Sicherheit & Datenschutz: Der vollständige Experten-Guide

Bedrohungslandschaft für NAS-Systeme: Ransomware, Brute-Force und Zero-Day-Exploits

NAS-Systeme sind längst keine Nischenprodukte mehr – und genau deshalb stehen sie im Visier professioneller Angreifer. Zwischen 2020 und 2023 haben sich gezielte Angriffe auf QNAP, Synology und Western Digital NAS-Geräte mehr als verdreifacht. Der Grund ist simpel: Diese Geräte speichern zentral die wertvollsten Daten eines Haushalts oder Unternehmens, sind häufig rund um die Uhr erreichbar und werden im Vergleich zu klassischen Servern erschreckend selten gepatcht.

Ransomware-Kampagnen gegen NAS: Qlocker, DeadBolt und ihre Nachfolger

Die Qlocker-Kampagne im April 2021 machte schlagartig deutlich, was auf dem Spiel steht: Innerhalb weniger Wochen verschlüsselten Angreifer die Daten von über 250.000 QNAP-Geräten weltweit und forderten jeweils 0,01 Bitcoin als Lösegeld – damals rund 500 Euro. Die Schwachstelle war eine bekannte Lücke in der HBS 3-Backup-Software, für die ein Patch bereits existierte. DeadBolt folgte 2022 mit einem ähnlichen Muster, diesmal über eine Zero-Day-Lücke in QTS, und traf erneut Zehntausende ungesicherter Geräte. Der gemeinsame Nenner beider Kampagnen: automatisiertes Scanning über Shodan und Censys, gefolgt von massenhafter Exploitation ohne manuellen Aufwand.

Wer seine Geräte systematisch gegen solche Angriffsvektoren absichert, reduziert das Risiko erheblich – aber nur dann, wenn Absicherung als kontinuierlicher Prozess und nicht als einmalige Konfiguration verstanden wird. Ransomware-Gruppen aktualisieren ihre Exploits schneller, als viele Administratoren ihre Firmware einspielen.

Brute-Force und Credential Stuffing: Der unterschätzte Dauerangriff

Brute-Force-Angriffe auf NAS-Systeme laufen oft unbemerkt im Hintergrund. Shodan-Analysen zeigen regelmäßig sechsstellige Zahlen offen erreichbarer NAS-Geräte allein in Deutschland – viele davon noch mit Standard-Zugangsdaten. Credential Stuffing nutzt dabei geleakte Passwortlisten aus anderen Datenpannen: Wer auf seinem NAS dasselbe Passwort verwendet wie bei einem kompromittierten Online-Dienst, gibt Angreifern damit praktisch den Schlüssel in die Hand. Automatisierte Tools wie Hydra oder Medusa können mehrere hundert Login-Versuche pro Minute durchführen – ohne nennenswerte Serverauslastung beim Angreifer.

Besonders kritisch ist die Situation bei Geräten, die ab Werk mit dem Benutzernamen „admin" und einem leeren oder trivialen Passwort ausgeliefert werden. Warum das sofortige Ändern werksseitig gesetzter Zugangsdaten keine Option, sondern eine Grundvoraussetzung ist, zeigt die Auswertung kompromittierter Geräte: In über 60 Prozent der forensisch untersuchten NAS-Einbrüche spielten schwache oder unveränderte Standard-Credentials eine entscheidende Rolle.

Konkrete Gegenmaßnahmen umfassen:

• Account-Lockout-Richtlinien nach maximal 5 Fehlversuchen aktivieren
• Geo-IP-Blocking für Regionen ohne legitimen Zugriffsbedarf konfigurieren
• Zwei-Faktor-Authentifizierung für alle administrativen Accounts erzwingen
• Direkte Erreichbarkeit des Admin-Ports (Standard: 8080/443) über das offene Internet unterbinden

Zero-Day-Exploits stellen die dritte und gefährlichste Kategorie dar, weil gegen sie zum Zeitpunkt der Ausnutzung kein Patch existiert. QNAP allein meldete 2022 und 2023 jeweils über 40 CVEs mit CVSS-Scores über 7,0. Die Angriffsfläche umfasst dabei nicht nur das Betriebssystem QTS oder QuTS hero, sondern alle installierten Pakete – von der Foto-App bis zum VPN-Server. Wer unnötige Dienste und Apps deinstalliert, reduziert diese Angriffsfläche messbar, unabhängig davon, ob Patches verfügbar sind oder nicht.

