Synology NAS Sicherheit: 17 essentielle Tipps

00:00

schau dir mal diesen Screenshot hier

00:01

ganz genau an das ist das

00:04

verbindungslock von meiner NAS auf dem

00:06

sich alle zwei bis 3 Minuten versucht

00:08

jemand mit dem Benutzernamen Admin anzu

00:10

einzuloggen und zwar nicht irgendjemand

00:13

sondern das sind alles unterschiedliche

00:15

IP-Adressen aus China Hong Kong oder

00:18

Kanada oder anderen Ländern der größte

00:20

Vorteil von einer NAS nämlich dass du

00:22

die Hoheit über deine persönlichen Daten

00:24

hast ist gleichzeitig auch ihr größter

00:27

Nachteil du musst nämlich sicherstellen

00:29

dass deine persönlichen Daten oder die

00:31

Daten von deiner Familie oder von deinen

00:33

Mitarbeitenden dass die auf deiner Nase

00:35

richtig abgesichert sind und zwar vor

00:38

allem wenn du deine NAS nach außen nach

00:40

extern geöffnet hast beispielsweise über

00:42

quickcnect oder wie ich per DDNS deshalb

00:45

gebe ich dir in diesem Video 17

00:47

essentielle Sicherheitstipps die du bei

00:49

deiner NAS auf jeden Fall beachten

00:55

solltest mein erster Tipp ist der

00:57

simpelste aber gleichzeitig auch

00:59

wichtigste und zwar solltest du dir

01:01

überlegen ob du deine NAS wirklich nach

01:03

außen freigeben willst vielleicht willst

01:05

du einfach nur in deinem Heimnetz auf

01:07

deine persönlichen Dateien zugreifen

01:09

oder du hast ein Office ein Büro in der

01:11

in das Mitarbeiter kommen und die müssen

01:13

nicht von außerhalb auf Ihre Dateien

01:15

personology Drive syology Photos und so

01:17

weiter Zugriff haben das schränkt

01:19

natürlich die Funktionalität enorm ein

01:21

und Dienste wie syology Drive sind ja

01:24

auch wirklich sehr sehr mächtig und sehr

01:26

sehr attraktiv aber wenn du deine NAS

01:28

erst nicht nach außen frag freigegeben

01:30

hast gibt es auch deutlich weniger

01:32

Angriffsfläche und du bist deutlich

01:34

sicherer mit deiner NAS letztendlich

01:36

unterwegs eine grundlegende Regel in der

01:38

IT Sicherheit ist dass es keine

01:40

hundertprozentige Sicherheit gibt selbst

01:42

wenn du alle meine Regeln hier bis ins

01:44

letzte datail beachtest und auch sonst

01:47

alles perfekt machst was die Sicherheit

01:49

deiner NAS angeht kannst du trotzdem

01:51

nicht das Risiko ausschließen dass sich

01:53

theoretisch jemand dass theoretisch

01:54

jemand Zugriff auf deine NAS bekommen

01:56

würde wenn die NSA hinter dir her ist

01:58

und sie will auch deine NAS zugreifen

02:00

dann wird sie das wahrscheinlich auch

02:01

irgendwie hinbekommen und deswegen ist

02:03

es eine gute Grundregel nur wirklich die

02:05

Verbindung freiugeben oder alles

02:06

einzuschränken was nur einzuschränken

02:09

ist um nicht zusätzlich unnötige ein

02:12

eine unnötige Angriffsfläche zu liefern

02:14

sozusagen falls du doch von außerhalb

02:16

auf deine NAS zugreifen willst zugreifen

02:19

musst dann könntest du dir überlegen das

02:21

mit einem mit einem VPN zu machen ein

02:23

VPN ist richtig eingerichtet deutlich

02:26

sicherer als wenn du das über quickcnect

02:29

DDNS oder andere Möglichkeiten machst

02:31

das kannst du entweder über deinen

02:33

Router machen z.B dass du auf deiner

02:35

Fritzbox dass du deine Fritzbox als VPN

02:38

Server benutzt oder es gibt auch die

02:40

Möglichkeit dass du direkt deine

02:42

sonology NAS als VPN Server einrichtest

02:45

wenn dich das interessiert hinterlasass

02:47

gerne mal einen Kommentar unter dem

02:48

Video dann gehe ich darauf noch genauer

02:50

ein das hat übrigens nichts mit

02:51

herkömmlichen VPN Anbietern wie z.B

02:54

Express VPN oder nordvpn zu tun sondern

02:57

in dem Fall willst du ja dich in dein

02:59

persönlich es heimnetetztunnel und du

03:01

willst nicht die VPN Server von

03:03

irgendeinem VPN Anwender für von

03:06

irgendeinem VPN Anbieter benutzen

03:08

sondern du würdest dann beispielsweise

03:10

OpenVPN als Client auf deinem Computer

03:12

installieren und dich dort dann über

03:15

OpenVPN auf deine Fritzbox Tunneln und

03:18

wärst dann sozusagen und wirürdest dann

03:20

so surfen als ob du im Heimnetz bist

03:22

obwohl du vielleicht gerade mit deinem

03:24

Laptop in Thailand am Strand legst aber

03:26

gehen wir ab jetzt mal davon aus dass du

03:27

deine NAS nach draußen öffnen willst wie

03:30

ich das z.B gemacht habe damit ich mit

03:32

Freunden Verwandten mit Freelancern

03:34

Dateien austauschen kann beispielsweise

03:36

über DDNS dann ist ein praktikabler Tipp

03:39

dass du das an den Standard Admin

03:41

Account deaktivierst meines Mens nach

03:43

wurden sonology nasmodelle ganz früher

03:45

mal mit einem Standard Admin Account

03:47

geliefert der vielleicht sogar immer das

03:49

gleiche Passwort hatte das weiß ich

03:50

nicht und das ist auch der Grund dafür

03:52

für den Screenshot den ich euch ganz am

03:53

Anfang des Videos gezeigt habe weshalb

03:55

sich hier alle zi bis 3 Minuten

03:57

irgendwelche fremden IP-Adressen

