Bedrohungslage

Attacken auf NAS-Systeme nehmen zu

15. Juni 2020 von PSW GROUP Redaktion

Abbildung eines NAS
© xiaoliangge - stock.adobe.com

4.7
(3)

Der Storage-Bereich ist lukrativ für Cyberkriminelle – selbst bei Verwendung der NAS-Systeme wird nun zur Vorsicht gemahnt. Ein Quartalsbericht des Sicherheitsdienstleisters Kaspersky zeigt, dass es bei NAS-Systemen immer öfter zu Ransomware-Angriffen kommt. Wird ein NAS-System („Network Attached Storage“) eigentlich eingesetzt, um mit geringem Aufwand Speicherkapazitäten bereitzustellen, und galten diese bislang als sicher, haben es Cyberkriminelle immer häufiger auf sie abgesehen.

 

Ransomware gegen NAS-Systeme

In einem Quartalsbericht für 2019 warnt der Sicherheitsdienstleister Kaspersky vor einer „neuen Art von Ransomware-Angriff“, bei dem es Cyberkriminelle speziell auf NAS-Systeme abgesehen haben. NAS-Systeme galten bislang als recht sicher, nach Einschätzung von Kaspersky dürfte dies jedoch der Vergangenheit angehören.

Die Cyberkriminellen scannen IP-Adressverzeichnisse nach NAS-Systemen, die via Internet erreichbar sind. Theoretisch sollten Webschnittstellen ausschließlich per Authentifizierung zugänglich sein. Auf zahlreichen Geräten arbeitet jedoch mit Schwachstellen durchzogene Software. Genau diese Schwachstellen nutzen Angreifer, um Trojaner per Exploit zu installieren. Und diese Exploits verschlüsseln die Daten all jener Geräte, die mit dem NAS-System verbunden sind.

War Ransomware für NAS-Systeme vor 2019 eher eine Seltenheit, musste Kaspersky „in diesem Jahr […] bereits eine Reihe neuer Ransomware-Familien“ feststellen, „die sich ausschließlich auf dieses Angriffsziel konzentrieren“, wie Fedor Sinitsyn als Kaspersky-Sicherheitsforscher weiter ausführt. Und weiter: „NAS-Geräte werden in der Regel als gefahrlose Komplettlösungen verkauft, doch deren Sicherheit stellt sich inzwischen als fragwürdig heraus.“

Die Statistik-sendenden Kaspersky-Technologien erkannten im dritten Quartal 2019 Ransomware-Angriffe bei mehr als 229.600 Nutzerinnen und Nutzern – das entspricht einem Rückgang von 11 Prozent gegenüber dem Vorjahreszeitraum. Die Gesamtzahl der Opfer ging also leicht zurück, jedoch stieg die Anzahl von Modifikationen um 153 %: Von 5.195 im dritten Quartal 2018 auf über 13.135 im dritten Quartal 2019.

Hersteller der Speichersysteme reagieren

Die Problematik trifft vor allem die Hersteller, die im vergangenen Jahr mit entsprechend vielen Updates und Patches für ihre NAS-Systeme reagierten:

  • AVMs Fritz-OS-Update bringt auch Vorteile für Fritz-NAS, wie PC-Welt berichtete.
  • NAS-Modelle von Zyxel können über eine als kritisch eingestufte Sicherheitslücke angegriffen werden. Wie heise.de berichtete, stellte Zyxel im März entsprechende Patches bereit.
  • Eine kritische Lücke erlaubte den Rootzugriff auf D-Link-NAS-Systeme. D-Link hat die Lücke mit einem Patch geschlossen.
  • Brute-Force- und Exploits-Attacken trafen die Netzwerkspeicher von QNAP und Synology. Die Hersteller empfahlen unter anderem, die NAS-Systeme auf aktuelle Versionen upzudaten.

Lieber Cloud statt NAS?

Cloud-Server oder NAS-Systeme – was ist sinnvoller, effizienter und sicherer? Da Bedürfnisse verschieden sind, ist eine grundsätzliche Empfehlung schwer. Blicken wir auf Details:

Cloud-Server werden als Online-Speicher von verschiedenen Anbietern zur Verfügung gestellt. Im Wesentlichen werden drei Modelle unterschieden:

  • IaaS: Infrastructure as a Service
  • PaaS: Platform as a Service
  • SaaS: Software as a Service

Wie Sie den Namen der jeweiligen Modelle entnehmen können, eignen sich IaaS sowie PaaS vorrangig für den geschäftlichen Gebrauch; vielfach werden eigene Server zur Verfügung gestellt, die Daten speichern, Rechenkapazitäten steigern oder andere Performance-kritische Eigenschaften erfüllen. Privatnutzer favorisieren mehrheitlich SaaS, wo die Anwendungen im Fokus stehen, also das Hochladen sowie Speichern von Inhalten.