Passwort-Strategien und Zugriffskontrollen für lokale und Cloud-gebundene Speichersysteme

Die schwächste Stelle in jedem Speichersystem ist fast immer die Authentifizierung – nicht die Hardware, nicht die Verschlüsselung. Angriffe auf NAS-Systeme beginnen zu über 70 Prozent mit kompromittierten Zugangsdaten, oft weil Standardpasswörter nie geändert wurden. Wer sein QNAP-System in Betrieb nimmt, ohne die werksseitig gesetzten Credentials sofort zu ersetzen, öffnet Angreifern buchstäblich die Haustür – die Standard-Passwörter sind in öffentlichen Datenbanken dokumentiert und werden automatisiert abgefragt.

Ein starkes Passwort ist heute keine Empfehlung mehr, sondern Pflicht. Die Mindestanforderung liegt bei 16 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Passphrasen wie "Kaffee-Tisch-Wolke-47!" erreichen diese Komplexität und bleiben trotzdem memorierbar. Für Administrationskonten gilt außerdem: niemals dasselbe Passwort für mehrere Dienste, niemals dasselbe Passwort wie für das zugrundeliegende Betriebssystem des NAS.

Zugriffskontrollen: Least-Privilege als operatives Prinzip

Das Prinzip der minimalen Rechtevergabe – Least Privilege – bedeutet konkret: Jeder Benutzer erhält ausschließlich die Berechtigungen, die er für seine spezifischen Aufgaben benötigt. Ein Mitarbeiter, der Dokumente ablegt, braucht keine Schreibrechte auf System-Volumes. Ein automatisiertes Backup-Skript benötigt keinen administrativen Zugang. Diese Granularität erfordert initial Aufwand, reduziert aber den Radius eines kompromittierten Kontos dramatisch. Die Absicherung eines NAS-Servers umfasst genau diese Kombination aus Netzwerksegmentierung, Rechteverwaltung und Monitoring – kein einzelnes Maß schützt alleine.

• Benutzergruppenkonzept: Trennung in mindestens drei Ebenen – Administrator, Power-User, Read-Only – mit separaten Shares je Gruppe
• Zeitbasierte Zugriffsbeschränkungen: Konten für externe Dienstleister nur während der Servicezeiten aktivieren, danach automatisch deaktivieren
• IP-Whitelisting: Administrativer Zugriff ausschließlich aus definierten Netzwerksegmenten oder VPN-Verbindungen erlauben
• Multi-Faktor-Authentifizierung (MFA): Für alle Konten mit Schreibrechten verpflichtend einrichten – TOTP-Apps wie Authy oder Hardware-Token wie YubiKey
• Login-Throttling: Nach fünf fehlgeschlagenen Versuchen temporäre Sperrung für 15 Minuten, nach zehn Versuchen vollständige IP-Blockade

Cloud-Speicher: Geteilte Verantwortung, eigene Kontrollpflichten

Bei Cloud-gebundenen Systemen greift das Shared-Responsibility-Modell: Der Anbieter sichert die Infrastruktur, die Zugangsdaten und die Zugriffskonfiguration liegen jedoch beim Nutzer. OAuth-Tokens und API-Keys für Cloud-Anbindungen von NAS-Systemen – etwa bei Synology HyperBackup mit Amazon S3 oder Backblaze B2 – müssen mit dem kleinstmöglichen Berechtigungsscope erstellt werden. Ein dedizierter IAM-Benutzer mit ausschließlich Write-Rechten auf einen spezifischen Bucket ist sicherer als der Root-Account mit Vollzugriff auf alle Cloud-Ressourcen.

Ein richtig konfiguriertes NAS bildet das Rückgrat einer sicheren digitalen Infrastruktur – aber nur, wenn die Zugriffsschichten konsequent und regelmäßig überprüft werden. Passwort-Audits alle 90 Tage, Überprüfung inaktiver Konten monatlich, Rotation von Service-Accounts bei Mitarbeiterwechsel: Diese Routinen verhindern, dass sich über Zeit unsichtbare Schwachstellen aufbauen, die erst dann sichtbar werden, wenn ein Breach bereits stattgefunden hat.