03:58

versuchen auf meiner NAS mit dem

04:01

Benutzernamen Admin einzuloggen und um

04:03

den Standard Benutzer Admin zu

04:05

deaktivieren oder um zu checken dass er

04:07

deaktiviert ist geht ihr in die

04:09

Systemsteuerung geht dann auf Benutzer

04:11

und Gruppen und hier seht ihr dann ganz

04:13

oben den Admin Account und der ist jetzt

04:15

bei mir deaktiviert standardmäßig ist

04:17

der Admin Account mittlerweile meines

04:19

Wissens nach bei einem neuen sonology

04:21

Modellen deaktiviert falls das noch

04:24

nicht der Fall ist dann könnt ihr das

04:25

hier machen allerdings könnt ihr den

04:27

Account den Standard Admin Account

04:29

leider nicht nicht löschen das hat

04:30

wahrscheinlich etwas damit zu tun dass

04:33

DSM das Betriebssystem von den von einer

04:36

sonology NAS das auf Linux basiert und

04:38

dass es da immer einen Admin geben muss

04:40

soweit ich weiß und genau aus diesem

04:42

Grund sollt ihr auch solltest du auch

04:43

das Passwort verändern selbst wenn du

04:46

den Admin Account deaktiviert hast das

04:49

machst du indem du hier auf Bearbeiten

04:50

klickst und dann änderst du hier das

04:52

Kennwort änder das am besten nach auf

04:53

etwas auf ein ganz ganz langes Kennwort

04:56

denn meines Wissens nach funktioniert

04:58

der Admin Account immer noch bei

05:00

bestimmten Protokollen wie z.B bei ssh

05:02

und da wäre es schade wenn da ein sehr

05:05

einfaches Passwort voreingestellt ist

05:07

ähm ist einfach eine weitere

05:09

Sicherheitsmaßnahme wenn wir gerade hier

05:11

bei den verschiedenen Benutzern sind

05:12

kommt eine weitere Grundregel ins Spiel

05:14

und zwar solltest du Benutzern nur so

05:16

wenig Berechtigung geben wie nötig jeder

05:18

Benutzer sollte nur die Berechtigung

05:20

haben die er wirklich braucht und die

05:22

Berechtigung die kannst du hier bei

05:24

einzelnen Benutzern einschränken also

05:26

wenn ich jetzt z.B dem Benutzer Alex

05:29

Berechtigung entziehen will klicke ich

05:30

hier auf Bearbeiten und kann dann hier

05:33

verschiedene Berechtigungen geben kann

05:35

ihm verschiedene Berechtigung geben oder

05:37

auch nehmen hier siehst du jetzt auch

05:39

dass die meisten Berechtigung über die

05:41

gruppenberechtigung kommen und das ist

05:43

eine gute Funktion die in der Regel

05:44

hilfreich ist also du solltest dir

05:46

überlegen welche verschiedenen

05:48

Benutzergruppen gibt es bei meiner NAS

05:50

sozusagen also habe ich vielleicht

05:52

Mitarbeiter die dar drauf zugreifen habe

05:53

ich meine Familie habe ich verschiedene

05:55

Arten von Mitarbeitern und darüber dann

05:57

Benutzergruppen erstellen das macht die

06:00

das das macht die Verwaltung von

06:01

Berechtigung für dich deutlich einfacher

06:04

verschiedene Benutzergruppen erstellst

06:06

du hier im Reiter Gruppen und ich habe

06:08

beispielsweise bei meiner NAS zusätzlich

06:10

zu den Standardgruppen Administrator und

06:12

Users und HTTP habe ich die

06:14

Benutzergruppen Business und Familie

06:16

erstellt das heißt wenn jemand Neues für

06:19

mein Business aus aus meiner

06:20

geschäftlichen Sicht im Zugriff auf

06:22

meine NAS bekommt dann ordne ich diese

06:24

Person diesen Benutzer automatisch oder

06:26

dann ordne ich diese diesen Benutzer der

06:28

Benutzergruppe Business zu und in der

06:30

Business Nutzergruppe habe ich dann

06:32

beispielsweise gesagt unter Berechtigung

06:35

dass diese Person kein Zugriff auf mein

06:37

auf mein privates Bilderarchiv auf meine

06:39

Kundendaten meine Fotos haben sollte

06:42

sondern

06:43

nur auf Videos und auf sein eigenen

06:45

homes Ordner sozusagen und bei Familie

06:49

habe ich eben andere Berechtigung

06:50

vergeben das bedeutet selbstverständlich

06:52

auch dass die Admin Berechtigung an nur

06:55

so wenige Benutzer wie möglich vergeben

06:57

werden sollten idealerweise vielleicht

06:59

sogar nur an einen Administrator je

07:01

nachdem wie groß deine it ist und

07:05

ansonsten eben nicht einfach mal an

07:07

jeden administratorberechtigung vergeben

07:09

denn meistens hat man seine NAS einmal

07:11

aufgesetzt und dann benutzt man sie

07:13

einfach noch produktiv verschiebt

07:15

Dateien und her benutzt sonologi Fotos

07:16

sonologi Drive und so weiter aber muss

07:18

eben nicht mehr groß neue Pakete

07:21

installieren und das macht die

07:22

Angriffsfläche auch hier wieder deutlich

07:25

geringer denn selbst wenn ein Hacker

07:26

Zugriff auf meine NAS bekommen sollte

07:28

dann hätte er es in dem Fall vielleicht

07:30

nur über einen normalen Benutzer und

07:32

nicht über ein Administratorkonto und

07:34

kann so deutlich weniger kaputt machen

07:36

als wenn er Zugriff auf ein

07:38

Administratorkonto hätte damit kommen

07:40

wir auch zu meinem nächsten Tipp und

07:41

zwar solltest Du persönlich oder wer

07:44

auch immer deine it verwaltet

07:46

idealerweise nicht mit einem

07:48

Administratorkonto die NAS produktiv

07:51

benutzen also wenn du dir mal meine

07:53

Benutzer anschaust dann fällt dir

07:54

vielleicht auf dass ich einmal Admin

07:56

Alex habe und einmal Alex jetzt weißt du

07:58

auch wie mein wie mein nutzernameen

08:00

heißen was vielleicht nicht ganz so

08:01

ideal ist aber ich benutze meine NAS

08:04

normalerweise nicht mit meinem

08:06

Administratorkonto sondern nur mit

08:08

meinem Alex Konto also ich habe mir

08:10

selbst einen ganz normalen

08:11

anführungstrichen Nutzer gegeben und

08:13

dieser Nutzer der hat keinen der hat

08:17

keine administratorberechtigung sondern

08:19

stattdessen ist das ein ganz normaler

08:20

Benutzer der auf die Dateien Zugriff hat

08:23

aber der eben keine

08:24

administratorberechtigung hat und

08:25

deswegen keine anderen Berechtigung

08:28

vergeben kann er keine Pakete

08:29

installieren kann und so weiter mein

08:31

sechster Tipp ist dass du bzw alle

08:34

Benutzer auf deiner NAS sichere

08:36

Passwörter verwenden sollten wenn du

08:38

wissen willst wie man am besten sichere

08:40

Passwörter erstellt dann schau dir gerne

08:41

mal dieses Video hier von mir an ich

08:43

persönlich mache das mit einem

08:44

Passwortmanager auch darüber habe ich

08:46

schon mal Videos gemacht oder ein Video

08:48

gemacht das heißt wenn ich mir

08:50

persönlich beispielsweise einen Zugang

08:52

ein neues Passwort für meine NAS

08:54

erstellen würde dann würde ich einfach

08:56

hier in mein Passwortmanager ich

08:57

persönlich benutze bitworden er ist

08:58

komplett kostenlos

08:59

würde ich in mein Passwortmanager gehen

09:01

würde hier einfach auf den Generator

09:02

gehen und sagen ja ich will mal ein

09:05

keine Ahnung 39 stelliges Passwort

09:07

erstellen mit Groß und Kleinschreibung

09:09

mit Zahlen mit Sonderzeichen und dann

09:11

hätte ich hier ein komplett zufälliges

09:12

Passwort was ich mir neu generieren

09:14

lassen kann das kopiere ich mir dann das

09:16

speicher ich direkt in meinem

09:17

Passwortmanager ab und so habe ich ein

09:19

extrem sicheres langes und vor allem

09:21

einzigartiges Passwort für meinen

09:24

persönlichen Benutzer jetzt weißt du

09:26

aber nicht genau ob deine Mitarbeiter ob

09:28

andere Benutzer sich auch ein sicheres

09:30

Passwort erstellen du persönlich hast ja

09:32

Gott sei Dank keinen Zugriff auf die

09:33

Passwörter von als Administrator also

09:36

als Administrator hast du zwar

09:38

theoretisch Zugriff auf die Dateien von

09:41

den anderen Benutzern aber du hast nicht

09:43

Zugriff auf die Passwörter zumindest

09:45

nicht standardmäßig wenn du es wollen

09:46

würdest hättest du es vielleicht damit

09:48

kenne ich mirich nicht zu wenig mit

09:49

Linux aus wie auch immer wenn du in dem

09:52

Bereich wenn du unter immer noch unter

09:53

Benutzer und Gruppen auf Erweitert

09:55

klickst dann würde ich dir hier

09:58

empfehlen dass du ein paar stärkere

09:59

Regeln erstellst für die Passwörter also

10:02

ich habe ja beispielsweise gesagt dass

10:03

Passwörter bei mir mindestens 12 Zeichen

10:06

lang sein sollten dass schwache

10:08

könvörter automatisch ausgeschlossen

10:10

werden das heißt bei mir kann sich jetzt

10:11

niemand ein Passwort erstellen mit hallo

10:13

hallo hallo oder so und zumindest hoffe

10:16

ich das also hier wird nicht weiter

10:17

aufgelistet was genau die Schwachen

10:19

Kennwörter sind dann sollte man auf

10:21

jeden Fall Sonderzeichen Nummern Groß

10:23

und Kleinschreibung und so weiter

10:25

verwenden aber im Endeffekt solltest du

10:27

immer an die Benutzer appellieren und

10:29

sicherstellen dass Sie auch wissen was

10:32

sichere Passwörter sind wie man richtig

10:33

mit Passwörter umgeht denn in der Regel

10:35

sitzt die Sicherheitslücke die größte

10:37

Sicherheitslücke von Unternehmen

10:39

beispielsweise die sitzt in der Regel

10:40

vor dem Bildschirm und das könntest du

10:42

z.B machen indem du diesen Personen

10:44

meine Videos schickst du könntest

10:45

theoretisch auch ein kennwortablauf

10:47

aktivieren allerdings ist das

10:48

mittlerweile kein gängiger Tipp mehr

10:50

unter Sicherheitsexperten denn das

10:52

einzige wozu Kennwort Ablauf zu was das

10:55

führt ist dass ich Benutzer die gleichen

10:58

simplen Passwörter merken und einfach

11:00

nur am Ende ein neue Zahl ergänzen also

11:02

in der Praxis führt das eher dazu dass

11:04

unsichere Passwörter benutzt werden in

11:06

der Regel soll gibt es keinen Grund

11:08

dafür dass man seine Passwörter ändert

11:10

wenn nicht wenn man einzigartige

11:12

Passwörter verwendet und wenn es kein

11:13

Indiz dafür gibt dass diese Passwörter

11:15

irgendwie geliegt worden wären wenn du

11:18

dich ein bisschen mit Passwörtern

11:19

auseinandergesetzt hast dann wirst du

11:20

ziemlich schnell auf das auch auf das

11:22

Thema zweif Faktor Authentifizierung

11:24

gestoßen sein wenn du nicht genau weißt

11:26

was das ist dann habe ich auch darüber

11:27

mal ein Video gemacht und natür

11:29

natürlich kannst du auch für so einen

11:30

wichtigen Dienst wie für deine NAS eine

11:33

zweiten Faktor einrichten bzw solltest

11:36

das auch machen vor allem für den

11:38

administratorcount einen zweiten Faktor

11:40

richtest du ein wenn du oben auf deinen

11:41

Account klickst und dann auf die

11:42

persönlichen Einstellungen gehst und

11:44

hier klickst du dann auf Sicherheit hier

11:47

kannst du jetzt eine zweifaktor

11:50

Authentifizierung einrichten ich

11:52

persönlich habe das mit einem OTP mit

11:54

einem onetime Passcode glaube ich

11:56

gemacht also mit einer ganz normalen

11:57

zweifaktor App die ich dann auf meinem

12:00

Handy laufen habe du kannst einen

12:02

zweiten Faktor sogar auch von deinen

12:03

Nutzern erzwingen und zwar geht das im

12:06

Bereich

12:07

ähm Sicherheit und dann unter Konto hier

12:11

äh kannst du sagen zwei Faktor

12:12

Authentifizierung für die folgenden

12:14

Benutzer erzwingen ich persönlich habe

12:17

das bei mir nicht gemacht weil ich den

12:19

e-mailbenachrichttig

12:20

e-mailbenachrichtigungsdienst nicht

12:21

aktiviert habe und weil ich für mein

12:23

Administrator Account sowieso einen

12:25

zweiten Faktor aktiviert habe der gehört

12:27

einfach mir und da weiß ich das ein

12:29

zweiter Faktor eingerichtet ist und wenn

12:30

wir gerade bei sicheren Passwörtern sind

12:32

dann solltest du natürlich auch

12:34

sicherstellen dass du ein sicheres

12:35

Passwort für dein wlannetzwerk benutzt

12:38

denn wenn jemand erstmal in deinem

12:40

wernnetzwerk ist dann kann er da hat er

12:42

es schon deutlich einfacher auf deine

12:44

NAS zuzugreifen denn deine NAS ist ja in

12:47

der Regel als Netzwerklaufwerk

12:49

eingerichtet du kannst natürlich auch in

12:51

deiner NAS einstellen wer genau in

12:53

deinem Netzwerk daruf Zugriff hat also

12:55

nur weil jemand bei mir in meinem

12:56

Netzwerk ist hat er nicht automatisch

12:58

auf alle Dateien auf der nach Zugriff

12:59

aber ganz davon abgesehen ist natürlich

13:01

trotzdem good practice dass du

13:03

sicherstellst dass du ein sicheres

13:05

einzigartiges und vor allem langes

13:07

Passwort für dein wlannetzwerk hast und

13:09

machen wir weiter mit einem weiteren it

13:11

basic und zwar solltest du automatisch

13:13

Updates installieren bzw vor allem

13:16

Sicherheitsupdates solltest du

13:17

automatisch oder so schnell wie möglich

13:19

installieren das äh dazu wurdest du bei

13:22

der ersten Einrichtung deiner NAS

13:23

gefragt ob du automatisch Updates

13:25

installieren solltest da habe ich dir

13:26

auch dazu geraten dass du das machen

13:28

sollst falls zufälligerweise mein Video

13:30

geschaut hast äh das kannst du aber auch

13:31

kontrollieren in den System in der

13:33

Systemsteuerung unter Aktualisierung

13:35

aktualisieren und wiederherstellen und

13:37

dann unter Update Einstellung hier würde

13:40

ich dir empfehlen und das empfiehlt auch

13:41

sonology so das wichtige Update die die

13:44

kritische Sicherheitsprobleme beheben

13:47

dass die automatisch installiert werden

13:49

das solltest du auf jeden Fall machen

13:51

denn jedes Betriebssystem egal ob

13:53

sonology hier oder MacOS Windows iOS

13:56

Android alle Betriebssysteme haben

13:58

Sicherheitslücken und wenn diese

14:00

gefunden werden dann werden sie werden

14:02

sie in der Regel so schnell wie möglich

14:03

gestopft und das passiert eben über

14:05

Updates in der Regel solltest du über

14:07

solche Updates auch keine Probleme

14:09

bekommen denn die meisten Probleme bei

14:11

neuen Software Updates die bekommst du

14:13

eher wenn du Updates mit neuen

14:14

Funktionen installierst also Updates die

14:17

neue Features liefern und das sind eben

14:19

nicht diese kritischen

14:20

Sicherheitsupdates sondern das sind alle

14:22

Updates deswegen habe ich persönlich

14:23

auch nicht gesagt dass alle

14:24

automatischen dass alle Updates

14:26

automatisch installiert werden sollen

14:28

sondern ich würde es einfach hier bei

14:29

der standardinstellung lassen dass nur

14:30

die Sicherheitsupdates automatisch

14:32

installiert werden und bei den normalen

14:34

Updates die neue Funktion liefern da

14:36

kann ich noch gerne ein bisschen warten

14:38

da ist es in der Regel auch etwas ganz

14:39

gut wenn man ein paar Wochen wartet bis

14:42

man neue Updates installiert von neuen

14:44

Funktion denn dann ist die

14:45

Wahrscheinlichkeit auch höher dass

14:46

irgendwelche Bugs gefunden werden und

14:49

ich sozusagen kein Betatester bin der

14:51

hier irgendwelche neuen Funktionen

14:52

testet und wo dann im Worst Case meine

14:54

NAS nicht mehr funktioniert außerdem

14:55

solltest du sicherstellen dass man nicht

14:57

unendlich oft sich auf deiner NAS

14:59

versuchen kann einzuloggen und so

15:00

beispielsweise einfach verschiedene

15:02

Passwörter durchprobieren kann das

15:04

machst du im Bereich Sicherheit und dann

15:06

unter Schutz hier habe ich persönlich

15:08

eingestellt dass die

15:10

automatische Blockierung aktiviert ist

15:12

und eine IP-Adresse also wie wir das

15:15

beispielsweise hier in meinem Log

15:17

gesehen haben da wird eine IP-Adresse

15:18

automatisch nach fünf fehlgeschlagenen

15:21

Login versuchen ähm blockiert innerhalb

15:24

von 2 Minuten also ich könnte das auch

15:26

hier noch ein bisschen hochsetzen sagen

15:28

innerhalb von 10 Minuten oder 5 Minuten

15:31

aber wichtig ist dass man diese Option

15:33

überhaupt aktiviert hat denn im worstcee

15:35

könnte ansonsten ein Angreifer innerhalb

15:38

von wenigen Sekunden hunderte oder

15:39

vielleicht sogar tausende verschiedene

15:41

Optionen durchprobieren und deswegen

15:44

würde ich hier auch etwas einstellen

15:45

außerdem kannst du hier unten ein denial

15:47

of service Schutz aktivieren D ich

15:49

persönlich auch gemacht habe bei all der

15:51

digitalen Sicherheit sollten wir auch

15:53

die physische Sicherheit nicht

15:54

vernachlässigen das heißt zum einen

15:56

solltest du natürlich sicherstellen dass

15:58

du dir über legst wo hast du deine NAS

16:00

überhaupt ab abgestellt ist die

16:02

vielleicht in einem abgeschlossenen

16:04

Keller oder ist die vielleicht neben

16:06

einem dünnen Fenster direkt direkt neben

16:08

der Straße abgestellt wo man reinschauen

16:10

kann und wo sich ein Einbrecher überlegt

16:11

h da kann ich mal kurzes Fenster

16:13

einschlagen und das direkt mitnehmen

16:14

soweit ich weiß bieten viele nasmodelle

16:16

außerdem einen kington Lock oder eine

16:18

andere Art von Schloss das man

16:20

installieren kann aber falls es zum

16:21

Worst Case Szenario kommt falls jemand

16:24

falls ein Einbrecher sich deine NAS

16:26

klaut dann solltest du sicherstellen

16:27

dass die Festplatten verschlüsselt sind

16:29

denn wenn diese nicht verschlüsselt sind

16:31

dann könnte im Worst Case ein Einbrecher

16:33

einfach die Festplatten rausziehen an

16:35

seinem Computer einstöpseln dafür

16:36

braucht man überhaupt kein technisches

16:38

kno-how oder nicht viel technisches

16:39

kno-hau und dann einfach an diesem

16:41

Computer auf alle Dateien zugreifen das

16:43

willst Du natürlich nicht und deswegen

16:45

solltest du sicherstellen dass deine

16:47

Festplatten bzw deine volumes

16:49

verschlüsselt sind das musst du beim bei

16:51

der ersten Einrichtung deiner NAS machen

16:53

das nachträglich zu machen geht meines

16:55

Wissens leider nicht zumindest nicht auf

16:57

volumeebene und das kannst du kreren

16:59

wenn du auf den speichermanager gehst

17:01

und dann ein Volume auswählst wie z.B

17:04

hier mein Volume 1 dann sehe ich hier

17:06

dass ich das das Volume 1 ich habe

17:08

einfach nur ein einziges volume dass das

17:10

hier verschlüsselt ist da ist ein

17:12

Schloss vorne dran und meines Wissens

17:14

kann man nach kann man das jetzt nicht

17:15

nachträglich auf volumeebene

17:17

verschlüsseln dass man eine NAS dass man

17:19

die syology NAS auf volumeebene

17:21

verschlüsselt gibt es meiner meines

17:22

Wissens nach erst seit Ende 2013 2023

17:26

also noch nicht so lange und davor hast

17:29

du nicht de den kompletten volume

17:32

verschlüsselt was dir eine bessere

17:33

Performance bietet und unkomplizierter

17:36

ist sondern du hast auf der auf deinen

17:38

freigegebenen Ordnern verschlüsselt auf

17:40

der Ebene also wenn wir jetzt hier in

17:42

die Systemsteuerung gehen hier kannst du

17:43

einen freigegebenen Ordner auswählen

17:46

dann auf Bearbeiten klicken und dann

17:48

diesen Ordner diesen gemeinsamen Ordner

17:50

verschlüsseln oder wenn du einen neuen

17:53

Ordner erstellst kannst du auch gleich

17:55

von einen freigebenen Ordner erstellst

17:58

kannst du auch gleich gleich von Anfang

17:59

an sagen dass dieser Ordner genau diesen

18:03

freigebenen Ordner durch Verschlüsselung

18:06

schützen und dann diesen freigegebenen

18:08

Ordner schützen das ist aber etwas

18:10

komplizierter du musst immer beim

18:11

Hochfahren

18:13

über einen schlüsselmanager oder eben

18:15

manuell diese Ordner entschlüsseln muss

18:17

die Schlüssel irgendwo abspeichern und

18:19

so weiter und auf volumeebene ist das

18:21

deutlich einfacher da musst du dich auch

18:22

beim hochfahren wenn der NAS hochfährt

18:24

musst du dich nicht darum kümmern dass

18:25

diese freigegebenen Ordner

18:27

neuentschlüsselt werden aus

18:28

Sicherheitssicht ist das vielleicht

18:30

nicht ganz so ideal aber genau das sind

18:32

wie gesagt zwei verschiedene

18:33

Möglichkeiten ich würde dir empfehlen

18:35

einfach auf volumeebene zu verschlüsseln

18:37

ganz abgesehen davon kannst du natürlich

18:39

auch deine Dateien manuell verschlüsseln

18:41

also du könntest z.B ein Tool wie

18:42

veracacrypt oder cryptoor benutzen dazu

18:45

habe ich zu beiden Tools habe ich schon

18:47

mal Videos gemacht die findest du hier

18:48

oben die sind kostenlos Open Source und

18:51

damit könntest du eben genau auf

18:52

Dateiebene verschlüsselte Container

18:55

beispielsweise erstellen und so deine

