Ransomware-Schutz mit Synology NAS

NAS-Systeme vor Ransomware schützen

| Autor / Redakteur: Philip Rankers / Peter Schmitz

Moderne NAS-Laufwerke kommen immer öfter auch in KMU zum Einsatz und speichern Terabyte an Unternehmensdaten. Ransomware-Schutz ist deshalb auch für ein NAS unerlässlich.
Moderne NAS-Laufwerke kommen immer öfter auch in KMU zum Einsatz und speichern Terabyte an Unternehmensdaten. Ransomware-Schutz ist deshalb auch für ein NAS unerlässlich. (© JaizAnuar - stock.adobe.com, Synology)

Ransomware verschlüsselt nicht nur lokale Daten des infizierten Computers, sondern ebenso angeschlossene USB-Medien und verbundene Netzlaufwerke. Das macht diese Spezies an Schadprogrammen auch für NAS-Systeme extrem gefährlich, ohne dass diese selbst infiziert sein müssen. Doch es gibt Methoden, die gespeicherten Daten vor ungewollter Verschlüsselung zu schützen. Wie das geht, zeigen wir am Beispiel eines Synology NAS.

Im digitalen vernetzten Zeitalter nimmt die Verschlüsselung von Daten sowohl bei Privat- als auch Geschäftsanwendern einen hohen Stellenwert ein und gehört in den meisten Fällen schon zum Standard. Informationen werden über gesicherte SSL- oder VPN-Verbindungen transferiert und verschlüsselte Dateicontainer schützen Computer und mobile Speichermedien vor unbefugten Zugriffen.

Dass ein Zugriff auf die verschlüsselten Daten ohne entsprechendes Passwort unmöglich oder nur mit viel Zeit- und Geldaufwand verbunden ist, kennen vor allem Nutzer, die schon einmal ihr Passwort vergessen haben oder ungewollten Verschlüsselungsangriffen, sogenannter Ransomware, ausgesetzt waren.

Ransomware ist kein neues Thema und sollte spätestens seit WannaCry auch bei Privatanwendern für ein verstärktes Sicherheitsverständnis gesorgt haben. Vor allem Unternehmen mit vernetzten Strukturen und zentralen Dateiservern benötigen gut durchdachte Sicherheits- und Backup-Konzepte, um nicht Opfer von Ransomware zu werden.

Warum ist Ransomware für NAS und Dateiserver gefährlich?

Das Gefährliche an moderner Ransomware ist, dass nicht nur lokale Daten des infizierten Computers, sondern auch angeschlossene USB-Medien und verbundene Netzlaufwerke verschlüsselt werden. Der vom Client ausgehende ungewollte Verschlüsselungsvorgang ist für den verbundenen Netzwerkspeicher beziehungsweise Server ein klassischer Zugriff des Users - für das System daher nicht als ungewollte Aktion oder Angriff zu erkennen. So wird ein NAS schnell zum passiven Opfer einer Verschlüsselung, ohne selber mit Ransomware infiziert zu sein.

Neben systemspezifischen Angriffen sind auch Protokolle im Visier der Kriminellen, wie zum Beispiel die SambaCry-Thematik aus dem Jahr 2017, welche weltweit und systemübergreifend das SMB1-Protokoll betraf. Laut dem Hersteller Synology ist aktuell keine Ransomware für Synology-Systeme bekannt. Jedoch gab es im dritten Quartal 2014 den sogenannten Synolocker, der Systeme mit veralteter Firmware angegriffen hat, wobei das Sicherheitsupdate bereits Ende 2013, also 8 Monate zuvor, zur Verfügung gestellt wurde.

Sicherheitslücken erst gar nicht entstehen lassen

Computer werden standardmäßig mit Virenscannern und automatischen Updates versehen. Das Gleiche muss auch für NAS-Systeme gelten. Diese sind nämlich in der Regel noch stärker mit dem lokalen Netzwerk als auch dem Internet verbunden, um Daten und Services für interne und externe Nutzer bereitzustellen. Der Diskstation Manager von Synology bietet viele Funktionen, Einstellungen und Pakete, um das System abzusichern und an die Bedürfnisse des Nutzers anzupassen.

Bei den Update-Einstellungen für das Betriebssystem DSM stehen Anwendern je nach Belieben oder Vorgaben des Arbeitgebers eine Vielzahl von Optionen offen, so dass das System manuell oder automatisch zu einem beliebigen Zeitpunkt aktualisiert werden kann. Zudem besteht die Möglichkeit, alle zur Verfügung gestellten Updates oder nur die wichtigsten zu installieren. Da einige davon einen Neustart des Systems fordern, ist es ratsam, diese außerhalb der Geschäftszeiten einzuspielen.