Vor- und Nachteile von Sicherheitsmaßnahmen im Datenschutz

Netzwerksegmentierung und Firewall-Konfiguration zum Schutz privater Datenspeicher

Wer seinen privaten Datenspeicher – ob NAS, Heimserver oder lokales RAID-System – direkt im Hauptnetzwerk betreibt, gibt Angreifern im Kompromittierungsfall freie Bahn auf sämtliche angeschlossenen Geräte. Die Lösung liegt in einer konsequenten Netzwerksegmentierung: Der Datenspeicher wird in ein dediziertes VLAN (Virtual Local Area Network) ausgelagert, das physisch oder logisch vom restlichen Heimnetz getrennt ist. Consumer-Router wie die Fritzbox 7590 oder Mikrotik hEX unterstützen VLAN-Tagging und erlauben es, den NAS-Traffic vollständig zu isolieren – inklusive separatem DHCP-Pool und eigenem Adressbereich, etwa 192.168.20.0/24 statt des Standard-192.168.1.0/24.

Der entscheidende Vorteil: Selbst wenn ein Laptop im Haupt-WLAN mit Malware infiziert wird, kann diese nicht automatisch auf den Datenspeicher zugreifen. Der Traffic zwischen den Segmenten läuft ausschließlich über definierte Firewall-Regeln. Wer seinen NAS wirklich zuverlässig gegen externe und interne Bedrohungen absichern will, kommt an dieser Architektur nicht vorbei.

Firewall-Regeln: Whitelist statt Blacklist

Der häufigste Konfigurationsfehler ist das Blacklist-Prinzip – alles ist erlaubt, außer explizit Gesperrtem. Professionelle Netzwerke arbeiten umgekehrt: Default Deny All als Grundregel, dann selektive Freigaben. Konkret bedeutet das für einen Heimserver: Nur bestimmte IP-Adressen im Heimnetz dürfen Port 445 (SMB) oder 548 (AFP) ansprechen. Zugriffe von fremden Subnetzen werden hart geblockt. Für den Fernzugriff gilt: kein direktes Port-Forwarding auf NAS-Dienste, sondern ausschließlich VPN-Tunnel als Eintrittspunkt.

• Eingehende Regeln: Nur VPN-Gateway (z. B. WireGuard auf Port 51820/UDP) von außen erreichbar, alle anderen Ports geschlossen
• Inter-VLAN-Routing: Zugriff vom Heimnetz-VLAN auf NAS-VLAN nur über spezifische Ports (SMB, HTTPS für Web-GUI) und nur von fest definierten Host-IPs
• Outbound-Traffic des NAS: Beschränkung auf Update-Server, DNS und NTP – kein freier Internetzugang des Speichersystems selbst
• Logging aktivieren: Alle Verbindungsversuche auf gesperrte Ports protokollieren, idealerweise an einen separaten Syslog-Server senden

Praktische Umsetzung mit pfSense und OPNsense

Für ernstzunehmende Heimnetzwerke hat sich OPNsense als Firewall-Distribution durchgesetzt – kostenlos, aktiv gepflegt und mit granularer VLAN-Unterstützung. Ein Raspberry Pi 4 oder ein kleiner Mini-PC mit zwei Netzwerkkarten reicht als Hardware völlig aus und kostet unter 100 Euro. Die Einrichtung eines dedizierten Storage-VLANs dauert mit OPNsense unter 30 Minuten, inklusive Firewall-Ruleset und DHCP-Konfiguration.

Wer zusätzlich versteht, wie ein durchdachtes Speichersystem die eigenen digitalen Werte langfristig schützt, wird schnell erkennen, dass Netzwerksicherheit und Hardware-Redundanz zwei Seiten derselben Medaille sind. Eine Firewall ersetzt kein Backup – aber ohne Firewall ist das beste Backup-Konzept wertlos, wenn Ransomware alle erreichbaren Netzlaufwerke verschlüsselt. Gerade Angriffe wie NotPetya oder moderne Ransomware-Varianten scannen aktiv nach SMB-Shares im lokalen Netz und treffen ungeschützte NAS-Systeme innerhalb von Sekunden.

Verschlüsselungsstandards für ruhende und übertragene Daten auf NAS und externen Medien

Wer sein NAS ernsthaft absichern will, kommt an einem durchdachten Verschlüsselungskonzept nicht vorbei – und zwar für beide Zustände: Daten im Ruhezustand (Data at Rest) und Daten bei der Übertragung (Data in Transit). Diese Unterscheidung ist technisch keine Kleinigkeit, denn beide Szenarien erfordern unterschiedliche Protokolle, Schlüsselverwaltung und Angriffsvektoren. Ein physisch gestohlenes NAS-Laufwerk ohne Verschlüsselung ist in wenigen Minuten vollständig auslesbar – mit AES-256-Verschlüsselung hingegen rechnerisch nicht zu knacken.

