Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Wrong way"

Kommentar: Externer Zugriff auf das NAS - Nicht auf Nihilisten hören

Um ein NAS sinnvoll nutzen zu können benötigt man eigentlich einen Zugriff auf Gerät von außerhalb. DDNS und Portfreigabe sind hier die Schlagworte. Sobald man sich damit beschäftigt kommen mahnende Stimmen, die auf die mangelnde Sicherheit verweisen. Ignoriert sie!

Natürlich ist der Zugriff auf das heimische Netz ein Sicherheitsrisiko. Wenn man darauf verzichten kann, sollte man genau das tun. Sicherheit erreicht man schließlich durch Minimierung der überflüssigen Angriffsmöglichkeiten. Wer sich aber ein NAS anschafft um damit eine Cloud unter eigener Kontrolle aufzubauen, der hat sich den Sinn gut überlegt, schließlich musste man dafür je nach Gerät nicht unerhebliche Summen investieren.

Besondere Vorsicht sollte man natürlich walten lassen, wenn man eine Person des öffentlichen Lebens ist, starker persönlicher Bedrohung ausgesetzt ist oder in einem verbrecherischen System lebt. Auf die meisten Kunden eines NAS und Leser dieses Blogs wird das aber nicht zutreffen. Sie sind nur der ganz alltäglichen Bedrohung durch einen immer übergriffigeren Staat, spionierende Großkonzerne und neugierigen Familienmitgliedern ausgesetzt.

Bezogen auf jene mahnenden Experten, die das Perfekte zum Feind des Guten machen, wurde vor einigen Jahren der passende Begriff der Sicherheitsnihilisten geprägt (siehe: Sicherheitsnihilismus - Eine treffende Beobachtung). Schauen wir uns die Argumentation und die vorgeschlagenen Lösungen vor. Deren gibt es im wesentlichen drei.

Die erste Gruppe findet, dass eine Freigabe des NAS im Internet das Risiko so groß werden lässt, dass man besser auf kommerzielle Cloudspeicher ausweicht. Diese Leute umgehen also das Risiko einer Ausnutzung einer Sicherheitslücke auf dem eigenen Gerät durch einen Angreifer (immerhin also eine zielgerichtete Attacke) mit dem permanenten Risiko seine Daten bei einem fremden Anbieter zu speichern - wohlmöglich auch noch unverschlüsselt. Anstelle also das eigene Netz Ziel eines Angriffs werden zu lassen, gibt man lieber einem Anbieter, dessen Angestellten, (je nach Gesetzeslage dem Staat) und vielen weiteren die Möglichkeit auf die Daten zuzugreifen. Ganz davon abgesehen natürlich, dass auch die großen Anbieter Opfer von Angriffen werden können und man das Risiko damit nur auslagert.

Die zweite Gruppe sieht das nicht so extrem, sondern empfiehlt den Einsatz eines VPN-Zugriffs anstelle einer Portfreigabe der Dienste. Dadurch bewegt man sich bildlich gesprochen auch in der Ferne im eigenen Netz und kann dann die Dienste des NAS nutzen. Ob das praktikabel ist hängt aber von den Nutzungsszenarien ab, was die Verfechter des Szenarios gerne ignorieren. Insbesondere bei Nutzung des NAS als Sync-Zentrale erfordert dies eine permanente Aktivierung des VPN bei allen Endgeräten. Je nach Nutzungsort oder Land ist das teilweise gar nicht möglich. Diese Lösung funktioniert zudem nur, wenn man lediglich als Einzelperson das NAS nutzt und keine Freigaben für Dritte oder Gruppenzugriffe benötigt.

Die dritte Gruppe richtet alle ihre Endgeräte so ein, dass die Sync-Prozesse erst im Heimnetz aktiv werden und arbeitet außerhalb mit den gespeicherten Zwischenständen. Diese Gruppe ist aber offenkundig nicht sonderlich mobil, da ihr Arbeitsprozess voraussetzt, dass sie regelmäßig mit allen Endgeräten im Heimnetz sind um die Daten abzugleichen.

Meiner Meinung nach kann man diese Bedenkenträger getrost ignorieren. Wenn man ein NAS besitzt, dessen Betriebssystem noch nicht das Supportende erreicht und lediglich die benötigten Dienste und Ports freigegeben hat, verfügt man über ein hinreichend sicheres System. Ein Angriff würde immerhin eine zielgerichtete Attacke mit krimineller Energie auf das eigene Netz voraussetzen. Hier kommt man in einen Bereich, da man sich besser einen Anwalt sucht und Anzeige erstattet, anstelle erweiterte technische Schutzmaßnahmen zu ergreifen.

Vor allem jene verbreitete Gruppe, die lieber auf öffentliche Clouds zurückgreifen um ihr NAS nicht einem potenziellen Angriff auszusetzen hat eine absurde Risikoabwägung vorgenommen. Sie gewichten das Risiko eines zielgerichteten Angriffs höher, als das permanente Datenschutzrisiko durch Rückgriff auf einen kommerziellen Cloudbetreiber. Wer sein NAS nur relativ eingeschränkt mit wenigen Diensten nutzt kann über einen VPN Zugriff nachdenken. Wer dafür sein Nutzungsverhalten zu stark einschränken oder aber Teile seiner Daten in eine öffentliche Cloud auslagern müsste sollte seine Risikoabwägung nochmal überdenken.


