Der Datenschutztag ist gerade vorbei und mit dem World Backup Day um die Ecke haben wir 10 Datensicherheitstipps vorbereitet, mit denen Sie Ihre Synology-Geräte vor Online-Bedrohungen schützen können.
In den letzten Jahren ist es zu einer dramatischen Eskalation der Cybersicherheitsbedrohungen gekommen. Laut einem Bericht der New York Times wurden 2019 mehr als 200.000 Organisationen mit Ransomware angegriffen, ein Anstieg von 41% gegenüber dem Vorjahr.
Um Ihnen zu helfen, sich zu schützen, haben wir eine Liste wichtiger Datensicherheitseinstellungen zusammengestellt, die oft übersehen werden. Am Ende haben wir Bonus-Tipps enthalten, die Ihnen helfen könnten, die Datenintegrität zu gewährleisten – eine weitere Säule des Datenschutzes.
Hinweis: Die meisten der unten aufgeführten Einstellungen können nur von einem Benutzerkonto mit Administratorrechten aufgerufen und geändert werden.
- Tipp 1: Bleiben Sie auf dem Laufenden und aktivieren Sie Benachrichtigungen
- Tipp 2: Führen Sie Security Advisor aus
- Tipp 3: Grundlegende DSM-Sicherheitsfunktionen einrichten
- Tipp 4: HTTPS Teil 2 – Let’s Encrypt
- Tipp 5: Deaktivieren Sie das Standard-Administratorkonto
- Tipp 6: Passwortsicherheit
- Tipp 7: 2-stufige Verifizierung
- Tipp 8: Ändern der Standardports
- Tipp 9: Deaktivieren Sie SSH /telnet, wenn es nicht verwendet wird
- Tipp 10: Freigegebene Ordner verschlüsseln
- Bonus—Tipp: Datenintegrität
- Wichtiger denn je
Tipp 1: Bleiben Sie auf dem Laufenden und aktivieren Sie Benachrichtigungen
Wir veröffentlichen regelmäßig DSM-Updates, um Funktions- und Leistungsverbesserungen bereitzustellen und Sicherheitslücken in Produkten zu beheben.
Wenn eine Sicherheitslücke auftritt, führt unser Product Security Incident Response Team (PSIRT) innerhalb von 8 Stunden eine Bewertung und Untersuchung durch und veröffentlicht innerhalb der nächsten 15 Stunden einen Patch, um potenziellen Schaden durch Zero-Day-Angriffe zu vermeiden.
Den meisten Benutzern wird dringend empfohlen, automatische Updates einzurichten, damit die neuesten DSM-Updates automatisch installiert werden.*
Weitere Informationen
Viele Synology-Geräte haben die Möglichkeit, Virtual DSM im Virtual Machine Manager auszuführen, um eine virtualisierte Version des DSM-Betriebssystems zu erstellen. Verwenden Sie Virtual DSM, um eine Staging-Umgebung zu erstellen, und replizieren oder versuchen Sie dann, Ihre Produktionsumgebung darin zu reproduzieren. Führen Sie einen Upgrade-Test durch, indem Sie die neueste DSM-Version auf Ihrem virtuellen DSM installieren, und überprüfen Sie die Schlüsselfunktionen, die für Ihre aktuelle Bereitstellung erforderlich sind, bevor Sie mit dem Update in Ihrer Hauptumgebung fortfahren.
Eine weitere wichtige Sache, die Sie beachten sollten, ist, den Überblick zu behalten, sobald sie auftreten. Richten Sie Benachrichtigungen auf Ihrem Synology NAS ein und lassen Sie sich per E-Mail, SMS, auf Ihrem Mobilgerät oder über Ihren Webbrowser benachrichtigen, wenn bestimmte Ereignisse oder Fehler auftreten. Wenn Sie den DDNS-Dienst von Synology verwenden, können Sie sich benachrichtigen lassen, wenn die externe Netzwerkverbindung unterbrochen wird. Das sofortige Reagieren auf Benachrichtigungen bei Speichervolumes, denen der Speicherplatz ausgeht, oder wenn eine Sicherungs- und Wiederherstellungsaufgabe fehlschlägt, ist ein wichtiger Teil der langfristigen Sicherheit Ihrer Daten.