Data at Rest: Festplatten- und Volume-Verschlüsselung

Der Industriestandard für ruhende Daten ist AES-256 im XTS-Modus, den sowohl QNAP (über AES-256-Bit Volume-Encryption) als auch Synology (eCryptfs auf Share-Ebene) implementieren. Der entscheidende Unterschied zwischen diesen Ansätzen: Volume-Verschlüsselung sichert alle Daten auf Blockebene, während Share-Verschlüsselung nur bestimmte Freigaben schützt. Für maximale Sicherheit empfiehlt sich die Volume-Verschlüsselung, da sie auch Metadaten, temporäre Dateien und Swap-Bereiche einschließt. Wer sein NAS konsequent gegen physische Angriffe absichern möchte, sollte die Verschlüsselung bereits bei der initialen Volume-Erstellung aktivieren – eine nachträgliche Verschlüsselung bestehender Volumes ist bei den meisten Systemen nicht möglich ohne Datenverlust.

Für externe Medien wie USB-Laufwerke oder Backup-Festplatten gilt: LUKS (Linux Unified Key Setup) ist unter Linux-basierten NAS-Systemen die zuverlässigste Wahl. LUKS2 unterstützt Argon2id als Key-Derivation-Function, was Brute-Force-Angriffe erheblich erschwert. VeraCrypt-Container bieten plattformübergreifende Kompatibilität und können auf Windows, macOS und Linux geöffnet werden – ein praktischer Vorteil für Offsite-Backups, auf die von verschiedenen Systemen zugegriffen werden muss. Kritisch: Den Verschlüsselungsschlüssel niemals auf demselben physischen Medium wie die verschlüsselten Daten speichern.

Data in Transit: Protokolle und ihre Sicherheitslücken

SMB 1.0 ist ein Sicherheitsproblem, das in keinem modernen Netzwerk mehr aktiv sein sollte – die EternalBlue-Schwachstelle, die WannaCry 2017 ausnutzte, gilt bis heute als warnendes Beispiel. SMB 3.1.1 mit aktivierter Verschlüsselung (AES-128-GCM oder AES-256-GCM) ist der aktuelle Standard für Windows-Netzwerke. Für Linux-Clients empfiehlt sich NFS 4.2 mit Kerberos-Authentifizierung (krb5p für vollständige Datenverschlüsselung). SFTP und FTPS ersetzen das veraltete FTP vollständig – unverschlüsseltes FTP überträgt Zugangsdaten im Klartext und hat in sicherheitskritischen Umgebungen nichts verloren.

TLS 1.3 sollte für alle webbasierten NAS-Administrations-Interfaces und WebDAV-Verbindungen erzwungen werden. TLS 1.0 und 1.1 sind seit 2021 offiziell als unsicher eingestuft und von den meisten Browsern blockiert. Wer versteht, wie ein NAS als zuverlässiges Verwaltungssystem für sensible Daten funktioniert, weiß: Die Stärke der Verschlüsselung ist nur so gut wie die Qualität der Zugangsdaten. Standard-Passwörter auf NAS-Systemen zu belassen macht selbst AES-256-Verschlüsselung wirkungslos, wenn der Angreifer sich einfach regulär einloggen kann.

• AES-256-XTS: Pflichtstandard für Volume-Verschlüsselung auf NAS-Systemen
• LUKS2 / VeraCrypt: Empfohlen für externe Backup-Medien und Offsite-Laufwerke
• SMB 3.1.1 mit GCM-Verschlüsselung: Einzige akzeptable SMB-Version im Produktivbetrieb
• TLS 1.3: Für alle HTTPS-Verbindungen zur NAS-Administrationsoberfläche
• SFTP statt FTP: Keine Klartextübertragung von Credentials oder Dateiinhalten

Ein oft übersehener Aspekt: Schlüsselmanagement. Hardware Security Module (HSM) oder zumindest ein separater, physisch getrennter Schlüsselspeicher verhindern, dass ein kompromittiertes NAS-System seinen eigenen Entschlüsselungsschlüssel preisgibt. Für Heimanwender erfüllt ein separater USB-Stick mit FIDO2-Chip diese Funktion bereits ausreichend.