Datensicherungen sind Pflicht

Die Systemsteuerung bietet weitere Sicherheitseinstellungen, um sich beispielsweise vor DoS- oder Cross-Site-Request-Forgery-Attacken zu schützen. Diese lassen sich mit einem Klick aktivieren. Die bereits integrierte Firewall bietet zusätzlichen Schutz und kann frei vom Nutzer konfiguriert werden, um eingehende und ausgehende Anfragen nach Belieben zu steuern oder zu blocken. Ebenfalls arbeitet das System ab Werk mit dem SMB2-Protokoll, um Gefahren durch das unsichere SMB1-Protokoll (SambaCry) zu vermeiden. Auf Wunsch lässt sich das SMB1-Protokoll bei Bedarf auch wieder aktivieren.

Klassische Antivirenscanner-Lösungen können direkt über das Paketzentrum installiert werden. Zur Auswahl stehen das kostenlose "Antivirus Essential", welches auf dem Open-Source Clam AV basiert, sowie der kostenpflichtige McAfee Virenscanner, welcher direkt von McAfee für Synology-Systeme mit Intel CPU entwickelt und angeboten wird. Beide Scanner sind in der Lage mögliche Schädlinge in Dateien zu finden, zu löschen oder in die Quarantäne zu verschieben.

Trotz aller Sicherheitsmaßnahmen, kann keiner in die Zukunft schauen und garantieren, dass die Daten oder Systeme sicher sind. Datensicherungen sind daher Pflicht, um sich vor Angriffen, Hardwareausfall oder einfach nur durch den User verursachte Änderungen oder Löschungen zu schützen.

Gut abgesichert mit der 3-2-1 Regel und den richtigen Systemen

Ein gern genommener Anhaltspunkt für ein sicheres Backup-Konzept ist die 3-2-1-Regel. Von jeder wichtigen Datei sollten drei Kopien erstellt werden, welche auf zwei unterschiedlichen Systemen abgelegt sind, wovon mindestens eine an einem externen Standort aufbewahrt werden soll.

Was diese Regel aber nicht berücksichtigt ist der Punkt der Wiederherstellung. Dieser darf aber bei der Planung der Backup-Ziele auf keinen Fall fehlen, da die Verfügbarkeit und Erreichbarkeit von Sicherungen im Wiederherstellungsfall Zeit und Kosten bedeutet. Gerade dann, wenn es darum geht große Datenmengen schnell wieder zentral verfügbar zu machen, können ansonsten lange Ausfallzeiten entstehen.

Daher gilt es vorher zu überlegen wie schnell große Backups von Cloud Anbietern heruntergeladen werden oder wie schnell extern gelagerte USB -Backups dem Unternehmen auf neuer Hardware wieder zentral zur Verfügung stehen können.

Erweiterbare Business-NAS-Systeme

Um späteren Zeit- und Kostenaufwand zu vermeiden, sollten Unternehmen bei der Anschaffung eines Produktiv- oder Backup-NAS zu einem Business-NAS greifen. Die Lösungen verfügen über alle angebotenen Softwarefunktionen und lassen sich bei Bedarf um Festplatten, RAM und im besten Fall auch um Netzwerkkarten erweitern. Wer vorab bedacht und großzügiger plant, kann später Kosten und Zeit für den Kauf und die Migration auf neue Systeme vermeiden.

Wachsenden Anforderungen lässt sich jederzeit durch entsprechende Systemanpassungen begegnen - so können bei Kapazitätsmangel einfach neue Festplatten in einen der freien Slots gesteckt oder eine zusätzliche Expansionseinheit angeschlossen werden. Sollte die Netzwerkstruktur später auf 10GbE umgestellt werden, lässt sich das NAS ebenfalls um 10GbE Base-T oder SFP+ aufrüsten, um den Zugriff der User beschleunigen und die Dauer der Backups minimieren.

Um eine automatisierte Backup-Umgebung mit schnellen Wiederherstellungszeiten aufzubauen, empfiehlt es sich, mehrere NAS-Systeme und eine Kombination aus Snapshots, Replikationen und Backups zu verwenden. Hier eignen sich aktuelle Modelle aus der Synology "Plus"-Serie ab vier Festplatteneinschüben, da die Systeme erweiterbar sind. Zudem steht ab dieser Serie das btrfs-Dateisystem zur Verfügung und somit auch alle verfügbaren Synology Business-Pakete. Bereits installierte Synology-Systeme mit ext4-Dateiformat, müssen für das btrfs-Dateiformat neu aufgesetzt werden, da eine Umwandlung des Dateisystems im laufenden Betrieb nicht möglich ist.