Wir empfehlen Ihnen außerdem, Ihr Synology-Konto einzurichten, um unsere NAS- und Security Advisory-Newsletter zu erhalten, um über die neuesten Sicherheits- und Funktionsupdates auf dem Laufenden zu bleiben.
* Automatisches Update unterstützt nur kleinere DSM-Updates. Größere Updates erfordern eine manuelle Installation.
Weitere Informationen
Tipp 2: Führen Sie Security Advisor aus
Security Advisor ist eine vorinstallierte Anwendung, die Ihr NAS nach häufigen DSM-Konfigurationsproblemen durchsuchen kann und Ihnen Vorschläge gibt, was Sie als nächstes tun müssen, um Ihr Synology NAS zu schützen. Beispielsweise kann es häufige Dinge erkennen, z. B. das Öffnen des SSH-Zugriffs, das Auftreten abnormaler Anmeldeaktivitäten und das Ändern von DSM-Systemdateien.
Weitere Informationen
Tipp 3: Grundlegende DSM-Sicherheitsfunktionen einrichten
Sie können eine Reihe von Sicherheitseinstellungen in der Systemsteuerung konfigurieren > Registerkarte Sicherheit, um Ihre Benutzerkonten zu sichern.
IP Auto Block
Öffnen Sie die Systemsteuerung und gehen Sie zu Sicherheit > Auto Block. Aktivieren Sie die automatische Blockierung, um IP-Adressen von Clients, die sich nicht innerhalb einer bestimmten Anzahl von Malen und Zeiträumen anmelden, automatisch zu blockieren. Administratoren können auch bestimmte IP-Adressen auf eine schwarze Liste setzen, um potenzielle Brute-Force- oder Denial-of-Service-Angriffe zu verhindern.
Konfigurieren Sie die Anzahl der Versuche basierend auf der Nutzungsumgebung und der Art der Benutzer, die Ihr Gerät regelmäßig bedient. Beachten Sie, dass die meisten Haushalte und Unternehmen nur eine externe IP-Adresse für ihre Benutzer haben und dass IP-Adressen häufig dynamisch sind und sich nach einer bestimmten Anzahl von Tagen oder Wochen ändern.
Weitere Informationen
Kontoschutz
Während Auto Block IP-Adressen, bei denen ein Authentifizierungsversuch zu oft fehlgeschlagen ist, auf eine schwarze Liste setzt, schützt der Kontoschutz Benutzerkonten, indem er den Zugriff nicht vertrauenswürdiger Clients blockiert.
Gehen Sie zur Systemsteuerung > Sicherheit > Kontoschutz. Sie können den Kontoschutz aktivieren, um Konten nach einer festgelegten Anzahl fehlgeschlagener Anmeldungen vor nicht vertrauenswürdigen Clients zu schützen. Dies verbessert die Sicherheit Ihres DSM und verringert das Risiko, dass Konten Brute-Force-Angriffen durch verteilte Angriffe zum Opfer fallen.
Weitere Informationen
HTTPS aktivieren
Wenn HTTPS aktiviert ist, können Sie den Netzwerkverkehr zwischen Ihrem Synology NAS und verbundenen Clients verschlüsseln und sichern.
Gehen Sie zur Systemsteuerung > Netzwerk > DSM-Einstellungen. Aktivieren Sie das Kontrollkästchen HTTP-Verbindungen automatisch auf HTTPS umleiten. Sie stellen nun über HTTPS eine Verbindung zu DSM her. In der Adressleiste werden Sie feststellen, dass die URL Ihres Geräts mit „https://“ anstelle von „http://“ beginnt. Beachten Sie, dass die Standardportnummer für https 443 ist, während http standardmäßig Port 80 verwendet. Wenn Sie zuvor bestimmte Firewall- oder Netzwerkeinstellungen hatten, müssen Sie diese möglicherweise aktualisieren.