Doch auch NAS-Systeme sind mehr als bloßer Speicher. Sie existieren als Rechner mit eigenen Grafikanschlüssen, als Verbindung mit dem Heimnetzwerk oder als Möglichkeit des Datenabrufs übers Internet. Auch lassen sich mehrere private Server, beispielsweise E-Mail-Server, integrieren.

Der tatsächliche Funktionsumfang beider – Cloud-Server oder NAS-Systeme – variiert von Angebot zu Angebot. Es existieren höchst unterschiedliche Varianten sowohl für den geschäftlichen als auch für den privaten Einsatz. Auch bei der Datensicherheit bringen beide Varianten Vor- und Nachteile mit: Für NAS-Systeme spricht zweifellos, dass Unternehmen die Datenhoheit behalten, denn die Daten liegen im eigenen Netzwerk und lassen sich mit entsprechenden Maßnahmen schützen.

Bei vielen Cloud-Lösungen ist das anders: Die Daten lagern auf den Servern des jeweiligen Anbieters, bei denen nicht mal immer erkennbar ist, in welchem Land die Server stehen und welches Datenschutzniveau dort vorherrscht. Unternehmen mit entsprechenden fachlichen und personellen Ressourcen können sich private Server anmieten oder diese selbst betreiben. Anderen steht diese Möglichkeit nicht offen, da ein Wartungsaufwand entsteht, der nur von Mitarbeiterinnen und Mitarbeitern gemanagt werden kann, die über ausgeprägte IT-Kenntnisse verfügen.

Für den Cloudanbieter spricht jedoch die Frage der Verfügbarkeit: Ist ein NAS-System kaputt, sind die Daten verloren, wenn nicht mit entsprechenden Backups gearbeitet wird. Hier punkten Cloud-Systeme, denn die Cloud-Anbieter sichert sich gegen derartige Umfälle mit mehreren Festplatten ab.

Sinnvoll ist es, die Entscheidung für oder gegen Cloud-Server und NAS-System auch in Abhängigkeit auf den Einsatzort zu treffen: Möchten Sie Daten innerhalb des Firmennetzwerks austauschen, ist ein NAS-System schneller für Ihren Zweck. Möchten Sie jedoch Daten mit Personen austauschen, die nicht in Ihrem Firmennetzwerk agieren, erweist sich die Cloud als schneller. Tatsache ist weiter, dass NAS-Systeme nicht mit der Rechenleistung von Cloud-Computing mithalten können. Es gibt Cloud-Angebote mit mehreren hundert CPU-Kernen; Kapazitäten lassen sich in der Cloud ohne weiteres ergänzen oder reduzieren.

Sie sehen: Je nachdem, welche Ansprüche und Bedürfnisse Ihre Organisation oder Sie als Privatanwenderin/ Privatanwender haben, können Cloud-Server oder NAS-Systeme sinnvoller sein. Entscheiden Sie sich für Cloud-Systeme in einem geschäftlichen Umfeld, beachten Sie bitte, dass die Cloudnutzung DSGVO-konform sein sollte. Auch im privaten Umfeld ist das sehr sinnvoll, schließlich geht es um Ihre Daten.

Schutz vor Ransomware

Wie wir eingangs aufzeigen konnten, verschlüsselt Ransomware nicht nur lokale Daten von infizierten Rechnern, sondern auch angeschlossene Medien, etwa USB-Sticks oder verbundene Netzwerklaufwerke. Genau dieser Fakt macht Ransomware auch für NAS-Systeme so gefährlich, wenngleich das NAS selbst nicht durch Ransomware infiziert ist. Gut durchdachte Backup- und Sicherheitsstrategien schützen jedoch sehr effizient vor Ransomware.