DSGVO-konforme Datenspeicherung: Pflichten, Risiken und technische Umsetzung im Heimnetz

Wer im Heimnetz Daten anderer Personen speichert – sei es durch eine Überwachungskamera, ein gemeinsam genutztes NAS oder eine Nextcloud-Instanz für Familienmitglieder – bewegt sich schnell in den Geltungsbereich der DSGVO. Art. 2 Abs. 2c DSGVO schließt zwar rein persönliche und familiäre Tätigkeiten aus, doch sobald Dritte außerhalb des engen Familienkreises betroffen sind oder Daten systematisch erhoben werden, greift die Verordnung vollumfänglich. Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes klingen abstrakt – für Privatpersonen mit kleinen Freelance-Tätigkeiten oder Homeoffice-Setups sind aber bereits Bescheide im vierstelligen Bereich dokumentiert.

Welche Daten im Heimnetz zur Compliance-Pflicht werden

Besonders kritisch sind drei Szenarien: Erstens Videoüberwachung mit Erfassung öffentlicher Bereiche wie Bürgersteige oder Nachbargrundstücke – hier fordern Datenschutzbehörden regelmäßig Löschfristen von maximal 72 Stunden sowie sichtbare Hinweisschilder. Zweitens Homeoffice-Umgebungen, in denen Kundendaten, Bewerbungsunterlagen oder Patientendaten lokal gespeichert werden. Drittens selbstgehostete Dienste wie E-Mail-Server oder Kalender-Apps, die Daten von Kontakten ohne deren Wissen speichern. In allen drei Fällen gilt: Verarbeitungsverzeichnis führen, Rechtsgrundlage dokumentieren, Betroffenenrechte technisch umsetzbar machen.

Ein NAS, das als zentraler Datenspeicher im Heimnetz fungiert, bietet gegenüber Cloud-Diensten einen entscheidenden Vorteil: vollständige Datensouveränität. Wer verstehen möchte, wie sich damit persönliche und geschäftliche Daten rechtssicher unter eigener Kontrolle halten lassen, erkennt schnell, dass lokale Speicherung DSGVO-Anforderungen oft leichter erfüllt als das Auslagern in Drittländer-Clouds, die zusätzliche Standardvertragsklauseln erfordern.

Technische Maßnahmen: Von Verschlüsselung bis Zugriffsprotokollierung

Die DSGVO fordert in Art. 32 „geeignete technische und organisatorische Maßnahmen" – konkret bedeutet das für ein Heimnetz-Setup: AES-256-Verschlüsselung der Datenträger, netzwerkseitige Trennung sensibler Daten in eigene VLANs und lückenlose Zugriffsprotokollierung. Letzteres wird häufig vernachlässigt: Ohne Log-Dateien lässt sich im Schadensfall weder ein Datenleck nachweisen noch ausschließen. Synology DSM und QNAP QTS bieten native Audit-Logs, die mindestens 90 Tage aufbewahrt werden sollten.

• Datensparsamkeit (Art. 5 Abs. 1c): Nur erheben, was tatsächlich benötigt wird – Kameraauflösung und Speicherdauer aktiv begrenzen
• Löschkonzept: Automatisierte Löschroutinen per Cronjob oder NAS-Aufgabenplaner für personenbezogene Dateien
• Zugriffskontrolle: Separates Benutzerkonto für jeden Zugreifenden, keine gemeinsamen Admin-Passwörter
• Transportverschlüsselung: TLS 1.3 für alle Weboberflächen, VPN-Pflicht für Remote-Zugriffe
• Backups verschlüsselt aufbewahren: Auch Sicherungskopien unterliegen der DSGVO – ein unverschlüsseltes Backup auf einer externen Platte reicht als Datenpanne aus

Die größte Schwachstelle in der Praxis ist nicht die Technik, sondern fehlende Dokumentation. Wer ein NAS betreibt und dabei systematisch absichert und die Zugriffe kontrolliert, hat die technische Seite meist im Griff – scheitert aber an der Nachweispflicht gegenüber Behörden. Ein einfaches Textdokument mit Verarbeitungszweck, Datenkategorien, Speicherdauer und Löschfristen reicht für private Setups in der Regel aus, erfüllt aber formal die Anforderung des Rechenschaftsprinzips aus Art. 5 Abs. 2 DSGVO.

Backup-Architekturen nach der 3-2-1-Regel: Ausfallsicherheit gegen Hardwareversagen und Cyberangriffe

Die 3-2-1-Regel ist kein Marketing-Konzept, sondern eine aus Jahrzehnten IT-Praxis destillierte Grundregel, die sich in kritischen Situationen immer wieder bewährt hat. Sie besagt: 3 Kopien der Daten, gespeichert auf 2 unterschiedlichen Medientypen, davon 1 Kopie extern – also geografisch getrennt vom Primärsystem. Wer diese Regel konsequent umsetzt, überlebt sowohl den gleichzeitigen Ausfall mehrerer Festplatten als auch einen Ransomware-Angriff, der alle lokal erreichbaren Laufwerke verschlüsselt.