Zentrale Daten mit den richtigen Mitteln sichern

Jedes Synology Business-NAS bietet eine Vielzahl an Optionen, um die auf dem NAS befindlichen Daten mit Snapshots, Synchronisationen und zeitgesteuerten Backups lokal oder extern zu versionieren und zu sichern. Um eine für das Unternehmen passende Backup-Strategie umsetzen zu können, ist es wichtig, die Kernfunktionen der Sicherungs- und Wiederherstellungsoptionen zu kennen. Ein passendes Sicherheitskonzept lässt sich aus den beiden kostenlosen Paketen "Snapshot Replication" und "Hyper Backup" erstellen.

Auf der Herstellerseite lässt sich einfach überprüfen welche Pakete auf welchen Synology-Systemen verfügbar sind und welche Anforderungen erfüllt werden müssen.

Lokale Snapshots - Daten schützen und Ausfallzeiten vermeiden

Das Paket Snapshot Replication steht allen aktuellen 64 Bit Synology NAS-Systemen mit btrfs-Dateiformat kostenlos zur Verfügung und bietet die Option, lokale und replizierte Snapshots der Daten zu erstellen.

Lokale Snapshots sind im Gegensatz zu einem Backup oder einer Synchronisation keine Kopie der Daten, sondern eine systemseitige Verlinkung der geänderten Blöcke (Versionen) zur originalen Datei. Das System kann für beliebige Ordner bis zu 1.024 lokale Snapshot-Versionen erstellen, wobei Zeitpunkt und die Aufbewahrungsfristen der Versionen frei selektierbar sind. Das Erstellen als auch Wiederherstellen eines Snapshots benötigt kaum Systemressourcen und kann in wenigen Sekunden ohne Beeinträchtigung auch auf einem produktiven System durchgeführt werden.

Die Größe des Snapshots richtet sich immer nach dem Delta zur vorherigen Version und den aktuellen Veränderungen. Der Speicherplatz für Snapshots muss daher bei der Kapazitätsplanung mit einkalkuliert werden, wobei das System auf Basis existierender Snapshots den Trend der Speicherbelegung durch Snapshots aufzeigt.

Geht es darum, unbeabsichtigt gelöschte, veränderte oder verschlüsselte vollständige Datenbestände, Ordner oder einzelne Dateien wiederherzustellen, sparen Snapshots im Vergleich zu Backups viel Zeit. Daher sollten sie an erster Stelle der Datensicherung stehen.

Tipp: Da jeder Snapshot einen Wiederherstellungspunkt der täglichen Arbeit repräsentiert, sollten die Abstände der Snapshots so gering wie möglich gehalten werden. Wer zum Beispiel während der Arbeitszeit alle 30 Minuten (oder häufiger) einen Snapshot erstellt und diesen sieben Tage aufbewahrt, ist auf der sicheren Seite, um jüngste, ungewollte Änderungen kurzfristig wieder rückgängig zu machen.

Da lokale Snapshots Bestandteil des Dateisystems sind, schützen diese nicht vor einem Hardwareausfall. Um den Ausfall des produktiven NAS-Servers aufzufangen und den Datenbestand kurzfristig wieder zentral zur Verfügung zu stellen, wird sowohl eine Kopie der Daten als auch ein Ersatz-NAS benötigt.

Snapshot Replikation – Die kleine Schwester der Hochverfügbarkeit

Die Snapshot-Replikation stellt eine reduzierte Art der Hochverfügbarkeit dar und bietet in Kombination mit einem zweiten Synology-NAS eine schnelle manuelle Fallback-Lösung für Datenbestände. Um dies zu realisieren wird der initiale Datenbestand und anschließend die Snapshots im laufenden Betrieb vom Produktiv-NAS auf das Replikations-NAS synchronisiert. Die Daten und Snapshots werden schreibgeschützt auf dem Replikations-NAS abgelegt und so vor Veränderungen geschützt. Die Snapshot-Aufbewahrungszeiten auf dem Replikations-NAS können gesondert vom Produktiv-NAS eingestellt werden, so dass sich auf der Backup-Seite mehrere Snapshot-Versionen befinden können um beispielsweise ein größere Backup-Historie aufzubauen.

Sollte das produktive NAS nicht verfügbar sein, gibt ein manueller Failover in wenigen Minuten den kompletten Datenbestand auf dem Replikations-NAS zur temporären Bearbeitung für die Nutzer frei. Es muss nur sichergestellt sein, dass die Anwender auf die IP des Backup-NAS geroutet werden oder ihnen die IP des Replikations-NAS mitgeteilt wird. Um ihre Zugriffszeiten nicht zu beeinträchtigen, ist es ratsam ,das Replikations-NAS im lokalen Firmennetzwerk - zum Beispiel in einem gesonderten Brandabschnitt oder zusätzlich gesicherten Raum - aufzustellen.

