Kingscus schrieb:
Es ist das erste mal, dass ich eine Synology absichere und will es gleich richtig machen.
Ohne das Du Deine Sicherheitsanforderungen, Deine Anforderungen an Nutzbarkeit und Komfort und die Restrisiken die Du bereit bist zu tragen, spezifizierst, kann man Maßnahmen nicht bewerten.
Genauso ist die Frage gegen was Du Dich absichern möchtest.
Beispiel:
Am Sichersten wäre Dein NAS wenn Du es abgeschaltet, ohne Netzwerkkabel in einen Tresor stellen würdest und es dort nur bei Bedarf herausholst und anschließt.
Nur wäre der Komfort und Nutzwert des NAS dann sehr gering, und Du wärst mit einer USB-Festplatte besser bedient
Kingscus schrieb:
2. Adminkonto deaktivieren
Das ist eine Synology Standard-Empfehlung. Bringt natürlich nur was, wenn man nicht mit seinem Standard-User alle Rechte gibt.
Insofern sollte man mindestens zwei Accounts verwenden:
- Einen Account für die Verwaltung bei DSM Oberfläche, mit entsprechenden Privilegien
- Einen Account für die Remote Zugriffe z.B. per SMB
Kingscus schrieb:
3. Updates regelmäßig installieren
Grundsätzlich richtig. Allerdings muss man immer daran denken, das ein fehlerhaftes Update die Verfügbarkeit des Systems beeinträchtigen kann. D.h. auch hier tauscht man ein Risiko (veraltete Software) gegen ein Anderes (Verfügbarkeit)
Kingscus schrieb:
4. Encrypted shares verwenden, sodass bei Neustart ein Passwort zum Mounten eingegeben werden muss
Die sichern Dich gegen das Risiko ab, das jemand in Dein Haus einbricht, Dein NAS klaut und dann auf die Daten zugreifen kann. Im Gegenzug kann es bedeuten, das Dein NAS nach einem unplanmäßigen Reboot (z.B. Stromausfall) nicht selber wieder betriebsbereit ist. Ich war z.B. früher öfter auf Geschäftsreise, da war es wichtig, da ich Familie habe, dass die Technik auch ohne mich als Admin funktioniert.
Kingscus schrieb:
5. (2-Faktor-Authentifizierung sollte man wohl nicht verwenden, da die wohl fehlerhaft ist)
Zur lokalen 2FA von Synology kann ich jetzt nichts sagen, da ich sie noch nie ausprobiert habe. Aber grundsätzlich zu 2FA: Sie ist sehr wertvoll und nützlich wenn
- Man nicht Sicherstellen kann, das ein Passwort ausspioniert wird. Das kann z.B. im einfachsten Fall ein Großraumbüro sein, wo man nicht sicher sein kann, ob man beim Eintippen des Passwortes auf Video aufgezeichnet wird oder man das Passwort auf Geräten eingeben muss, die einem nicht gehören.
- Wenn man aus technischen oder Komfortgründen kein super starkes Passwort verwenden kann/möchte (z.B. möchte ich auf meinem Handy kein 20-stelliges kryptisches Passwort voller Sonderzeichen eingeben müssen)
Der Risiko von 2FA ist, dass man den Zugriff auf den 2ten Faktor verliert oder die notwendige Infrastruktur dafür gestört ist. Also auch hier tauscht man Sicherheit gegen Verfügbarkeitsrisiken ein.
D.h. bei 2FA muss man sicher immer Gedanken darüber machen, wie man "wieder reinkommt". Gleichzeitig schwächt das die 2FA natürlich wieder.
Freestyler schrieb:
Zentrale Ablage? Und dann nur im LAN erreichbar? Ich sehe den Sinn in einer eigenen Cloud Lösung.
"Private Cloud" ist ein möglicher Use Case eines NAS. Aber eben nicht der Einzige. Insofern gibt es zwischen Dir und dem TE keinen Widerspruch.
Allerdings bedingen verschiedene Use Cases auch verschiedene Strategien zur Absicherung.
Kingscus schrieb:
ich würde nie ein System mit "sensiblen" Daten an das Internet hängen.
Kannst Du genauer spezifizieren, was für Dich "an das Internet hängen" heißt? Meinst Du damit Zugriff von außen zu ermöglichen, oder meinst Du damit, dass dem NAS ausgehende Zugriffe ins Internet ermöglichst werden (z.B. um Synology Updates zu laden)
Kingscus schrieb:
Irgendwo muss man seine Datensicherungen ablegen.
Du denkst hoffentlich auch daran, ein Backup von den Daten auf dem NAS zu machen?
Ein NAS ist zwar durchaus eine gute erste Sicherungststufe, aber da es in der Regel immer Online ist, keine sehr gute Lösung gegen z.B. Ramsonware.
Das wichtiges an Einem Sicherheitskonzept ist, dass Du Dir Gedanken über Desaster-Recovery Fälle machst:
- Hardware/Softwaredefekt (NAS "gebrickt")
- Wasserschaden
- Feuer
- Ramsonware
- Erfolgreicher Cyberangriff (d.h. trotz Deiner ganzen Massnahmen wurde Dein NAS gehackt)
- Einbruch
- Dummheit der Benutzer inkl. Dir selber (ich schreibe das zwar als letzten Punkt, aber eigentlich ist es nach wie vor die Häufigste Ursache für Datenverluste)
dafür muss ich mir um die Sicherheit nicht so große Sorgen machen