Bilder:

Einleitungs- und Beitragsbild von Free To Use Sounds via Unsplash

"

Tags: Cloud, NAS, DDNS, Synology, Portfreigabe, Externer Zugriff

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Deadlock
Also Angriffe auf das heimische Netz müssen nicht immer auf einen persönlich gerichtet sein. Zu denken die Wahrscheinlichkeit für Angriffe wäre deutlich geringer, weil man keine Person ist, die in der Öffentlichkeit steht, ist auch reichlich naiv. Es gibt Hacker/Hackergruppen, die das Netz einfach nach im Netz befindlichen Geräten absuchen (da gibt es auch entsprechende Suchmaschinen) und dann schauen ob sie reinkommen, Daten stehlen können oder Verschlüsselungserpressung machen können, also die Daten verschlüsseln und dann für die Entschlüsselung Bares oder Ähnliches einfordern. Und heutzutage geschehen viel mehr Angriffe durch Botnetze z.B. sowas:

https://www.heise.de/security/meldung/QNAP-und-Synology-warnen-vor-Malware-Angriffen-auf-schlecht-gesicherte-NAS-4477214.html

Gerrit
Was voraussetzt, dass es ausgenutzte Sicherheitslücken gibt, die auf der eigenen Hardware nicht geschlossen sind. Deshalb macht man zeitnah Updates. Das Risiko hat man aber auf allen Geräten.
Deadlock
Vorrausgesetzt der Hersteller bringt zeitnah Updates raus.
Gerrit
Wenn nicht, dann wechselt man den Hersteller. Das gilt aber nicht nur für ein NAS sondern für absolut jedes Gerät in meinem Besitz.
sinned
Zwischen "niemals Portfreigaben" und "nur eingeschränkter Zugriff" ist aber noch ein Unterschied. Für die Qnap NAS gab es letzter Zeit ja vermehrt Meldungen, dass diese angegriffen werden.
Ließt man die Meldungen, dann handelt es sich dabei eher um automatisierte Angriffe die einfach nach verwundbaren Qnap NAS Systemen suchen, also das Webinterface.
So halte ich es für ein geringeres Risiko die Ports für den Cloud Sync zu erlauben als das Webinterface und SSH direkt auf das NAS weiterzuleiten.
Man kann also durchaus den Zwischenweg wählen, und die Ports für einzelne Anwendungen erlauben, während man die potentiell gefährdeteren Teile weiterhin nur aus dem Heimnetz oder per VPN erreichbar macht.

Anonymous
Was spricht gegen Hybride aus Gruppen 2 und 3?

Ich denk z.B. an Syncthing, wo sich Geräte über das Internet finden können. Das muss man aber nicht immer zwingend aktivieren, da Geräte sich auch lediglich lokal finden und synchronisieren können. Ist so ein bisschen Risikominimierung, mit dem Nachteil, dass man bei Bedarf ein Häkchen setzen/entfernen muss.

Alternativ kann man, wenn man unterwegs ist, auch nur die vorhandenen Geräte über das gleiche lokale Netz synchronisieren – alle anderen (z.B. den Desktop zu hause) braucht man dann ggf. gerade eh nicht.

---

Ansonsten kann man sich auch bei der Meinung zu VPN streiten. Statt Webserver mit PHP, Webanwendung etc. hat ein VPN-Server IMO weniger Angriffsfläche nach außen. Teils liefern Router (→ Fritzbox etc.) das bereits mit, dann bleiben wie im Artikel geschrieben eig. nur die Clients einmalig zum Einrichten.

Anonymous
VPN ist keine Lösung, grad wenn man es für einen größeren Nutzerkreis macht oder Daten mit anderen teilen will. Deshalb bleibt nur Nextcloud (oder Owncloud) mit einem robusten Debian 10 oder Ubuntu als Unterbau. Auf die Updates der Hersteller kann man sich nicht verlassen. Siehe Qnap. Der Nachteil ist, man muss es selbst betreiben bzw. warten. Das ist der Preis der eigenen Cloud. Ansonsten gibt es mittlerweile genug Hoster die Next oder Owncloud professionell anbieten.
Gerrit
Das ist ansichtssache. Ich habe konkret am Beispiel zu Synology nichts Schlechtes bezüglich der Sicherheitspolitik in der Vergangenheit gelesen. Warum sollte da also Linux im Vorteil sein? Zumal man bei Ubuntu dann definitiv komplett auf universe verzichten muss.
Anonymous
Ja das stimmt. Deshalb eher Debian am Server als Ubuntu. Der Ruf von Synology ist in der Tat recht gut. Aber alles andere an NAS (Home User) kann man getrost bei Zugriff übers Internet vergessen.
libertador
Zitat :
Je nach Nutzungsort oder Land ist das teilweise gar nicht möglich. Diese Lösung funktioniert zudem nur, wenn man lediglich als Einzelperson das NAS nutzt und keine Freigaben für Dritte oder Gruppenzugriffe benötigt.


Warum bist Du der Meinung, dass ein VPN nur für Einzelpersonen funktioniert? Zumindest für einen kleinen Kreis funktioniert VPN in das eigene Heimnetz. Wenn dies die eigene Familie ist, ist das ja auch aus Sicherheitsgründen nicht besonders problematisch. Die Dienste bedürfen dann der Zugriffssteuerung, diese muss aber eh eingerichtet werden.

Gerrit
Weil es unpraktisch ist. Ich kann nicht einfach Dateien per Link teilen, sondern muss diesen erst Zugangsdaten zum VPN geben. Bei vielen Empfängern übersteigt die Einrichtung eines VPN zudem die technischen Fähigkeiten.

5000 Buchstaben übrig


  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1