Weitere Informationen
Erweitert: Firewall-Regeln anpassen
Eine Firewall dient als virtuelle Barriere, die den Netzwerkverkehr von externen Quellen gemäß einem Regelsatz filtert. Gehen Sie zu Systemsteuerung > Sicherheit > Firewall, um Firewall-Regeln einzurichten, um unbefugte Anmeldung zu verhindern und den Dienstzugriff zu steuern. Sie können entscheiden, ob Sie den Zugriff auf bestimmte Netzwerkports über bestimmte IP-Adressen zulassen oder verweigern möchten, um beispielsweise den Remotezugriff von einem bestimmten Büro aus zuzulassen oder nur den Zugriff auf einen bestimmten Dienst oder ein bestimmtes Protokoll zuzulassen.
Mehr erfahren
Tipp 4: HTTPS Teil 2 – Let’s Encrypt
Digitale Zertifikate spielen eine Schlüsselrolle bei der Aktivierung von HTTPS, sind jedoch häufig teuer und schwierig zu warten, insbesondere für nicht geschäftliche Benutzer. DSM bietet integrierte Unterstützung für Let’s Encrypt, eine kostenlose und automatisierte Zertifizierungsstelle, die es jedem ermöglicht, seine Verbindungen einfach zu sichern.
Wenn Sie bereits eine registrierte Domain haben oder DDNS verwenden, gehen Sie zu Systemsteuerung > Sicherheit > Zertifikat. Klicken Sie auf Neues Zertifikat hinzufügen > Holen Sie sich ein Zertifikat von Let’s Encrypt, für die meisten Benutzer sollten Sie „Als Standardzertifikat festlegen“ aktivieren*. Geben Sie Ihren Domainnamen ein, um ein Zertifikat zu erhalten.
Sobald Sie ein Zertifikat haben, stellen Sie sicher, dass Ihr gesamter Datenverkehr über HTTPS erfolgt (wie in Tipp 3 aufgeführt).
* Wenn Sie Ihr Gerät so eingerichtet haben, dass Dienste über mehrere Domänen oder Subdomänen bereitgestellt werden, müssen Sie in der Systemsteuerung konfigurieren, welches Zertifikat von jedem Dienst verwendet wird > Sicherheit > Zertifikat > Konfigurieren
Youtube-Tutorial-Video
Tipp 5: Deaktivieren Sie das Standard-Administratorkonto
Allgemeine Administratorbenutzernamen können Ihr Synology NAS anfällig für böswillige Parteien machen, die Brute-Force-Angriffe ausführen, bei denen übliche Benutzername- und Kennwortkombinationen verwendet werden. Vermeiden Sie gebräuchliche Namen wie „admin“, „administrator“, „root“*, wenn Sie Ihr NAS einrichten. Wir empfehlen Ihnen, direkt nach der Einrichtung Ihres Synology NAS ein sicheres und eindeutiges Kennwort festzulegen und das standardmäßige Administratorkonto des Systems zu deaktivieren**.
Wenn Sie sich derzeit mit dem Benutzerkonto „admin“ anmelden, gehen Sie zu Systemsteuerung > Benutzer und erstellen Sie ein neues Administratorkonto. Melden Sie sich dann mit dem neuen Konto an und deaktivieren Sie den Systemstandard „admin“.
* „root“ ist als Benutzername nicht erlaubt.
** Wenn Sie einen anderen Benutzernamen als „admin“ verwenden, ist das Standardkonto bereits deaktiviert.
Mehr erfahren
Tipp 6: Passwortsicherheit
Ein starkes Passwort schützt Ihr System vor unbefugtem Zugriff. Erstellen Sie ein komplexes Passwort, das Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen auf eine Weise enthält, an die sich nur Sie erinnern können.
Die Verwendung eines gemeinsamen Passworts für viele Konten ist auch eine Einladung an Hacker. Wenn ein Konto kompromittiert ist, können Hacker leicht die Kontrolle über Ihre anderen Konten übernehmen. Dies geschieht regelmäßig für Websites und andere Dienstleister. Wir empfehlen, sich bei öffentlichen Überwachungsdiensten wie Have I Been Pwned oder Firefox Monitor anzumelden.
