Ransomware-Schutz mit Synology NAS

NAS-Systeme gegen Ransomware schützen

| Autor / Redakteur: Philip Rankers / Peter Schmitz

Moderne NAS-Laufwerke kommen immer öfter auch in KMU zum Einsatz und speichern Terabyte an Unternehmensdaten. Ransomware-Schutz ist deshalb auch für ein NAS unerlässlich.
Moderne NAS-Laufwerke kommen immer öfter auch in KMU zum Einsatz und speichern Terabyte an Unternehmensdaten. Ransomware-Schutz ist deshalb auch für ein NAS unerlässlich. (© JaizAnuar - stock.adobe.com, Synology)

Ransomware verschlüsselt nicht nur lokale Daten des infizierten Computers, sondern auch angeschlossene USB-Medien und verbundene Netzlaufwerke. Das macht Ransomware auch für NAS-Systeme extrem gefährlich, ohne dass das NAS selbst mit Ransomware infiziert ist. Es gibt aber Methoden, wie man die auf einem NAS gespeicherten Daten vor ungewollter Verschlüsselung schützen kann. Wie das geht zeigen wir am Beispiel eines Synology NAS.

Im digitalen vernetzten Zeitalter hat die Verschlüsselung von Daten sowohl bei Privat- als auch Businessanwender einen hohen Stellenwert und gehört in den meisten Fällen schon zum Standard. Daten werden durch gesicherte SSL oder VPN-Verbindungen übertragen und verschlüsselte Dateicontainer schützen Computer und mobile Speichermedien vor unbefugten Zugriffen. Dass ein Zugriff auf die verschlüsselten Daten ohne entsprechendes Passwort unmöglich oder nur mit viel Zeit- und Geldaufwand verbunden ist, kennen vor allem Nutzer die schon einmal ihr Passwort vergessen haben oder Opfer von ungewollten Verschlüsselungsangriffen, sogenannter Ransomware, geworden sind.

Ransomware ist kein neues Thema und sollte spätestens seit WannaCry auch beim letzten Privatanwender für ein verstärktes Sicherheitsverständnis gesorgt haben. Vor allem Unternehmen mit vernetzten Strukturen und zentralen Dateiservern benötigen gut durchdachte Sicherheits- und Backup-Konzepte um nicht Opfer von Ransomware zu werden.

Warum ist Ransomware für NAS und Dateiserver gefährlich?

Das Gefährliche an moderner Ransomware ist ihre Fähigkeit, nicht nur lokale Daten des infizierten Computers zu verschlüsseln, sondern auch angeschlossene USB-Medien und verbundene Netzlaufwerke. Der vom Client ausgehende ungewollte Verschlüsselungsvorgang ist für den verbundenen Netzwerkspeicher bzw. Server ein klassischer Zugriff des Users und für das System nicht als ungewollte Aktion bzw. Angriff zu erkennen. So wird ein NAS schnell zum passiven Opfer einer Verschlüsselung ohne selber mit Ransomware infiziert zu sein.

Neben systemspezifischen Angriffen sind auch Protokolle im Visier der Kriminellen, wie z. B. die SambaCry-Thematik aus dem Jahr 2017, welche weltweit und systemübergreifend das SMB1 Protokoll betraf. Laut dem Hersteller Synology ist aktuell keine Ransomware für Synology Systeme bekannt. Jedoch gab es im dritten Quartal 2014 den sogenannten Synolocker, der Systeme mit veralteter Firmware angegriffen hat, wobei das Sicherheitsupdate bereits Ende 2013, also 8 Monate zuvor, zur Verfügung gestellt wurde.

Sicherheitslücken erst gar nicht entstehen lassen

Computer werden standardmäßig mit Virenscannern und automatischen Updates versehen. Das Gleiche muss auch für NAS Systeme gelten, da diese in der Regel noch stärker mit dem lokalen Netzwerk als auch dem Internet verbunden sind, um Daten und Services für interne und externe Nutzer bereitzustellen. Der DiskStation Manager von Synology bietet viele Funktionen, Einstellungen und Pakete, um das System abzusichern und flexibel auf die Bedürfnisse des Nutzers anzupassen.

Bei den Update-Einstellungen für das Betriebssystem DSM haben Nutzer je nach Belieben oder Vorgaben des Arbeitgebers eine Vielzahl von Optionen, so dass das System manuell oder automatisch zu einem beliebigen Zeitpunkt aktualisiert werden kann. Zudem besteht die Option alle zur Verfügung gestellten Updates oder nur die wichtigsten Updates zu installieren. Da einige Updates einen Neustart des Systems fordern, ist es ratsam diese außerhalb der Geschäftszeiten einzuspielen.

