr NAS hauptsächlich zu Hause verwenden, zum Beispiel zum Ansehen von Filmen. In solchen Fällen werden Sie die Remote-Funktionen kaum vermissen.
Aktuelle Synology NAS-Geräte verfügen über eine QuickConnect-Funktion, die die Aktivierung von Remote-Funktionen vereinfacht. Bei aktivierter Funktion entfällt die Notwendigkeit, eine Router-Portweiterleitung zu konfigurieren.
Um den Fernzugriff via QuickConnect zu deaktivieren, loggen Sie sich in die NAS-Oberfläche ein. Gehen Sie zur Systemsteuerung und wählen Sie im Seitenmenü unter „Konnektivität“ die Option „QuickConnect“. Deaktivieren Sie die Option „QuickConnect aktivieren“ und bestätigen Sie mit „Übernehmen“.
Wenn Sie eine Portweiterleitung auf Ihrem Router für den Fernzugriff eingerichtet haben, muss diese Regel ebenfalls deaktiviert werden. Dazu greifen Sie auf die Konfigurationsoberfläche Ihres Routers zu, indem Sie dessen IP-Adresse in Ihrem Browser eingeben.
Die genaue Vorgehensweise zur Deaktivierung der Portweiterleitung finden Sie im Handbuch Ihres Routers, da jeder Routertyp anders konfiguriert ist. Wenn Sie das Handbuch nicht zur Hand haben, können Sie online nach der Modellnummer Ihres Routers in Kombination mit dem Suchbegriff „Handbuch“ suchen. Das Handbuch erklärt Ihnen, wo Sie die Portweiterleitungsregeln finden und wie Sie diese deaktivieren.
Option 2: VPN für den Fernzugriff verwenden
Grundsätzlich wird empfohlen, das Synology NAS nicht direkt dem Internet auszusetzen. Wenn ein externer Zugriff jedoch unerlässlich ist, ist die Einrichtung eines virtuellen privaten Netzwerks (VPN) empfehlenswert. Ein VPN-Server verhindert den direkten Zugriff auf das NAS. Stattdessen verbinden Sie sich zuerst mit Ihrem Router, der Sie behandelt, als ob Sie sich im selben Netzwerk wie das NAS befinden.
Einen VPN-Server können Sie über das Paketzentrum Ihres Synology NAS installieren. Suchen Sie nach „vpn“ und wählen Sie die Installationsoption unter „VPN Server“. Beim ersten Öffnen des VPN-Servers werden verschiedene Protokolle angeboten: PPTP, L2TP/IPSec und OpenVPN. OpenVPN ist die sicherste Option und wird empfohlen.
Sie können die OpenVPN-Standardeinstellungen beibehalten. Um jedoch über VPN auch auf andere Netzwerkgeräte zugreifen zu können, müssen Sie die Option „Clients Zugriff auf das LAN des Servers erlauben“ aktivieren und mit „Übernehmen“ bestätigen.
Zusätzlich muss eine Portweiterleitung auf Ihrem Router für den Port eingerichtet werden, den OpenVPN verwendet (standardmäßig 1194).
Für den Zugriff auf das VPN benötigen Sie einen passenden VPN-Client. Die OpenVPN Verbindung ist verfügbar für Windows, Mac OS, iOS, Android, und sogar Linux.
Option 3: Fernzugriff so gut wie möglich absichern
Sollte Fernzugriff erforderlich sein und ein VPN keine praktikable Lösung darstellen (z.B. aufgrund von zu geringen Internetgeschwindigkeiten), sollte der Fernzugriff so gut wie möglich abgesichert werden.
Melden Sie sich dafür am NAS an, öffnen Sie die Systemsteuerung und wählen Sie „Benutzer“. Wenn der Standardadministrator aktiviert ist, erstellen Sie ein neues Administratorkonto (falls noch nicht vorhanden) und deaktivieren Sie das Standardadministratorkonto. Dieses ist oft das erste Ziel von Ransomware-Angriffen. Das Gastkonto ist üblicherweise deaktiviert und sollte es auch bleiben, falls kein spezieller Bedarf besteht.
Stellen Sie sicher, dass alle Benutzerkonten, die auf dem NAS erstellt wurden, komplexe Passwörter haben. Es wird empfohlen, dafür einen Passwort-Manager zu verwenden. Sollten Sie anderen Personen erlauben, Benutzerkonten auf dem NAS zu erstellen, sollten Sie erzwingen, dass auch diese sichere Passwörter nutzen.
Die Einstellungen für Passwörter finden Sie im Reiter „Erweitert“ in den Benutzerprofilen der Systemsteuerung. Empfehlenswert sind Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeiden Sie einfache, häufig genutzte Passwörter. Erhöhen Sie die Mindestlänge des Passworts auf mindestens acht Zeichen, wobei längere Passwörter mehr Sicherheit bieten.
Aktivieren Sie „Auto-Block“, um Wörterbuchangriffe zu verhindern, bei denen Angreifer schnellstmöglich viele Passwörter ausprobieren. Diese Funktion sperrt automatisch IP-Adressen nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche in kurzer Zeit. „Auto-Block“ ist auf neueren Synology-Geräten standardmäßig aktiviert und zu finden unter „Systemsteuerung“ > „Sicherheit“ > „Konto“. Die Standardeinstellungen verhindern, dass eine IP-Adresse nach zehn Fehlversuchen innerhalb von fünf Minuten einen weiteren Login-Versuch unternimmt.
Zusätzlich sollten Sie die Firewall Ihres Synology NAS aktivieren. Wenn die Firewall aktiv ist, sind nur die Dienste aus dem Internet zugänglich, die Sie explizit in der Firewall erlauben. Beachten Sie, dass bei aktivierter Firewall Ausnahmen für bestimmte Apps wie Plex erforderlich sein können. Sie müssen auch Portweiterleitungsregeln hinzufügen, wenn Sie ein VPN verwenden. Die Firewall-Einstellungen finden Sie unter „Systemsteuerung“ > „Sicherheit“ > „Firewall“.
Datenverlust und Ransomware-Verschlüsselung sind auch bei einem NAS-Gerät, trotz aller Vorsichtsmaßnahmen, immer möglich. Ein NAS ist daher kein Backup-System. Das Beste, was Sie tun können, ist, externe Backups Ihrer Daten anzulegen. Auf diese Weise können Sie Ihre Daten im schlimmsten Fall (ob Ransomware oder Festplattenfehler) mit minimalem Verlust wiederherstellen.