Wenn Sie Probleme haben, komplexe und eindeutige Passwörter für verschiedene Konten zu speichern, könnte ein Passwort-Manager (wie 1Password, LastPass oder Bitwarden) die beste Lösung sein. Sie müssen sich nur ein Passwort merken – ein Master-Passwort – und der Passwort-Manager hilft Ihnen beim Erstellen und Ausfüllen von Anmeldeinformationen für alle Ihre anderen Konten.
Wenn Sie ein Synology NAS verwalten, das die Authentifizierung* übernimmt, können Sie die Kennwortrichtlinie anpassen, um die Kennwortsicherheitsanforderungen für alle neuen Benutzerkonten zu verschärfen. Gehen Sie zu Systemsteuerung > Benutzer > Erweitert und aktivieren Sie das Kontrollkästchen Kennwortstärkeregeln anwenden im Abschnitt Kennworteinstellungen. Die Richtlinie wird auf jeden Benutzer angewendet, der ein neues Konto erstellt.
* Ähnliche Optionen sind auch in den Paketen LDAP-Server und Verzeichnisserver verfügbar.
Erfahren Sie mehr
Tipp 7: 2-stufige Verifizierung
Wenn Sie Ihrem Konto eine zusätzliche Sicherheitsebene hinzufügen möchten, empfehlen wir Ihnen dringend, die 2-stufige Verifizierung zu aktivieren. Um die 2-stufige Überprüfung für Ihr DSM-Konto und Ihr Synology-Konto zu erzwingen, benötigen Sie ein Mobilgerät und eine Authentifizierungs-App, die das TOTP-Protokoll (Time-Based One-Time Password) unterstützt. Für die Anmeldung sind sowohl Ihre Benutzeranmeldeinformationen als auch ein zeitlich begrenzter 6-stelliger Code erforderlich, der von Microsoft Authenticator, Authy oder anderen Authenticator-Apps abgerufen wird, um unbefugten Zugriff zu verhindern.
Wenn Sie Ihr Synology-Konto mit der Authenticator-App* verloren haben, können Sie sich mit den Backup-Codes anmelden, die während des 2-stufigen Authentifizierungs-Setups bereitgestellt wurden. Es ist wichtig, diese Codes sicher aufzubewahren, indem Sie sie irgendwo herunterladen oder ausdrucken. Denken Sie daran, diese Codes sicher, aber zugänglich zu halten.
Wenn Sie bei DSM Ihren Authentifikator verlieren, können Sie die 2-stufige Überprüfung als letzten Ausweg zurücksetzen. Benutzer der Gruppe Administratoren können die Konfiguration zurücksetzen.
Wenn nicht mehr auf alle Administratorkonten zugegriffen werden kann, müssen Sie die Anmeldeinformationen und Netzwerkeinstellungen auf Ihrem Gerät zurücksetzen. Halten Sie die Hardware-RESET-Taste auf Ihrem NAS etwa 4 Sekunden lang gedrückt (Sie hören einen Piepton), und starten Sie dann den Synology Assistant, um Ihr Gerät neu zu konfigurieren.**
* Einige Authentifizierungs-Apps unterstützen 3rd-Party-Account-basierte Backup- und Wiederherstellungsmethoden. Bewerten Sie Ihre Sicherheitsanforderungen im Vergleich zu Komfort- und Notfallwiederherstellungsoptionen.
** SHA, VMM, verschlüsselter freigegebener Ordner Automount, mehrere Sicherheitseinstellungen, Benutzerkonten und Porteinstellungen werden zurückgesetzt. Lesen Sie mehr über den Reset-Prozess
Erfahren Sie mehr
Tipp 8: Ändern der Standardports
Obwohl das Ändern der Standardports HTTP (5000) und HTTPS (5001) von DSM in benutzerdefinierte Ports gezielte Angriffe nicht verhindern kann, können häufige Bedrohungen, die nur vordefinierte Dienste angreifen, abgeschreckt werden. Um die Standardports zu ändern, gehen Sie zu Systemsteuerung > Netzwerk > DSM-Einstellungen und passen Sie die Portnummern an. Es ist auch eine gute Idee, den Standardport SSH (22) zu ändern, wenn Sie regelmäßig Shell-Zugriff verwenden.