In der Praxis bedeutet das konkret: Die Primärdaten liegen auf dem Arbeitsrechner oder Produktionssystem, eine zweite Kopie auf einem NAS im lokalen Netzwerk, die dritte in der Cloud oder auf einem Offsite-Medium. Ein NAS mit RAID-Verbund ersetzt dabei keinen Backup – RAID schützt vor Festplattenausfall, nicht vor versehentlichem Löschen, Ransomware oder Brandschäden. Wer ein NAS als zentralen Datenspeicher betreibt, muss verstehen, dass es die erste Backup-Ebene darstellt, nicht die letzte Sicherheitslinie.

Immutable Backups als Schutz gegen Ransomware

Moderne Ransomware-Varianten wie Conti oder LockBit scannen aktiv nach angebundenen Netzwerklaufwerken und verschlüsseln diese innerhalb von Minuten. Der klassische 3-2-1-Ansatz versagt hier, wenn alle drei Kopien gleichzeitig erreichbar sind. Die Lösung sind immutable Backups – unveränderliche Sicherungen, die für einen definierten Zeitraum weder überschrieben noch gelöscht werden können. Cloud-Anbieter wie Backblaze B2 oder Amazon S3 bieten Object Lock mit WORM-Funktion (Write Once Read Many), die Backups für 30, 60 oder 90 Tage einfriert. Lokale NAS-Systeme von Synology oder QNAP implementieren dasselbe Prinzip über Snapshot-Technologien mit Retention-Policies.

Snapshots sind dabei unterschätzte Werkzeuge: Ein ZFS-basiertes System kann alle 15 Minuten einen Snapshot erzeugen, der minimal Speicherplatz verbraucht, aber eine präzise Wiederherstellung auf jeden beliebigen Zeitpunkt ermöglicht. Wer seine NAS-Infrastruktur nach aktuellen Sicherheitsstandards aufgebaut hat, kombiniert Snapshots mit einer Air-Gap-Lösung: Ein dediziertes Backup-NAS, das nur während des Backup-Fensters per Skript ins Netzwerk gebracht wird, bleibt für Ransomware unerreichbar.

Backup-Verifizierung: Der unterschätzte Pflichtbestandteil

Ein Backup, dessen Wiederherstellung nie getestet wurde, ist keine Sicherung – es ist Hoffnung. Studien zeigen, dass bis zu 30 % aller Backups im Ernstfall nicht wiederherstellbar sind, sei es durch Bit-Rot auf Bandmedien, stille Korrumpierung in der Cloud oder fehlgeschlagene Übertragungen. Automatisierte Verifikation löst dieses Problem: Tools wie Veeam oder Duplicati prüfen nach jedem Backup-Lauf die Checksummen aller gesicherten Dateien und senden bei Abweichungen sofort einen Alert.

• RTO (Recovery Time Objective) definieren: Wie lange darf ein System maximal ausfallen? Unter 4 Stunden erfordert lokale Hot-Standby-Systeme.
• RPO (Recovery Point Objective) festlegen: Welcher Datenverlust ist tolerierbar? Für Finanzdaten gilt oft maximal 1 Stunde.
• Backup-Tests quartalsweise dokumentieren: Nicht nur durchführen, sondern schriftlich festhalten – für Audits und Versicherungsnachweise.
• Offsite-Medium rotieren: Externe Festplatten oder LTO-Bänder wöchentlich physisch tauschen, damit die externe Kopie nie älter als 7 Tage ist.

Die 3-2-1-Regel entwickelt sich aktuell zur 3-2-1-1-0-Regel weiter: Die zusätzliche 1 steht für eine offline oder air-gapped Kopie, die 0 für null Fehler bei der Backup-Verifikation. Wer diesen Standard implementiert, ist gegen den überwiegenden Teil realer Angriffs- und Ausfallszenarien geschützt – unabhängig davon, ob die Bedrohung durch Hardware, menschliches Versagen oder organisierte Cyberkriminalität entsteht.

Firmware-Updates, CVE-Patches und Herstellersupport-Zyklen im Sicherheitsvergleich

Die Sicherheit eines NAS-Systems steht und fällt mit der Qualität und Geschwindigkeit des Patch-Managements des jeweiligen Herstellers. Wer glaubt, ein einmal konfiguriertes System sei dauerhaft sicher, unterschätzt die Dynamik moderner Bedrohungslagen. Allein 2023 wurden für QNAP-Geräte über 40 CVEs (Common Vulnerabilities and Exposures) offiziell registriert – ein Spitzenwert unter NAS-Herstellern, der aber auch die intensive Sicherheitsforschung rund um diese weit verbreiteten Plattformen widerspiegelt.

Patch-Reaktionszeiten im Herstellervergleich

QNAP hat nach den verheerenden DeadBolt-Ransomware-Angriffen 2022 seine Reaktionszeiten messbar verbessert. Kritische Patches erscheinen mittlerweile oft innerhalb von 72 Stunden nach CVE-Veröffentlichung, verglichen mit teilweise zwei Wochen im Jahr 2021. Synology verfolgt einen strukturierteren Ansatz über das PSIRT (Product Security Incident Response Team) mit definierten SLAs: kritische Schwachstellen mit CVSS-Score ≥9.0 werden innerhalb von 15 Tagen gepatcht. Western Digital hingegen zeigt bei My Cloud-Geräten historisch längere Reaktionszeiten – einzelne CVEs blieben 2022 über 90 Tage ungepatcht, was bei exponierten Systemen ein inakzeptables Risiko darstellt.

Für den Praxisbetrieb bedeutet das: Automatische Update-Benachrichtigungen aktivieren reicht nicht. Sicherheitsverantwortliche sollten die NVD-Datenbank (nvd.nist.gov) mit Hersteller-spezifischen Filtern abonnieren und CVE-Ankündigungen direkt verfolgen. QNAP betreibt dafür das Security Advisory Portal, Synology die dedizierte Advisories-Seite – beide bieten RSS-Feeds für automatisierte Alerts.

Support-Zyklen und End-of-Life-Risiken

Ein oft unterschätztes Risiko liegt im End-of-Life (EOL) Management. Synology garantiert für aktuelle Plus- und XS-Modelle einen Software-Support von mindestens 7 Jahren ab Markteinführung. QNAP kommuniziert EOL-Daten weniger transparent – mehrere TS-Serien aus 2017-2019 erhielten 2023 keine QTS-Updates mehr, ohne dass Besitzer proaktiv informiert wurden. Für Unternehmen mit Compliance-Anforderungen ist das ein erhebliches Problem, da ungepatchte Systeme oft gegen DSGVO-Artikel 32 (technische Sicherheitsmaßnahmen) verstoßen.

Bevor ein System EOL erreicht, sollten folgende Maßnahmen greifen:

• Netzwerksegmentierung verschärfen: EOL-Geräte in isolierte VLANs verschieben, ohne Internetzugang
• Dienste minimieren: Alle nicht zwingend benötigten Protokolle deaktivieren, besonders SMBv1, Telnet und FTP
• Migrationsplanung starten: Spätestens 12 Monate vor EOL sollte ein Nachfolgesystem evaluiert werden
• Externe Audits einplanen: Ungepatchte Systeme regelmäßig mit Tools wie Nessus oder OpenVAS scannen

Das Firmware-Update allein löst keine grundlegenden Konfigurationsprobleme. Wer beispielsweise noch mit Werkspasswörtern arbeitet, schafft durch Updates keine wirkliche Sicherheit – das sofortige Ersetzen voreingestellter Zugangsdaten ist eine Grundvoraussetzung, bevor Patch-Management überhaupt greift. Ebenso müssen Updates in eine umfassende Sicherheitsstrategie eingebettet sein: ein ganzheitliches Absicherungskonzept für NAS-Systeme behandelt Netzwerkarchitektur, Authentifizierung und Monitoring als zusammenhängendes System.

Für produktionskritische Umgebungen empfiehlt sich außerdem ein gestaffeltes Update-Rollout: Firmware zunächst auf einem Testsystem oder sekundären NAS einspielen, Kompatibilität mit angebundenen Applikationen prüfen, erst dann auf Produktivsysteme ausrollen. QNAP und Synology bieten beide Beta-Programme, über die Administratoren frühzeitig Einblick in kommende Patches erhalten und potenzielle Kompatibilitätsprobleme identifizieren können.

