falsch gefühlte Sicherheit durch Heim NAS vs. Cloud?

[askling]

Theoretisch ist ein NAS natürlich sicherer als ein Cloudspeicher. Aber ich frage mich ernsthaft, ob das in der Praxis wirklich so ist. Man weiß, dass Sicherheit vor allem durch Reduzierung von Komplexität die Überblickt wird und gut gewartete Systeme entsteht.

Ein NAS zu Hause überblicken die wenigsten komplett. Trotz ganz gutem IT Wissen durchschaue ich Netzwerkrouting in Pen-Testing im Detail nicht so gut, dass ich wirklich sicher weiß ob mein Netz perfekt Konfiguriert ist. Im Zweifel ist das NAS doch irgendwie von außen zugreifbar und ich merke es nicht.

Dazu kommen Konfigurationsfehler von Backups etc. - kaum einer wird es in der Praxis testen ob ein Backup erfolgreich wiederhergestellt werden kann. Das sollte man aber eigentlich ein paar mal durchspielen.

Ein Cloudspeicher ist in der Regel von Admins überwacht, die Clients werden von sehr vielen Benutzt und dadurch hoffentlich Fehler schnell gefunden. Ein zweites offline Backup ist sicher auch hier notwendig, aber in der Regel kümmert sich auch hier der Anbieter darum. Klar, auch hier kann es Fehler in der Konfig etc. geben. Ich würde denken, dass die Häufigkeit aber deutlich geringer ist als in Heimnetzen. Dazu kann man das ganze auch e2e verschlüsselt Speichern und zusätzlich einen Anbieter wählen der von Haus aus schon e2e verschlüsselt speichert (Tresorit z.B.).

Wie sieht ihr die Thematik?

 

[Old Knitterhemd]

Ein privates NAS und ein Cloud-Speicher sind erst mal 2 völlig andere Dinge...

Nicht mehrere Sachen unter einem Hut zusammenfassen die da nicht hingehören.

Du kannst dein privates NAS natürlich auch komplett wie einen Cloudspeicher nutzen, spätestens dann würde ich vermuten, dass die meisten Mist bauen.

Mein NAS hält alle meine Daten lokal vor und ist theoretisch auch per VPN von außen erreichbar.

Aber niemals würde ich Freigaben oder ähnliches zulassen.

Alles was ich auch extern haben möchte, liegt in einer selbst administrierten Nextcloud in einem Rechenzentrum und wird regelmäßig über das NAS oder die Clients gefüttert und synchronisiert.

Dazu kommt ein physisches Backup bei mir und außer Haus mit dem wichtigsten.

 

[Prime2k]

Professionelle Cloud Anbieter, haben natürlich immer sehr Sicherheit als du zu Hause mit deinem Heim NAS. Dafür bezahlst du ja auch, für diese Sicherheit. Aber nichts was mit dem Internet verbunden ist, ist 100% sicher. Wenn du das erreichen willst, musst du dein NAS nach dem Backup vom Netz trennen. Am besten vom Strom und Internet.

Dann ist nur noch ein physischer Zugriff, per Diebstahl des NAS oder der Platten möglich.

 

[DoktorToast]

Da wird wieder Security und Privacy durcheinander geworfen.
Selbstverständlich ist jeder Cloud Anbieter um ein Vielfaches sicherer.
Die Frage ist, ob es dir den Tradeoff im Datenschutz wert ist.

 

[Troma_Fanboy]

Ein NAS ist gut für Datenverfügbarkeit, am besten noch mit einem Raid 1/5 gekoppelt.
Es hilft aber nur sehr eingeschränkt bei der Datensicherheit.

Ein richtiges Backup sollte mindestens offline sein, also weder mit dem Stromnetz noch mit dem Heimnetz verbunden sein und idealerweise auch an einer physich anderen Lokalität sich befinden.

Mindestens also eine externe Festplatte, besser eine externe Festplatte in einem anderen Gebäude das nicht mit dem eigenen Verbunden ist. (Stichwort Brandgefahr/Hochwasser)

Ein NAS ist immer gefährdet durch Stromschlag, Feuer, Hochwasser, Einbruch, Angriffe aus dem Netz und vorallem auch Ransomware.

So läuft das i.d.R. auch bei Cloudanbietern ab, um keine Daten zu verlieren werden regelmäßig Backups auf andere Systeme, wie z.b. Bandarchive gefahren. Häufig sitzen die dann auch in anderen Rechenzentren.

Meine Lösung sieht daher so aus:
NAS um die Daten im Netzwerk und als Cloud unterwegs zur Verfügung zu stellen. Dabei sind die lokal verfügbaren und die Cloud Daten getrennt.
Eine USB3.0 Raid-Box als lokales Backup das über Acronis gefüttert wird und nur 1x die Woche eingeschaltet wird.
(Da sind auch noch ein paar andere ältere Daten mit drauf die ich nicht am NAS brauche, auf meinem NAS ist der Speicherplatz bisschen eingeschränkt da ich das auf SSDs umgerüstet habe um keine dauerhaft laufenden Festplatten zu haben und trotzdem schnelle Zugriffszeiten)
Eine externe Festplatte bin ich gerade am anschaffen um die wichtigsten Daten im Haus meiner Eltern nochmal zu lagern.

Grüße
Alexander

PS: Das Offsite Backup kann natürlich auch über einen Cloud Anbieter erfolgen, die Internet Anbindung muss halt dann entsprechend sein. Mit 10Mbit Upload einer üblichen Glasfaser 100MBit Leitung sind da die Möglichkeiten etwas eingeschränkt, vorallem wenn man ab und zu mal ein Vollupdate über mehrere TB machen möchte.