Die Systemteuerung bietet weitere Sicherheitseinstellungen um sich z. B. vor DoS- oder Cross-Site-Request-Forgery-Attacken zu schützen und können mit einem Klick aktiviert werden. Die bereits integrierte Firewall bietet zusätzlichen Schutz und kann frei vom Nutzer konfiguriert werden um eingehende und ausgehende Anfragen nach Belieben zu steuern oder zu blocken. Ebenfalls arbeitet das System ab Werk mit dem SMB2 Protokoll um Gefahren durch das unsichere SMB1 Protokoll (SambaCry) zu vermeiden. Auf Wunsch lässt sich das SMB1 Protokoll bei Bedarf auch wieder aktivieren.

Klassische Antivirenscanner Lösungen können direkt über das Paketzentrum installiert werden, wobei man die Wahl zwischen dem kostenlosen „Antivirus Essential“, welches auf dem Open-Source Clam AV basiert, sowie dem kostenpflichtigen McAfee Virenscanner, welcher direkt von McAfee für Synology Systeme mit Intel CPU entwickelt und angeboten wird. Beide Scanner sind in der Lage mögliche Schädlinge in Dateien zu finden, zu löschen oder in die Quarantäne zu verschieben. Trotz aller Sicherheitsmaßnahmen, kann keiner in die Zukunft schauen und garantieren, dass die Daten oder Systeme sicher sind. Datensicherungen sind daher Pflicht um sich vor Angriffen, Hardwareausfall oder einfach nur durch den User verursachte Änderungen oder Löschungen zu schützen.

Gut abgesichert mit der 3-2-1 Regel und den richtigen Systemen

Ein gern genommener Anhaltspunkt für ein sicheres Backup-Konzept ist die 3-2-1-Regel. Von jeder wichtigen Datei sollten drei Kopien erstellt werden, welche auf zwei unterschiedlichen Systemen abgelegt sind, wovon mindestens eine an einem externen Standort aufbewahrt werden soll. Was diese Regel aber nicht berücksichtigt ist der Punkt der Wiederherstellung. Dieser Punkt darf aber bei der Planung der Backupziele auf keinen Fall fehlen, da die Verfügbarkeit und Erreichbarkeit von Backups im Wiederherstellungsfall Zeit und Kosten bedeutet. Gerade dann, wenn es darum geht große Datenmengen schnell wieder zentral verfügbar zu machen, können bei falscher Planung, lange Ausfallzeiten von einzelnen Mitarbeitern oder des Unternehmens entstehen. Daher gilt es vorher zu überlegen wie schnell große Backups von Cloud Anbietern heruntergeladen werden können oder wie schnell extern gelagerte USB Backups dem Unternehmen auf neuer Hardware wieder zentral zur Verfügung stehen kann.

Um späteren Zeit- und Kostenaufwand zu vermeiden, sollten Unternehmen bei der der Anschaffung eines Produktiv- oder Backup-NAS zu einem Business-NAS greifen, da diese über alle angebotenen Softwarefunktionen verfügen sich bei Bedarf um Festplatten, RAM und im besten Fall auch um Netzwerkkarten erweitern lassen. Wer vorab bedacht und großzügiger plant, kann später Kosten und Zeit für den Kauf und die Migration von neuen Systemen vermeiden. Um sich den wachsenden Anforderungen anzupassen, werden bei Kapazitätsmangel einfach neue Festplatten in einen der freien Slots gesteckt oder eine zusätzliche Expansionseinheit angeschlossen. Sollte die Netzwerkstruktur später auf 10GbE umgestellt werden, lässt sich das NAS ebenfalls um 10GbE Base-T oder SFP+ aufrüsten um den Zugriff der User beschleunigen und die Dauer der Backups minimieren.

Um eine automatisierte Backup-Umgebung mit schnellen Wiederherstellungszeiten aufzubauen, empfiehlt es sich mehrere NAS Systeme und eine Kombination aus Snapshots, Replikationen und Backups zu verwenden. Hier eignen sich aktuelle Modelle aus der Synology „Plus“ Serie ab vier Festplatten Einschüben, da die Systeme erweiterbar sind. Zudem steht ab dieser Serie das btrfs Dateisystem zur Verfügung und somit auch alle verfügbaren Synology Business Pakete. Bereits installierte Synology Systeme mit ext4 Dateiformat, müssen für das btrfs Dateiformat neu aufgesetzt werden, da eine Umwandlung des Dateisystems im laufenden Betrieb nicht möglich ist.