Zwei-Faktor-Authentifizierung, VPN-Zugang und Zero-Trust-Prinzipien für den Fernzugriff auf Netzwerkspeicher

Fernzugriff auf ein NAS ist einer der häufigsten Angriffsvektoren – und gleichzeitig einer der am stärksten unterschätzten. Wer sein Gerät über Port-Forwarding direkt ins Internet stellt, akzeptiert im Grunde einen permanenten Beschuss durch automatisierte Scan-Tools. Shodan indexiert täglich Hunderttausende exponierter NAS-Systeme, viele davon mit Standard-Credentials oder bekannten ungepatchten Schwachstellen. Die Antwort liegt nicht darin, den Fernzugriff komplett zu deaktivieren, sondern ihn durch mehrere unabhängige Sicherheitsschichten abzusichern.

Zwei-Faktor-Authentifizierung: Pflicht, keine Option

TOTP-basierte 2FA (Time-based One-Time Password, implementiert über Apps wie Authy oder Google Authenticator) sollte auf jedem NAS-Administrationszugang aktiviert sein – ohne Ausnahmen. Synology DSM, QNAP QTS und TrueNAS unterstützen 2FA nativ; die Einrichtung dauert unter fünf Minuten. Wer noch mit den Werkseinstellungen arbeitet, sollte sich ansehen, warum das Beibehalten von Hersteller-Standardpasswörtern ein aktiv ausgenutztes Risiko darstellt, das regelmäßig zu Ransomware-Infektionen führt. Ergänzend empfiehlt sich die Aktivierung von Login-Throttling nach spätestens fünf Fehlversuchen sowie IP-basiertes Blocklisting über integrierte Firewall-Regeln.

Hardware-Security-Keys nach FIDO2-Standard (YubiKey, Nitrokey) bieten eine noch robustere Alternative zu TOTP, da sie Phishing-Angriffe strukturell ausschließen. QNAP QTS 5.x unterstützt WebAuthn seit 2023 offiziell; Synology folgte mit DSM 7.2. Für Umgebungen mit mehreren Benutzern und sensiblen Daten ist dieser Upgrade-Pfad klar empfehlenswert.

VPN vs. direkter Zugriff: Architekturentscheidung mit Konsequenzen

Ein WireGuard-VPN direkt auf dem NAS oder einem vorgelagerten Router reduziert die angreifbare Oberfläche dramatisch: Statt einem exponierten Web-Interface mit potenziellen CVEs ist nur ein einzelner UDP-Port sichtbar, der ohne gültigen kryptographischen Handshake keine Antwort liefert. WireGuard überträgt typischerweise 600–800 MBit/s bei modernem Consumer-Hardware, was für die meisten Heimnetz- und SMB-Szenarien ausreicht. OpenVPN bleibt eine valide Alternative für ältere Hardware, ist aber mit 50–150 MBit/s Durchsatz spürbar langsamer. Wer die Möglichkeiten moderner NAS-Hardware für sichere Datenverwaltung vollständig ausschöpfen will, findet in den Einsatzmöglichkeiten vernetzter Speichersysteme einen guten Überblick über das Zusammenspiel von Zugriffskontrolle und Datenverfügbarkeit.

Das Zero-Trust-Prinzip geht einen Schritt weiter: Kein Gerät und kein Benutzer gilt als vertrauenswürdig, nur weil er sich im Netzwerk befindet. Konkret bedeutet das für NAS-Umgebungen:

• Micro-Segmentierung: NAS in einer eigenen VLAN-Zone, kein direkter Zugriff auf andere Netzwerksegmente ohne explizite Firewall-Regel
• Least-Privilege-Zugriffsrechte: Jeder Benutzer erhält nur Zugriff auf die Freigaben, die er aktiv benötigt – keine generischen Vollzugriffskonten
• Kontinuierliche Verifikation: Session-Timeouts von maximal 30 Minuten bei Admin-Zugängen, Re-Authentifizierung bei privilegierten Aktionen
• Audit-Logging: Lückenlose Protokollierung aller Zugriffsereignisse, idealerweise auf ein separates, schreibgeschütztes Logging-System exportiert

Die Kombination dieser Maßnahmen eliminiert nicht jedes Risiko, schiebt aber den Aufwand für einen erfolgreichen Angriff in Bereiche, die für opportunistische Angreifer wirtschaftlich unattraktiv sind. Wer alle hier beschriebenen Schichten konsequent umsetzt, hat damit den Kernempfehlungen moderner Härtungsstrategien für netzwerkgebundene Speichersysteme entsprochen – und steht deutlich besser da als der Durchschnitt der exponierten Geräte im Internet.