Ein riesiges Einfallstor für Hacker und damit auch für Ransomware sind nach wie vor veraltete Systeme. Sicherheitsupdates sollten sehr zeitnah eingespielt werden, idealerweise sogar automatisiert, damit sie nicht vergessen werden können. Ideal ist es, Updates außerhalb der Geschäftszeiten einspielen zu lassen, da sie durch Neustarts den Workflow unterbrechen können. Die geschäftseigene Firewall sollte das gesamte Netzwerk einschließlich NAS-System schützen. Zentrale Nutzereinstellungen sind oft sinnvoller, als dem Einzelnutzer die Einstellungen zu überlassen, da sonst der Komfort zuweilen über die Sicherheit gehen kann. Die meisten NAS-Systeme erlauben das Installieren von Antivirensoftware.

Die 3-2-1-Regel für Backups besagt, dass von sämtlichen wichtigen Daten drei Kopien zu erstellen sind. Sie sollten auf zwei verschiedenen Systemen abgelegt sein, von denen mindestens eines an einem externen Standort lagern sollte. Spezielle Produktiv- oder Backup-NAS-Systeme erlauben eine ständige Verfügbarkeit der Daten. Sie lassen sich bedarfsweise um RAM, Festplatten oder auch Netzwerkkarten erweitern. Mit einer Kombination mehrerer NAS-Systeme, Snapshots (systemseitige Verlinkungen geänderter Versionen zu originalen Dateien), Backups und Replikationen erhalten Sie eine automatisierte Backup-Umgebung mit zügigen Wiederherstellungszeiten. Es gibt durchaus NAS-Systeme, die ein solches Sicherheits- und Backup-Management erlauben und unterstützen.

NAS Security-Checks

Um ein NAS-System abzusichern, empfehlen wir Ihnen zusätzlich, die folgenden Schritte durchzuführen:

  • NAS-Ressourcen verwenden: Die meisten NAS-Systeme bringen herstellereigene Apps mit, die die Systemeinstellungen analysieren und auf mögliche Schwachstellen hinweisen.
  • Passwort & 2FA: Die Anmeldeseite von NAS-Systemen könnten auch Hacker oder andere unberechtigte Dritte aufrufen. Um zu verhindern, dass Zugänge geknackt werden, hilft ein starkes Passwort. Es besteht idealerweise aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen. Zusätzlich lohnt sich die Zwei-Faktor-Authentifizierung (2FA): Neben dem Passwort wird ein zweiter Faktor zum Einloggen notwendig, etwa ein zusätzlich auf dem Smartphone generierter Einmalcode.
  • Admin-Account: NAS-Systeme werden in aller Regel mit einem Administrator-Zugang ausgeliefert, der vom Hersteller vorgegeben ist. Standard-Accounts sind der Sicherheit jedoch nicht zuträglich. Legen Sie ein neues Admin-Konto an und löschen Sie den Standardaccount.
  • Angriffsflächen verkleinern: NAS-Systeme werden oft mit exorbitantem Funktionsumfang verkauft – von denen wahrlich nicht alle von jeder Anwenderin/ jedem Anwender genutzt werden. Mit jeder Funktion jedoch entstehen neue potenzielle Sicherheitslücken. Deshalb: Deaktivieren Sie Funktionen, die Sie ohnehin nicht nutzen. Das dient nicht nur Ihrer Sicherheit, sondern Ihr NAS-System hält länger seine Performance.
  • VPN nutzen: Greifen Sie von unterwegs auf Ihr NAS-System zu, geschieht das idealerweise per virtuellem privaten Netzwerk (VPN). So sind Ihre Verbindungen verschlüsselt, sodass ein sicherer Datenzugriff gewährleistet ist. Leider gibt es unter den VPN-Anbietern viele schwarze Schafe, weshalb wir als ergänzende Lektüre unseren Beitrag „VPN-Verschlüsselung: Ist sie so sicher, wie uns gesagt wird?“ empfehlen.

NAS-Security im Home-Office

Die meisten Unternehmen haben im Rahmen der Corona-Pandemie Home-Office-Regelungen eingeführt, viele Unternehmen möchten sie auch nach der Pandemie beibehalten. Für NAS-Systeme im Home-Office gelten unsere oben bereits erwähnten Tipps, besonders jedoch das Kontrollieren von Zugriffspunkten, um weder Daten noch die Systeme selbst zu gefährden.

Kommen Sie gerne mit uns ins Gespräch: Wie sind Ihre Erfahrungen mit NAS-Systemen und deren Sicherheit? Hatten Sie selbst bereits mit Vorfällen zu tun, speziell mit Ransomware? Wir freuen uns auf Ihre Kommentare!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4.7 / 5. Vote count: 3



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu