Hallo zusammen,
Oh, der Countdown für einen OS-Religionsstreit ist gestartet . Nein, Spass beiseite.
Ich kann hier nur für Synology NAS etwas sagen, da ich solche einsetze.
Auf den Synology Disk Stations läuft ein stark angepasstes (z.B. eigener Bootloader, extrem abgespeckt in der Funktionalität) Debian Linux. Entsprechend werden auch moderne und sichere Filesysteme verwendet. Synology geht hier einen ähnlichen Weg wie Apple. In einem Mac werkelt auch ein Unix-Kern im Hintergrund, dessen spröde (Shell anyone?) Bedienbarkeit über ein schickes GUI versteckt wird. In beiden Fällen aber nicht so, dass man *gar nicht* in den Maschinenraum heruntersteigen kann.
Es ist übrigens mMn. sehr empfehlenswert, gerade für den Privat- oder KMU Bereich, hier auf eine gewisse Heterogenität zu setzen. Alle (!) mir bekannten Fälle von Ransomwarebefall bei Unternehmen und Behörden haben ihre Ursache *nicht* primär in der "hohen kriminellen Energie der Angreifer" (die braucht es eh), sondern in der "hohen kriminellen Inkompetenz mit angeschlossenem Verantwortungsringeltanz" von Entscheidungsträgern und IT, auf immer die selbe unsichere Monokultur (Active Directory) zu setzen und diese nicht bestmöglich abzusichern.
Für uns als private Anwender ist die 321 Regel, eine NAS und ein funktionierendes Backup ausreichend.
Zum Internetzugang der NAS: Der Zugang von aussen sollte *grundsätzlich* (!) nur über VPN (z.B. OpenVPN) möglich sein. Die "Firewall" der üblichen Plastikrouter (selbst die mit dem weitverbreiteten deutschen Vornamen) ist nicht viel mehr als nicht brennbares Papier. Und die "richtigen" Firewalls von Cisco haben die Backdoors serienmässig im teuren Abo. Ich hab hier bei mir ein dauerndes Grundrauschen von Angriffsversuchen (auch auf die NAS), die einfach deshalb ins leere laufen, weil der Zugang nur über VPN läuft.
Wer also die NAS von aussen verfügbar haben muss oder will sollte sich schon gut überlegen, wie das sicher umzusetzen ist. Die blumigen Versprechen, das könne mit wenigen Klicks eingerichtet werden sind meist Versprechen, nicht mehr. Etwas Ahnung von den Protokollen und Mechanismen sollte man schon haben, sonst ersetzt man die Papiertür einfach durch einen Mückenvorhang. Nützt zwar gegen Mücken, aber die Kakerlaken hat man immer noch in der Küche. Am einfachsten ist es immer noch, den Zugang von aussen zu sperren. Ansonsten kann ich OpenVPN (wird z.B: von Synology DSM unterstützt) sehr empfehlen.
So, was nehmen wir von dieser Predigt nach Hause?
- NAS muss mit eigenständigem Betriebssystem (am besten Open Source wegen der Auditierbarkeit) laufen. Windows hat in diesem Bereich nichts zu suchen. Der Adminzugang ist entsprechend sicher zu machen (z.B. durch 2FA, Zweifaktorauthorisierung).
- NAS darf von aussen zwingend nur über VPN erreichbar sein. Das setzt eine saubere Planung und Überwachung voraus.
- NAS ersetzt kein (räumlich getrenntes) Backup.
- jede IT Infrastruktur (auch eine private) setzt eine saubere Planung und Wartung voraus. Einfach davon auszugehen, dass ja alles läuft ist mehr als fahrlässig.
Das ist für jede(n) machbar. Ohne Zugang von aussen (also nur im Intranet) sogar recht einfach.
Herzliche Grüsse Robert