Mobile-Menu

Backup-Daten sichern So werden NAS-Geräte fit gegen Cyberbedrohungen

Von Udo Schneider*

Anbieter zum Thema

NAS-Geräte (Network Attached Storage) sind als zuverlässige Hochleistungsspeicher, die Konnektivität und den Zugang zum Internet der Dinge sichern, sehr beliebt. Lange Zeit für Cyberkriminelle uninteressant, rücken sie derzeit immer mehr in den Fokus von Ransomware-, Botnet- und Malware-Attacken. Die Hersteller von NAS-Geräten haben sich teilweise auf Bedrohungen eingestellt – doch Anwender müssen dennoch zusätzlich aktiv werden, um Angriffe zuverlässig zu stoppen.

Security für NAS-Geräte: Welche Gefahren drohen? Und wie kann man NAS-Systeme dagegen schützen?
Security für NAS-Geräte: Welche Gefahren drohen? Und wie kann man NAS-Systeme dagegen schützen?
(Bild: © Сake78 (3D & photo) - stock.adobe.com )

Ob das Streamen von Daten, interaktive Webseiten oder der Zugang zu weiteren IoT-Anwendungen (Internet of Things): Unternehmen sind immer häufiger gefordert, den Zugriff auf Daten auch remote sicherzustellen. Um über verschiedene Geräte von mehreren Orten aus auch remote zusammenzuarbeiten und den Zugang zum Internet der Dinge zu sichern, setzen kleine und mittlere Firmen zunehmend Network Attached Storage (NAS) ein.

Dieser lässt sich leicht ins Netzwerk integrieren, ist direkt an das Netzwerk angebunden und ermöglicht den kabellosen Zugriff auf Daten von Endpoints aus. Anwender erreichen damit auch ohne teure und langwierige Cloud-Migration eine hohe Flexibilität für den Datenaustausch und die Datenspeicherung. Diese praktische und sichere Möglichkeit, einen Hochverfügbarkeitsspeicher bereitzuhalten, ist in den vergangenen Jahren jedoch immer mehr zum Sicherheitsrisiko geworden. Denn verstärkt nehmen Cyberkriminelle auch NAS-Geräte ins Visier – und sie haben Erfolg.

Warum sind NAS-Geräte gefährdet?

Um ein NAS-Gerät einzusetzen, ist keine komplizierte Implementierung ins Netzwerk notwendig. Hier gilt: auspacken, anschließen, fertig. Dass es erforderlich sein könnte, in zusätzliche Sicherheits-Software zu investieren oder vor Betrieb komplexe Härtekonfigurationen vorzunehmen, kommt Anwendern in diesem Fall selten in den Sinn. Einmal in Betrieb, rücken die zuverlässigen Geräte ebenfalls aus dem Blickpunkt der Anwender. So kommt es, dass Sicherheits-Patches nicht ausgeführt oder selbst das AAA-Prinzip (Authentifizierung, Autorisierung, Abrechnung) nicht angewendet wird. Nicht einmal ein Standardpasswort wird in vielen Fällen geändert.

Hinzu kommt, dass die Geräte auch von Herstellerseite nicht gerade auf eine erhöhte Sicherheit abgestimmt sind. Zwar warnen sie den Anwender in der Regel, falls ein Sicherheitsupdate notwendig wird, sie machen diese Installation jedoch nicht zur Pflicht. Damit bleiben alte und anfällige Firmware-Versionen unter Umständen viel zu lange in Aktion, so dass Angreifer leichtes Spiel haben, Sicherheitslücken zu finden.

Und diese Angreifer greifen immer häufiger auch auf NAS-Geräte zu, verlockt durch die Fülle an Geschäfts- oder privaten Daten, die dort bereitliegt und gegen Lösegeld verschlüsselt werden kann. Zusätzlich bieten NAS-Geräte aufgrund der in ihnen eingesetzten Industriestandard-Prozessoren einen direkten Einstieg in das Internet und damit auf weitere angreifbare Geräte.