Sie können auch einen Reverse-Proxy bereitstellen, um potenzielle Angriffsvektoren für mehr Sicherheit nur auf bestimmte Webdienste zu reduzieren. Ein Reverse-Proxy fungiert als Vermittler für die Kommunikation zwischen einem (normalerweise) internen Server und Remote-Clients und verbirgt bestimmte Informationen über den Server, z. B. seine tatsächliche IP-Adresse.
Erfahren Sie mehr
Tipp 9: Deaktivieren Sie SSH /telnet, wenn es nicht verwendet wird
Wenn Sie ein Power-User sind, der häufig Shell-Zugriff benötigt, denken Sie daran, SSH /telnet zu deaktivieren, wenn es nicht verwendet wird. Da der Root-Zugriff standardmäßig aktiviert ist und SSH / Telnet nur Anmeldungen von Administratorkonten unterstützt, können Hacker Ihr Passwort brutal erzwingen, um unbefugten Zugriff auf Ihr System zu erhalten. Wenn der Terminaldienst jederzeit verfügbar sein soll, empfehlen wir Ihnen, ein sicheres Kennwort festzulegen und die Standard-SSH-Portnummer (22) zu ändern, um die Sicherheit zu erhöhen. Sie können auch in Betracht ziehen, VPNs zu nutzen und den SSH-Zugriff nur auf lokale oder vertrauenswürdige IPs zu beschränken.
Weitere Informationen
Tipp 10: Freigegebene Ordner verschlüsseln
DSM unterstützt die AES-256-Verschlüsselung Ihrer freigegebenen Ordner, um die Datenextraktion vor physischen Bedrohungen zu verhindern. Administratoren können neu erstellte und vorhandene freigegebene Ordner verschlüsseln.
Um vorhandene freigegebene Ordner zu verschlüsseln, gehen Sie zu Systemsteuerung > Freigegebener Ordner und bearbeiten Sie den Ordner. Richten Sie auf der Registerkarte Verschlüsselung einen Verschlüsselungsschlüssel ein, und DSM beginnt mit der Verschlüsselung des Ordners. Wir empfehlen dringend, die generierte Schlüsseldatei an einem sicheren Ort zu speichern, da verschlüsselte Daten ohne die verwendete Passphrase oder die Schlüsseldatei nicht wiederhergestellt werden können.
Erfahren Sie mehr
Bonus—Tipp: Datenintegrität
Datensicherheit ist untrennbar mit der Konsistenz und Genauigkeit Ihrer Daten verbunden – Datenintegrität. Datensicherheit ist eine Voraussetzung für die Datenintegrität, da unbefugter Zugriff zu Datenmanipulationen oder Datenverlust führen und Ihre kritischen Daten unbrauchbar machen kann.
Sie können zwei Maßnahmen ergreifen, um die Genauigkeit und Konsistenz Ihrer Daten sicherzustellen: aktivieren der Datenprüfsumme und Ausführen von S.M.A.R.T. Tests regelmäßig. Wir haben in unseren vorherigen Blogbeiträgen über diese beiden Sicherheitsmethoden geschrieben – überprüfen Sie sie für weitere Informationen.
Wichtiger denn je
Online-Bedrohungen entwickeln sich ständig weiter und die Datensicherheit muss ebenso vielfältig sein. Da immer mehr vernetzte Geräte zu Hause und am Arbeitsplatz eingeführt werden, wird es für Cyberkriminelle einfacher, Sicherheitslücken auszunutzen und Zugang zu Ihrem Netzwerk zu erhalten. Sicher zu bleiben ist nicht etwas, was Sie einmal tun und dann vergessen, es ist ein fortlaufender Prozess.