Zentrale Daten mit den richtigen Mitteln sichern

Jedes Synology Business-NAS bietet eine Vielzahl an Optionen um die auf dem NAS befindlichen Daten mit Snapshots, Synchronisationen und zeitgesteuerten Backups lokal oder extern zu versionieren und zu sichern. Dabei ist es wichtig die Kernfunktionen der Sicherungs- und Wiederherstellungs-Optionen zu kennen um eine für das Unternehmen passende Backup-Strategie aufzubauen. Ein passendes Sicherheitskonzept lässt sich aus den beiden kostenlosen Paketen „Snapshot Replication“ und „Hyper Backup“ erstellen.

Auf der Herstellerseite lässt sich einfach überprüfen welche Pakete auf welchen Synology Systemen verfügbar sind und welche Anforderungen erfüllt werden müssen.

Lokale Snapshots - Daten schützen und Ausfallzeiten vermeiden

Das Paket Snapshot Replication steht allen aktuellen 64 Bit Synology NAS Systemen mit btrfs Dateiformat kostenlos zur Verfügung und bietet die Optionen lokale und replizierte Snapshots der Daten zu erstellen.

Lokale Snapshots sind im Gegensatz zu einem Backup oder einer Synchronisation keine Kopie der Daten, sondern eine Systemseitige Verlinkung der geänderten Blöcke (Versionen) zur originalen Datei. Das System kann für beliebige Ordner bis zu 1024 lokale Snapshot Versionen erstellen, wobei Zeitpunkt und die Aufbewahrungszeiten der Versionen frei selektiert werden können. Das Erstellen als auch Wiederherstellen eines Snapshots benötigt kaum Systemressourcen und kann in wenigen Sekunden ohne Beeinträchtigung auch auf einem produktiven System durchgeführt werden.

Die Größe des Snapshots richtet sich immer nach dem Delta zur vorherigen Version und den aktuellen Veränderungen. Der Speicherplatz für Snapshots muss daher bei der Kapazitätsplanung mit einkalkuliert werden, wobei das System auf Basis existierender Snapshots den Trend der Speicherbelegung durch Snapshots aufzeigt.

Im Vergleich zu Backups sparen Snapshots viel Zeit, wenn es darum geht ganze Datenbestände, Ordner oder einzelne Dateien die unbeabsichtigt gelöscht, verändert oder verschlüsselt worden sind, wiederherzustellen und sollten daher an erster Stelle der Datensicherung stehen.

Tipp: Da jeder Snapshot einen Wiederherstellungspunkt der täglichen Arbeit repräsentiert, sollten die Abstände der Snapshots so gering wie möglich sein. Wer z. B. während der Arbeitszeit alle 30 Minuten (oder kürzer) einen Snapshot erstellt und diese 7 Tage aufbewahrt, ist auf der sicheren Seite um jüngste, ungewollte Änderungen kurzfristig wieder rückgängig zu machen.

Da lokale Snapshots Bestandteil des Dateisystems sind, schützen diese nicht vor einem Hardwareausfall. Um den Ausfall des produktiven NAS-Servers aufzufangen und den Datenbestand kurzfristig wieder zentral zur Verfügung zu stellen, wird sowohl eine Kopie der Daten als auch ein Ersatz-NAS benötigt.

Snapshot Replikation – Die kleine Schwester der Hochverfügbarkeit

Die Snapshot Replikation stellt eine reduzierte Art der Hochverfügbarkeit dar und bietet in Kombination mit einem zweiten Synology-NAS eine schnelle manuelle Fallback Lösung für Datenbestände. Um dies zu realisieren wird der initiale Datenbestand und anschließend die Snapshots im laufenden Betrieb vom Produktiv-NAS auf das Replikations-NAS synchronisiert. Die Daten und Snapshots werden schreibgeschützt auf dem Replikations-NAS abgelegt und so vor Veränderungen geschützt. Die Snapshot Aufbewahrungszeiten auf dem Replikations-NAS können gesondert vom Produktiv-NAS eingestellt werden, so dass sich auf der Backup-Seite mehrere Snapshot-Versionen befinden können um z.B. ein größere Backup Historie aufzubauen.

Sollte das produktive NAS nicht verfügbar sein, gibt ein manueller Failover in wenigen Minuten den kompletten Datenbestand auf dem Replikations-NAS zur temporären Bearbeitung für die Nutzer frei. Es muss nur sichergestellt sein, dass die Nutzer auf die IP des Backup NAS geroutet werden bzw. den Nutzern die IP des Replikations-NAS mitgeteilt wird. Um die Zugriffszeiten der Nutzer nicht zu beeinträchtigen, ist es ratsam das Replikations-NAS im lokalen Firmennetzwerk z.B. in einem gesonderten Brandabschnitt oder zusätzlich gesicherter Raum aufzustellen.