Welche Gefahren bestehen für NAS?

Die äußerst universale Einsatzfähigkeit der NAS-Lösungen hat dazu beigetragen, dass Unternehmen immer häufiger auf diese Geräte angewiesen sind. Doch die oben angesprochenen Risiken sind den Anwendern noch kaum bewusst. Cyberkriminelle hingegen haben längst verstanden, dass der Zugriff auf die internetfähigen Datenspeicher lohnend und vielfach auch einfach ist. Ob Ransomware, Botnetze, Kryptominer oder Malware – sie nutzen alle ihnen zur Verfügung stehenden Mittel, um die häufig unzureichenden Sicherheitsvorkehrungen zu umgehen.

Beispielsweise sind Geräte des Herstellers Qnap besonders gefährdet, Attacken der Ransomware-Familien REvil oder Qlocker zum Opfer zu fallen. Qlocker basiert auf Python und verwendet das Dienstprogramm 7-Zip, um die Dateien auf dem NAS per generiertem Passwort zu verschlüsseln. REvil hingegen ist in zwei verschiedenen Varianten im Umlauf, die beide die Verschlüsselung von NAS-Geräten unterstützen. REvil galt seit September 2021 aufgrund eines Ausfalls der Server als nahezu verschwunden. Diese Server sind laut den Experten von Trend Micro jedoch wieder aktiv, und es ist zu erwarten, dass es zu einer neuen Angriffswelle kommt. Aber auch Anwender anderer Geräte sollten sich nicht in falscher Sicherheit wiegen, da auch die Systeme anderer Hersteller Lücken haben, auf die sich Cyberkriminelle verstärkt konzentrieren.

Für Botnetze zeigen sich NAS-Geräte besonders anfällig, da bei einer Kompromittierung Angreifer leicht Root-Zugriff auf das Linux-Betriebssystem erhalten können. Daher infizieren viele Botnets, die Router, Kameras und andere IoT-Geräte angreifen, zunächst NAS-Geräte. Eine hohe Bedrohung geht von StealthWorker aus, der ganz gezielt Linux-Systeme ins Visier nimmt. Neuere Versionen sind sogar in der Lage, Brute-Force-Attacken auszuführen und somit Server zu kompromittieren. Darüber hinaus ist seit der Veröffentlichung des Quellcodes für Mirai im Jahr 2016 eine wachsende Anzahl an Malware-Familien entstanden, die IoT-Geräte angreifen, um Botnetze zu erstellen und zu vergrößern.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

CPU-basierte Kryptominer, beispielsweise UnityMinder oder Dovecat, nutzen anfällige Software oder andere Sicherheitslücken von NAS-Geräten, um SSH-Anmeldedaten (Secure Socket Shell) zu erzwingen und sich Zugang zu den angeschlossenen Systemen zu verschaffen. Sie haben es vor allem auf die modernen CPUs der NAS abgesehen, die in der Regel für Streaming-Dienste verwendet werden.

Ausschließlich auf NAS-Geräte von Qnap zielt die Malware-Familie QSnatch ab. Laut einem Bericht des US-amerikanischen National Cyber Security Center (NCSC) und der Cybersecurity and Infrastructure Security Agency (CISA) waren Mitte Juni 2020 circa 62.000 NAS dieses Herstellers mit QSnatch infiziert. Diese Malware ist sehr fortgeschritten und fähig, sowohl das integrierte Clam-AV-Virenschutzprogramm als auch McAfee-Antivirus zu deaktivieren.