18:57

Dateien auf deiner NAS ab speichern du

18:59

könntest das ganze auch für besonders

19:00

wichtige Dateien benutzen also wenn du

19:02

willst oder wenn es dir zu aufwendig ist

19:04

Dateien direkt in der NAS zu

19:06

verschlüsseln könntest du z.B mit

19:08

veracrypt einen verschlüsselten Ordner

19:10

erstellen und nur dort die besonders

19:12

wichtigen Dokumente abspeichern damit

19:14

die im Worst Case auf auf keinen Fall

19:17

einem Einbrecher in die Hände fallen

19:18

außerdem solltest du dir Gedanken

19:20

darüber machen ein Backup von deiner NAS

19:22

zu machen nun auf der einen Seite läuft

19:24

dein NAS wahrscheinlich schon im Raid

19:26

das heißt du hast zwei oder mehrere

19:28

Festplatten die sich spiegeln bei mir

19:29

ist es beispielsweise so dass mein

19:31

Speicherpool aus 2 12 TB Festplatten

19:35

besteht und diese 12 tabte Festplatten

19:37

sich gespiegelt haben dann habe ich

19:39

weniger Speicherplatz ich habe nur die

19:40

Hälfte des Speicherplatzes aber meine

19:42

Festplatten sind eben immer gespiegelt

19:43

umso mehr Festplatten du hinzufügst umso

19:45

mehr Speicher kannst du auch benutzen so

19:47

funktioniert raate das ganze habe ich in

19:49

meinem Video zur Kaufberatung schon mal

19:52

erklärt das Video findest du hier oben

19:53

verlinkt aber was ich sagen will ist

19:56

dass selbst wenn du ein raate benutzt

19:57

bei einer ist das kein Backup ein Raid

20:01

schützt dich davor dass eine Festplatte

20:03

ausfällt was durchaus wahrscheinlicher

20:05

ist als du dir vielleicht vorstellst

20:07

aber ein raate schützt sichich eben

20:08

nicht davor dass deine NAS z.B gehackt

20:11

wird dass du aus verehen mal Dateien

20:13

löscht oder dass du dir vielleicht einen

20:15

Virus einfängst sondern das kannst du

20:17

mit einem Backup absichern die

20:19

einfachste Möglichkeit um ein Backup von

20:21

einer NAS zu machen ist ein Tool von

20:23

sonology zu benutzen und zwar Hyper

20:25

Backup dass du dir einfach im

20:27

Paketzentrum installier kannst und hier

20:31

frägt er mich jetzt als erstes ob ich

20:33

nur einzelne Ordner und Pakete backupen

20:35

will oder ist einfach das komplette

20:37

System und ganz egal was ich jetzt hier

20:39

auswähle könnte ich bei bei einem

20:42

kompletten beiem wenn ich das komplette

20:44

System backuppe dann geht das entweder

20:46

nur auf einer anderen sonology NAS oder

20:49

also ich heißt wenn ich einen wenn ich

20:50

einen Freund kenne und der hat eine

20:51

sonology NAS dann könnten wir

20:53

gegenseitig unsere NAS backupen was

20:55

eigentlich ganz ganz sexy ist oder in

20:57

dem Cloudspeicher von sonology aber was

20:59

ich dir eigentlich zeigen wollte ist

21:01

wenn du nur in Anführungsstrichen Ordner

21:03

und Pakete backupen willst was ja

21:05

letztendlich eigentlich das Wichtigste

21:06

ist ne wenn du alle deine Daten von

21:08

einer NAS gebackupt hast dann ist das

21:10

wahrscheinlich das was Du eigentlich

21:11

backupen willst weil auf einer NAS sind

21:13

nur mal die wichtigsten Dinge die

21:15

Dateien zumindest bei den meisten

21:16

nassystemen würde ich mal sagen dann

21:18

hast Du hier deutlich mehr Möglichkeiten

21:20

also du könntest z.B einfach eine alte

21:23

externe Festplatte nehmen und darauf ein

21:25

Backup anfertigen das werde ich bei mir

21:27

so machen ich habe zwar 12 TB die ich

21:30

aktiv benutzen könnte aber davon ist

21:32

vielleicht nur 1 Tab wirklich wichtige

21:34

Dateien also vielleicht meine ganze wenn

21:37

ich z.B eine Filmsammlung mit 3 4 5 TB

21:40

hätte dann müsste ich die vielleicht

21:42

nicht noch mal zusätzlich backuppen

21:44

sondern dann würde es reichen wenn ich

21:45

nur meine privaten Dateien meine Fotos

21:47

backuppe in der Regel sind die

21:49

wichtigsten Dateien ja die die Dateien

21:51

die am wenigsten Speicherplatz

21:53

verbrauchen und das heißt wahrscheinlich

21:55

wird es mir ausreichen wenn ich 500 GB

21:57

vielleicht 1 TB nutze um dafür meine

22:00

Fotos meine privaten Dateien zu

22:02

backuppen und das könnte ich auf einer

22:04

externen Festplatte machen was ich

22:06

außerdem auch schon gemacht habe ist

22:07

dass ich

22:08

meine Dateien in die Cloud backupe

22:11

vielleicht denkst du dir jetzt

22:12

eigentlich habe ich doch eine NAS damit

22:13

meine Dateien bei mir liegen aber wenn

22:15

du sie hier backupst dann kannst du die

22:17

Möglichkeit auswählen dass du ähm deine

22:20

dass du das ganze verschlüsselst also

22:22

das da das dadurch hast du sozusagen

22:24

eine Ende zu Ende Verschlüsselung dein

22:26

Backup wird auf deiner NAS verschlüsselt

22:28

und erst dann in die Cloud geliefert

22:30

wahrscheinlich ist das die

22:30

unkomplizierteste Möglichkeit ich hatte

22:32

beispielsweise in meiner Vergangenheit

22:34

eingestellt dass meine Dateien einmal in

22:35

der Nacht z.B um 12 Uhr gebackupt werden

22:38

und dann habe ich mir einen

22:41

Speicher gekauft bei Hetzner und da

22:43

bekommt man ab 3,80 € im Monat schon 1