Trotz aller Sicherheitsvorkehrungen, ist eine externe Sicherung Pflicht, um sich vor großen Netzwerkangriffen oder sogar Elementarschäden wie Feuer abzusichern. Für eine externe Sicherung kann ebenfalls die Snapshot-Replikation genutzt werden, da diese den Datenbestand auf bis zu drei lokale oder externe Synology-Systeme via fester IP, DynDNS oder VPN replizieren kann.

Eine weitere Möglichkeit Daten extern oder auf mobilen Medien zu sichern, stellen klassische Backups dar.

Hyper Backup – Datensicherung in alle Richtungen

Das Paket "Hyper Backup" ist auf jedem aktuellen Synology NAS kostenlos verfügbar und kopiert die auf dem System befindlichen Daten inklusive der Einstellungen zeitgesteuert und versioniert auf eine Vielzahl von Backup-Zielen.

Die Software unterstützt lokal angeschlossene USB-Medien wie Festplatten oder RDX-Laufwerke und eine große Auswahl an externen Backup-Zielen wie Synology NAS-Systeme, WebDav-Server, Rsync-Server oder die hauseigenen Synology C2 Backup Cloud. Ebenfalls stehen diverse bekannte Cloud-Services wie Strato HiDrive, Microsoft Azure, Google Drive, Amazon Drive etc. zur Verfügung.

Funktionsweise

Nach dem ersten Backup werden Veränderungen inkrementell auf Block-Ebene gesichert und im Backup-Container abgelegt. Dies spart Bandbreite und Speicherplatz, da nur veränderte Blöcke der jeweiligen Dateien übertragen und auf das Backup-Ziel geschrieben werden. Backup-Container können auf jedem Synology NAS geöffnet und einzelne Dateien oder das ganze Backup-Set wiederhergestellt werden. Ist kein Synology NAS verfügbar, stellt der Hersteller das kostenlose Programm Hyper Backup Explorer für Windows, Linux und MAC Systeme zur Verfügung.

Wer auf Versionierung verzichten möchte und Wert auf eine Eins-zu-Eins-Kopie seiner Daten legt, kann mit der Hyper Backup Option "Dateikopie"ein unversioniertes, dateibasiertes Backup seiner Daten auf USB-Medien, Synology NAS sowie Rsync-fähigen Servern ablegen und diese an jedem beliebigen Computer auslesen, sofern dieser das Dateiformat des USB-Speichers auslesen kann.

Hyper Backup benötigt im Gegensatz zur Snapshot-Replikation mehr Zeit und Speicherplatz, um ein Backup wieder bereitzustellen, da der pensionierte Container erst noch komplett entpackt werden muss. Dafür punktet die Lösung mit einer Vielzahl an Backup-Zielen, so dass die 3-2-1-Regel schnell umgesetzt werden kann. Cloud-Gegner und -Nutzer mit schlechten Internetanbindungen, könnten auf diese Weise ihre gewohnten USB-Backups fahren und sicher im Safe oder zu Hause beim Chef aufbewahren.

Tipp: Nutzer mit langsamer Internetanbindung können das initiale Backup mit einer USB-HDD einspielen oder das Backup-NAS im lokalen LAN einrichten und anschließend an seinen Bestimmungsort bringen.

Die Mischung macht es aus

Das Backup muss sich dem Unternehmen anpassen - sowohl im Hinblick auf die bestehende IT-Infrastruktur als auch das verfügbare Budget. Das Synology-Paket Hyper Backup bietet eine Lösung für alle Synology-Systeme, um Daten sicher und versioniert auf vielen Systemen oder Services abzulegen.

Die wesentlich schnellere Verfügbarkeit bietet hingegen die Snapshot-Replikationsfunktion für alle Business Modelle. Die leicht höheren Anschaffungskosten für weitere Replikation- oder Backup-NAS-Systeme relativieren sich, sobald im Bedarfsfall der Datenbestand ohne großen Zeit- und Personalaufwand wieder zur Verfügung steht.

Über den Autor: Philip Rankers ist Senior Product Manager bei Synology. Seit 2012 betreut er Synology Partner sowie Key Accounts und ist fester Bestandteil der Synology Partner Workshops. "Durch den direkten Kontakt zu Partnern und Geschäftskunden, bekommt man schnell ein Gespür dafür, welche Datensicherungen beziehungsweise –verfügbarkeiten für den Nutzer passend wären und wo die Schwachstellen der aktuellen Konzepte liegen. Kunden verwechseln Datensicherung oft mit Datenverfügbarkeit und sind aufgrund der vielen Lösungen am Markt überfordert. Gerade Kunden, die ein NAS aus Tradition nur als "dummen" Backupserver ansehen, übersehen wie viele Möglichkeiten ein modernes NAS bereits mit sich bringt. Es ist immer wieder schön in einem Gespräch zu hören: "Ach echt, das geht? Muss ich mal ausprobieren."

* Diesen Beitrag haben wir von unserem Schwesterportal Security-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45550933 / Storage-Security)