Cyberattacken wirksam vermeiden

NAS-Geräte haben ihren Platz als entscheidender Baustein der Speicher- und Backup-Strategie für Unternehmen wie für Privatpersonen gefunden. Aufgrund ihrer Relevanz für das Gesamtsystem wie auch aufgrund der wachsenden Bedrohung durch Cyberkriminelle müssen sie ebenso wirksam gesichert werden wie alle anderen Bestandteile von IT-Umgebungen auch. Die Experten von Trend Micro haben nicht nur die obenstehenden Bedrohungsszenarien im Report „Backing your Backup – Defending NAS Devices Against Evolving Threats“ evaluiert, sie geben auch Ratschläge für einen solchen wirksamen Schutz.

  • Der erste Ratschlag: NAS-Geräte sollten niemals direkt mit dem Internet verbunden werden. Auch wenn die großen Hersteller eigene Cloud-Dienste für den Zugriff auf das Internet anbieten, sind diese dennoch stets mit Risiken behaftet. Besser und sicherer fahren Anwender, wenn sie eigene VPNs (Virtual Private Network) aufsetzen.
  • Gerät einschalten, Daten speichern, fertig? Nein! Eigentlich sollte es selbstverständlich sein, die Standard-Anmeldedaten bei Inbetriebnahme sofort zu ändern. Doch genau dies geschieht nur allzu häufig nicht. Wer zum Beispiel „admin“ als Benutzername einfach stehen lässt, kann fast schon sicher sein, Opfer eines Brute-Force-Angriffs zu werden. Die Nachlässigkeit ihrer Anwender bügeln manche NAS-Geräte aus, indem sie die Verwendung derart simpler Benutzernamen nicht mehr gestatten. Wo sie dies nicht tun, hilft nur eines: einen sicheren Benutzernamen vergeben.
  • Die Zwei-Faktor-Authentifizierung (2FA) verhindert Brute-Force-Angriffe, indem sie zur Authentifizierung einen weiteren Schritt notwendig macht. Die meisten großen Hersteller von NAS unterstützen 2FA, indem sie die einfache Einrichtung von Hardware-Schlüsseln, Google-Authenticator oder weiterer standardisierter Methoden ermöglichen.
  • Veraltete oder nicht gewartete Software ist eines der Haupteinfallstore für Attacken auf NAS-Geräte. Daher sollte ungenutzte Software vom NAS möglichst deinstalliert werden. Anwender sollten besonders vorsichtig sein, wenn sie die Anwendungen von Drittanbietern nutzen, die über Community Stores oder im Internet verfügbar sind. Sicherer ist es, stattdessen die vom NAS-Hersteller bereitgestellten, geprüften Anwendungen zu nutzen.
  • Über die genannten Vorsichtsmaßnahmen hinaus empfehlen die Experten von Trend Micro, die Online-Sicherheitsleitfäden des NAS-Hersteller genau zu lesen. Denn diese Checklisten enthalten Best Practices, mit denen die NAS-Geräte gegen die obengenannten Angriffe deutlich widerstandsfähiger gemacht werden können.
  • Die Maßnahmen, um ein NAS sicher zu machen, sind weder kompliziert noch sonderlich aufwendig. Sie können aber durchaus einen Unterschied machen und zum sicheren Betrieb der zuverlässigen Datenspeicher beitragen.

*Der Autor: Udo Schneider, IoT Security Evangelist bei Trend Micro

Das Storage-Kompendium zum Thema – kostenfreier Download

Die Anforderungen an die Datensicherung sind so hoch wie nie, und die Anzahl der Fälle, in denen ein Disaster Recovery notwendig ist, nimmt rasant zu. Was also gilt es beim Backup zu beachten?

Backup & Disaster Recovery – Strategien und Lösungen

Storage-Kompendium „Backup & Disaster Recovery“
(Bild: Storage-Insider)

Die Hauptthemen des Kompendiums sind:

  • Storage Class Memory (SCM)
  • Backup- und DR-Strategien/-Lösungen
  • As-a-Service-Modelle
  • Disaster Recovery
  • Datenmanagement
  • Hochverfügbarkeit von Daten (HA)
  • Business Continuity (BC)
  • Data Governance

(ID:48106329)