22:47

TB und auf diesen Speicher das ist dann

22:49

nicht wirklich ein Cloudspeicher sondern

22:51

das ist ein Speicher auf den man dann

22:52

eher mit bestimmten Protokollen wie FDP

22:54

oder SSH zugreifen kann oder Web darf

22:57

und ich habe dann eingerichtet dass ich

22:58

per webdf auf diesen Speicher zugreife

23:01

und das einmal in der Nacht per webdf

23:03

meine Daten gebackup werden auf diesen

23:05

Speicher wie gesagt Ende zu Ende

23:07

verschlüsselt kommen wir jetzt zu ein

23:08

paar schnelleren Tipps ich würde dir

23:10

empfehlen dass du im anmelddeportal

23:12

unter DSM HTTP Verbindung dass du sagst

23:16

HTTP Verbindung sollen automatisch zu

23:17

https umgeleitet werden hTTPS steht

23:21

dafür dass deine dass die Verbindung SSL

23:23

verschlüsselt ist das ist mittlerweile

23:25

bei allen Websites standardmäßig der

23:27

Fall eigentlich das siehst du auch wenn

23:29

du eine Webseite aufrufst und dann hier

23:31

siehst du https oder wenn du auf dieses

23:34

Icon hier klickst dann siehst Du

23:35

Verbindung ist sicher und das ganze

23:37

willst du natürlich auch benutzen wenn

23:38

du auf deine NAS zugreifst und

23:41

falls es HTTP Verbindung gibt dann

23:43

sollen diese auch umgeleitet werden

23:45

deshalb ist es good practice dass du das

23:47

bei deiner sonology NAS einstellst

23:49

vielleicht ist dir außerdem aufgefallen

23:50

dass ich meine standardmäßigen

23:51

Portnummern geändert habe da habe ich

23:54

hier andere Portnummern eingegeben damit

23:56

man von außerhalb nicht so einfach auf

23:58

meine NAS zugreifen kann das ist

24:00

natürlich jetzt nicht ganz so schlau

24:01

dass ich das euch zeige deswegen werde

24:03

ich im Nachgang diese Portnummern auch

24:04

noch mal ändern aber so macht ihr es

24:06

Angreifern eben ein bisschen schwerer

24:08

dass sie auf eure NAS zugreifen

24:10

beispielsweise über DDNS weil selbst

24:12

wenn Sie die Domain für eure DDNS hätten

24:14

wissten wüssten sie nicht über welchen

24:16

Port sie eigentlich auf euren Router und

24:18

damit auch auf eure NAS dann zugreifen

24:21

können ihr müsst aber dann auch

24:22

sicherstellen dass ihr diese

24:24

diesen Port dann auch in der Port

24:26

Weiterleitung in eurem Router Freischalt

24:28

ansonsten kommen die Anfragen von

24:30

außerhalb ja nicht mehr zu eurer NAS

24:32

durch in den dateidiensten würde ich

24:34

euch empfehlen dass ihr nur die

24:36

Protokolle freigebt die ihr auch

24:38

wirklich benutzen wollt also es gibt ja

24:39

verschiedene Protokolle mit denen man

24:41

auf den Dateien zugreifen kann wie eben

24:43

hier SMB aft NFS FDP und so weiter und

24:48

manche für den die haben alle ihren

24:50

Einsatzzweck bestimmt aber wenn du nicht

24:52

weiß dass du eine von diesen Protokollen

24:54

unbedingt benötigst dann deaktiviere Sie

24:57

am besten ich persönlich habe nur in dem

24:59

Bereich SMB aktiviert und das habe ich

25:01

gemacht weil ich per SMB hier in meinem

25:04

Finder oder auf Windows über mein

25:06

Windows Explorer hier auf mein auf meine

25:09

NAS ganz normal als Netzwerk Laufwerk

25:11

zugreifen will und das für mich die Form

25:14

ist in mit der ich mit am meisten auf

25:16

meine NAS zugreife aber alle anderen

25:19

Protokolle benutze ich nicht und

25:20

deswegen habe ich diese auch

25:21

dieaktiviert sonology bietet dir

25:23

außerdem die Möglichkeit eine Firewall

25:25

einzurichten das geht im Bereich

25:28

Sicherheit unter Firewall und hier

25:30

könntest du z.B Regeln bearbeiten und

25:33

sagen dass niemand aus bestimmten

25:35

Ländern auf deine NAS zugreift oder wenn

25:37

Du beispielsweise feststellst dass

25:40

aus aus bestimmten Ländern oft auf deine

25:42

NAS zugegriffen wird auf die man

25:43

eigentlich von denen eigentlich keiner

25:45

zugreifen sollte wie z.B bei mir meine

25:47

ganzen Zugriffe aus Kanada Hong Kong

25:50

China und so weiter dann könntest du das

25:52

ja ausschließen über die quellips bzw du

25:55

könntest sogar im Umkehrschluss sagen

25:57

dass nur bestimmte IPs zugreifen dürfen

26:01

oder nur bestimmte IPs aus verschiedenen

26:03

aus bestimmten Ländern also

26:04

beispielsweise könntest du sagen dass

26:07

nur IP-Adressen aus Deutschland auf

26:09

deine NAS zugreifen dürfen dann musst du

26:12

aber auf der anderen Seite auch im

26:13

hinterkrft Verhalten dass wenn du jemand

26:15

im Urlaub bist oder wenn Mitarbeiter von

26:17

dir im Urlaub sind oder vielleicht ein

26:19

VPN in ein anderes Land benutzen dass

26:21

sie dann nicht mehr Zugriff auf deine

26:23

NAS hätten und natürlich wer es für

26:25

Angreifer wenn du wenn dich jemand

26:26

gezielt angreifen würde wäre es ein

26:28

leichtes diese äh diese IP Blockierung

26:30

zu umgehen aber all diesen

26:32

Sicherheitstipps geht es ja nur darum

26:34

dass wir kleine Löcher stopfen und es so

26:36

Angreifern etwas schwerer machen bei uns

26:38

reinzukommen ich persönlich habe das

26:40

aber nicht aktiviert weil ich doch