Trotz aller Sicherheitsvorkehrungen, ist eine externe Sicherung Pflicht um sich vor großen Netzwerkangriffen oder sogar Elementarschäden wie Feuer abzusichern. Für eine externe Sicherung kann ebenfalls die Snapshot Replikation genutzt werden, da diese den Datenbestand auf bis zu drei lokale oder externe Synology Systeme via fester IP, DynDNS oder VPN replizieren kann.

Eine weitere Möglichkeit Daten extern oder auf mobile Medien zu sichern, stellen klassische Backup dar.

Hyper Backup – Datensicherung in alle Richtungen

Das Paket „Hyper Backup“ ist auf jedem aktuellen Synology NAS kostenlos verfügbar und kopiert die auf dem NAS befindlichen Daten inklusive der Systemeinstellungen zeitgesteuert und versioniert auf eine Vielzahl von Backupzielen.

Die Software unterstützt lokal angeschlossene USB Medien wie Festplatten oder RDX Laufwerke und eine große Auswahl an externen Backup Zielen wie Synology NAS Systeme, WebDav-Server, Rsync Server oder die hauseigenen Synology C2 Backup Cloud. Ebenfalls stehen diverse bekannte Cloud Services wie z. B. Strato HiDrive, Microsoft Azure, Google Drive, Amazon Drive und viele mehr zur Verfügung.

Nach dem ersten Backup werden Veränderungen inkrementell auf Block-Ebene gesichert und im Backupcontainer abgelegt. Dies spart Bandbreite und Speicherplatz, da nur veränderte Blöcke der jeweiligen Dateien übertragen und auf das Backupziel geschrieben werden. Backupcontainer können auf jedem Synology NAS geöffnet und einzelne Dateien oder das ganze Backup Set wiederhergestellt werden. Ist kein Synology NAS verfügbar, stellt Synology das kostenlose Programm Hyper Backup Explorer für Windows, Linux und MAC Systeme zur Verfügung.

Wer auf Versionierung verzichten möchte und Wert auf eine 1:1 Kopie seiner Daten legt, kann mit der Hyper Backup Option „Dateikopie“ ein unversioniertes, dateibasiertes Backup seiner Daten auf USB Medien, Synology NAS sowie Rsync fähigen Servern ablegen und diese an jedem beliebigen Computer auslesen, sofern dieser das Dateiformat des USB Speichers auslesen kann.

Hyper Backup benötigt im Gegensatz zur Snapshot Replikation mehr Zeit und Speicherplatz um ein Backup wieder bereitzustellen, da der pensionierte Container erst noch komplett entpackt werden muss. Dafür punktet die Lösung mit einer Vielzahl an Backupzielen, so dass die 3-2-1 Regel schnell umgesetzt werden kann. Cloud Gegner und Nutzer mit schlechten Internetanbindungen, könnten auf diese Weise Ihre gewohnten USB Backups fahren und sicher im Safe oder zu Hause beim Chef aufbewahren.

Tipp: Nutzer mit langsamer Internetanbindung können das initiale Backup z. B. mit einer USB HDD einspielen oder das Backup NAS im lokalen LAN einrichten und anschließend an seinen Bestimmungsort bringen.

Die Mischung macht es aus

Ein Backup muss sich dem Unternehme anpassen. Dies gilt vor allem für die vorhandene IT-Infrastruktur und das zur Verfügung stehende Budget. Das Synology-Paket Hyper Backup bietet eine Lösung für alle Synology-Systeme um Daten sicher und versioniert auf vielen Systemen oder Services abzulegen. Die wesentlich schnellere Verfügbarkeit bietet hingegen die Snapshot Replikations Funktion für alle Business Modelle. Die leicht höheren Anschaffungskosten für weitere Replikation oder Backup NAS Systeme relativieren sich sobald im Bedarfsfall der Datenbestand ohne großen Zeit- und Personalaufwand wieder zur Verfügung steht.

Über den Autor: Philip Rankers ist Senior Product Manager bei Synology. Seit 2012 betreut er Synology Partner sowie Key Accounts und ist fester Bestandteil der Synology Partner Workshops. „Durch den direkten Kontakt zu Partnern und Businesskunden, bekommt man schnell ein Gespür dafür, welche Datensicherungen bzw. – verfügbarkeiten für den Nutzer passend wären und wo die Schwachstellen der aktuellen Konzepte sind. Kunden verwechseln oft Datensicherung mit Datenverfügbarkeit und sind aufgrund der vielen Lösungen am Markt überfordert. Gerade Kunden, die ein NAS aus Tradition nur als „dummen“ Backupserver ansehen, übersehen wie viele Möglichkeiten ein modernes NAS bereits mit sich bringt. Es ist immer wieder schön in einem Gespräch zu hören: „Ach echt, das geht? Muss ich mal ausprobieren.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45481975 / Malware)