Um ein NAS sinnvoll nutzen zu können, benötigt man eigentlich einen Zugriff auf Gerät von außerhalb. DDNS und Portfreigabe sind hier die Schlagworte. Sobald man sich damit beschäftigt, kommen mahnende Stimmen, die auf die mangelnde Sicherheit verweisen. Ignoriert sie!
Natürlich ist der Zugriff auf das heimische Netz ein Sicherheitsrisiko. Wenn man darauf verzichten kann, sollte man genau das tun. Sicherheit erreicht man schließlich durch Minimierung der überflüssigen Angriffsmöglichkeiten. Wer sich aber ein NAS anschafft, um damit eine Cloud unter eigener Kontrolle aufzubauen, der hat sich den Sinn gut überlegt, schließlich musste man dafür je nach Gerät nicht unerhebliche Summen investieren.
Besondere Vorsicht sollte man natürlich walten lassen, wenn man eine Person des öffentlichen Lebens ist, starker persönlicher Bedrohung ausgesetzt ist oder in einem verbrecherischen System lebt. Auf die meisten Kunden eines NAS und Leser dieses Blogs wird das aber nicht zutreffen. Sie sind nur der ganz alltäglichen Bedrohung durch einen immer übergriffigeren Staat, spionierende Großkonzerne und neugierigen Familienmitgliedern ausgesetzt.
Bezogen auf jene mahnenden Experten, die das Perfekte zum Feind des Guten machen, wurde vor einigen Jahren der passende Begriff der Sicherheitsnihilisten geprägt (siehe: Sicherheitsnihilismus – Eine treffende Beobachtung). Schauen wir uns die Argumentation und die vorgeschlagenen Lösungen vor. Deren gibt es im wesentlichen drei.
Die erste Gruppe findet, dass eine Freigabe des NAS im Internet das Risiko so groß werden lässt, dass man besser auf kommerzielle Cloudspeicher ausweicht. Diese Leute umgehen also das Risiko einer Ausnutzung einer Sicherheitslücke auf dem eigenen Gerät durch einen Angreifer (immerhin also eine zielgerichtete Attacke) mit dem permanenten Risiko seine Daten bei einem fremden Anbieter zu speichern – wohlmöglich auch noch unverschlüsselt. Anstelle also das eigene Netz Ziel eines Angriffs werden zu lassen, gibt man lieber einem Anbieter, dessen Angestellten, (je nach Gesetzeslage dem Staat) und vielen weiteren die Möglichkeit auf die Daten zuzugreifen. Ganz davon abgesehen natürlich, dass auch die großen Anbieter Opfer von Angriffen werden können und man das Risiko damit nur auslagert.
Die zweite Gruppe sieht das nicht so extrem, sondern empfiehlt den Einsatz eines VPN-Zugriffs anstelle einer Portfreigabe der Dienste. Dadurch bewegt man sich bildlich gesprochen auch in der Ferne im eigenen Netz und kann dann die Dienste des NAS nutzen. Ob das praktikabel ist, hängt aber von den Nutzungsszenarien ab, was die Verfechter des Szenarios gerne ignorieren. Insbesondere bei Nutzung des NAS als Sync-Zentrale erfordert dies eine permanente Aktivierung des VPN bei allen Endgeräten. Je nach Nutzungsort oder Land ist das teilweise gar nicht möglich. Diese Lösung funktioniert zudem nur, wenn man lediglich als Einzelperson das NAS nutzt und keine Freigaben für Dritte oder Gruppenzugriffe benötigt.
Die dritte Gruppe richtet alle ihre Endgeräte so ein, dass die Sync-Prozesse erst im Heimnetz aktiv werden und arbeitet außerhalb mit den gespeicherten Zwischenständen. Diese Gruppe ist aber offenkundig nicht sonderlich mobil, da ihr Arbeitsprozess voraussetzt, dass sie regelmäßig mit allen Endgeräten im Heimnetz sind, um die Daten abzugleichen.
Meiner Meinung nach kann man diese Bedenkenträger getrost ignorieren. Wenn man ein NAS besitzt, dessen Betriebssystem noch nicht das Supportende erreicht und lediglich die benötigten Dienste und Ports freigegeben hat, verfügt man über ein hinreichend sicheres System. Ein Angriff würde immerhin eine zielgerichtete Attacke mit krimineller Energie auf das eigene Netz voraussetzen. Hier kommt man in einen Bereich, da man sich besser einen Anwalt sucht und Anzeige erstattet, anstelle erweiterte technische Schutzmaßnahmen zu ergreifen.
Vor allem jene verbreitete Gruppe, die lieber auf öffentliche Clouds zurückgreifen, um ihr NAS nicht einem potenziellen Angriff auszusetzen, hat eine absurde Risikoabwägung vorgenommen. Sie gewichten das Risiko eines zielgerichteten Angriffs höher als das permanente Datenschutzrisiko durch Rückgriff auf einen kommerziellen Cloudbetreiber. Wer sein NAS nur relativ eingeschränkt mit wenigen Diensten nutzt, kann über einen VPN Zugriff nachdenken. Wer dafür sein Nutzungsverhalten zu stark einschränken oder aber Teile seiner Daten in eine öffentliche Cloud auslagern müsste, sollte seine Risikoabwägung noch mal überdenken.