26:41

öfters mal am Reisen bin und auch

26:43

Mitarbeiter von mir öfters am Reisen bin

26:45

sind und ich will dann nicht irgendwo in

26:47

Thailand sein beispielsweise und

26:48

feststellen dass ich nicht auf meine NAS

26:50

zugreifen kann weil ich ja vor

26:51

zweieinhalb Jahren irgendwann mal diese

26:53

Einstellung aktiviert habe das waren

26:54

soweit meine wichtigsten Tipps zu

26:56

konkreten Sicherheitseinstellung aber

26:58

ich habe noch einen 17 Tipp ein

27:00

bonustipp im Repertoire und zwar bietet

27:02

sonology sogar eine eigene App mit der

27:04

sie eure sonology prüfen also fast schon

27:07

mit der wichtigste Tipp den ich dir für

27:09

den Schluss aufgehoben habe wenn du in

27:11

deine Apps gehst dann hast du hier den

27:13

Sicherheitsberater und der

27:15

Sicherheitsberater der scannt einmal

27:16

deine NAS durch und sagt dir dann was

27:20

was genau mit deiner ob ob deine NAS

27:22

sozusagen aus der Sicht von syology aus

27:23

der Sicht von diesem Programm auf dem

27:25

richtigen Stand ist hier kannst du auch

27:27

auf Ergebnisse klicken und genau schauen

27:30

welche konkreten Ereignisse geprüft

27:33

wurden wie schwer diese Ereignisse

27:35

sozusagen sind ob sie kritisch sind hoch

27:37

und so weiter und was der Status ist und

27:39

bei mir siehst du jetzt dass bei mir

27:40

eigentlich alles auf grün ist außer dass

27:42

ich die e-mailbenachrichtigung für neue

27:44

DSM Updates deaktiviert habe eigentlich

27:47

habe ich die aktiviert das könnte ich

27:48

auch einmal prüfen wenn ich hier auf

27:50

Anzeigen klicke dann werden wir hier

27:51

weitere Datails angezeigt und hier kann

27:54

ich dann auch direkt in den jeweiligen

27:55

Bereich in den in der Systemsteuerung äh

27:58

springen und tatsächlich habe ich hier

28:00

eigentlich äh das eingerichtet aber aus

28:01

irgendeinem Grund wird es bei mir

28:04

trotzdem nicht angezeigt ist aber auch

28:05

nicht so wichtig ganz am Anfang wenn du

28:07

den Sicherheitsberater startest frägt er

28:09

dich ob du deine NAS privat oder als

28:11

Unternehmen benutzt das kannst du im

28:13

nachhinin auch hier unter Erweitert

28:14

ändern hier kannst du dann sagen für den

28:16

privaten Gebrauch oder für den äh für

28:18

Arbeit und Unternehmen und je nachdem

28:20

wird die Checkliste dann angepasst und

28:22

letztendlich ist bei Arbeit und

28:24

Unternehmen ist einfach nur eigentlich

28:26

alles in der Checkliste aktiviert und

28:28

bei privater Gebrauch ist die Checkliste

28:30

ja sage ich mal etwas weniger ähm streng

28:33

wenn du diesen Check machst würde ich

28:35

dir empfehlen Arbeit Unternehmen

28:36

auszuwählen einfach weil dann das

28:37

Programm alles auf deiner NAS checkt und

28:39

dann kannst du dir immer noch selbst

28:41

entscheiden ob du diese Sachen auch ähm

28:43

fixen willst also beispielsweise würde

28:45

ich dir raten hier nach Schwere zu

28:47

sortieren und auf jeden Fall ähm

28:49

sicherstellen dass die kritischen Sachen

28:51

dass du die kritischen Sachen mal

28:52

anschaust falls diese ganzen kritischen

28:54

Punkte äh falls hier in den kritischen

28:56

Punkten etwas ist was ähm nicht wo deine

28:59

NAS den Test sozusagen nicht bestanden

29:01

hast in den erweiterten Einstellungen

29:03

kannst du außerdem festlegen dass deine

29:06

NAS den sicherheitsscan automatisch

29:08

durchführt also du könntest z.B sagen

29:10

dass täglich um

29:13

1:25 wann auch immer die NAS automatisch

29:16

einmal diesen sicherheitsscan durchführt

29:18

und ich klicke jetzt hier auf Speichern

29:20

und wenn wir jetzt hier auf scannen

29:21

klicken dann siehst du auch dass es

29:22

extrem schnell geht also das ist jetzt

29:24

nicht ein Scan der stundenlang dauert

29:25

sondern das hat jetzt bei mir wie lange

29:27

ist ist jetzt 5 Sekunden na jetzt gleich

29:30

fertig 10 Sekunden abgelaufene Zeit das

29:32

dauert nur wenige Sekunden bis dieser

29:34

Sicherheitscheck durchgelaufen ist und

29:36

ähm das beansprucht also dein NAS nicht

29:39

zu sehr ich hoffe du konntest in diesem

29:41

Video etwas mitnehmen und weißt jetzt

29:42

wie du deine sonology NAS am besten nach

29:44

draußen absicherst hinterlass mir gerne

29:46

mal einen Kommentar unter dem Video wenn

29:48

ich wichtige Sicherheitstipps vergessen

29:50

habe bzw schreib doch einfach mal wie du

29:51

deine NAS gegen Angreifer bestmöglich

29:54

absicherst ein Vorteil wenn du deine NAS

29:56

nach außen öffnest ist ja ja dass du

29:58

Dienste wie sonology Drive oder sonology

30:00

Photos benutzt die Alternativen von

30:03

Google wie Google Drive und Google

30:04

Photos in eigentlich nichts nachstehen

30:07

und über diese Programme wie man die

30:08

optimal benutzt welche Funktion diese

30:10

Dienste eigentlich anbieten da habe ich

30:12

auch schon mal Videos gemacht

30:14

die Blende ich euch mal hier ein die

30:15

Videos zu sonology Drive und sonology

30:18

Fotos ich freue mich Dich dann im

30:19

nächsten Video zu sehen mach's gut