 

[chrigu]

Netzwerk ist so sicher, wie du es zulässt.
ein nas ist kein Backup.
eine cloud ist ein Server irgendwo auf der Welt.
mit diesen drei Fakten kannst dir jetzt weitere Unbekannte ausdenken.

 

[askling]

.......................
Mein NAS hält alle meine Daten lokal vor und ist theoretisch auch per VPN von außen erreichbar.
......................

Aber das ist doch genau ein Punkt. Bist du dir wirklich sicher, dass es nicht von außen erreichbar ist?

Ergänzung (16. Mai 2020)

Ein privates NAS und ein Cloud-Speicher sind erst mal 2 völlig andere Dinge...
...........

Ich verstehe deinen Punkt, aber sowohl NAS (auch wenn nur lokaler zugriff möglich) als auch Cloud-Speicher werden oft ähnlich eingesetzt, nämlich beim Zugriff von mehreren Rechnern oder Geräten auf Ressourcen einem Netz.

Ergänzung (16. Mai 2020)

Da wird wieder Security und Privacy durcheinander geworfen.
Selbstverständlich ist jeder Cloud Anbieter um ein Vielfaches sicherer.
Die Frage ist, ob es dir den Tradeoff im Datenschutz wert ist.

Verstehe was du meinst, aber auch Cloud kann man, wie ich geschrieben habe, extra e2e verschlüsseln. Es geht also schon um beides. Die Frage wäre da eher, traut man eher den Programmen die e2e Verschlüsseln (Cloud) oder das man selbst sein Netzt 100% im Griff hat (NAS).

 

[Raijin]

Bist du dir wirklich sicher, dass es nicht von außen erreichbar ist?

Ich weiß nicht worauf du hinauswillst. Wenn du im Router keine Portweiterleitung auf dein NAS eingerichtet hast, ist es von außen nicht erreichbar. Sollte das NAS seinerseits "nach Hause telefonieren", wird das binnen kürzester Zeit aufgedeckt, weil nicht jeder NAS-Nutzer ein unbedarfter Laie ist, sondern auch zahlreiche erfahrene Netzwerknutzer oder gar Profis ein NAS einsetzen und mit ihrem Equipment auch sowas aufdecken können. Wenn man dem NAS nicht gar per Firewall oder einfach durch weglassen des Default Gateways die Internetverbindung komplett kappt.

Das was du hier als Befürchtung äußerst, ist lediglich die Angst der Unkenntnis, wenn ich das mal so sagen darf. Als Gegenfrage möchte ich dann zB stellen:

Bist du dir wirklich sicher, dass beim Cloud-Anbieter nicht doch jemand in deine Daten reinguckt?

Während man beim heimischen NAS wie eben beschrieben Mittel und Wege hat, das aufzudecken oder gar zu verhindern, bist du bei einer gemieteten Cloud auf Gedeih und Verderb der Seriösität des Anbieters ausgeliefert, weil du keine Ahnung und vor allem keinen Einfluss darauf hast was hinter deren verschlossenen Türen passiert.

 

[askling]

Bitte nicht immer selektiv lesen. Ich favorisiere hier keine der Lösungen. Und e2e Verschlüsselung nicht immer aus der Gleichung streichen. Cloud ohne e2e ist Mist. Da stimme ich dir zu. Ich hinterfrage nur offen und lerne gerne dazu.

Genau, von außen sieht man das NAS theoretisch vielleicht nicht. Aber an sich müsste man eben zusätzlich genau das machen was du sagst. Ausgehende Verbindungen von NAS monitoren und gegebenenfalls unterbinden. Zusätzlich müsste man auch mal sein Netzwerk scannen ob der Router nicht doch was offen hat. Du magst Ahnung haben, vielleicht sogar viel mehr als ich. Aber das man sich zu Hause hinter eine Firewall installiert und ausgehenden Traffic analysiert wird doch kaum jemand machen. Ich würde das z.B. gerne machen, habe aber bisher keine in der Praxis handhabbare und bezahlbare Lösung gefunden.

 

[Raijin]

Aber wer garantiert dir denn, dass das in der Cloud sicherer ist? Klar, die Firewalls dort werden von Profis gehandhabt, aber deine Daten an sich befinden sich in fremder Hand. Auch kann der Cloudbetreiber über etwaige Synctools auf deinem Rechner sonstwas anstellen, neben dem Syncen der Daten. Zumindest theoretisch.

Wenn eine Synology auffälig nach Hause telefoniert, magst du das vielleicht nicht bemerken, aber irgendwer wird es bemerken. Spätestens wenn das dann zB bei einem PC-Magazin, dem CCC oder dergleichen ankommt, hat der Hersteller ein gewaltiges Problem, auch wenn Otto Normal davon gar nichts weiß.

Es ist im übrigen einerlei ob nun der Cloud-Anbieter Zugriff auf deine Daten und/oder gar auf deinen PC mit Synctool hat oder ob der NAS-Hersteller eine Backdoor im NAS hat und seinerseits auf deine Daten zugreifen kann. In beiden Fällen findet ein Fremdzugriff statt, auf unterschiedlichem Weg. Wenn man sich davor fürchtet, muss man seine Daten offline Lagern, zB auf einer USB-Festplatte.

 

[BeBur]

Clientseitig verschlüsseln und dann bei einem Cloudanbieter speichern welcher den Verlauf jeder Datei für X Tage speichert, z.B. Dropbox Pro.
Meiner Meinung nach der beste Tradeoff aus Sicht von Security, Usability und Privacy.

 

[Pandora]

Clientseitig verschlüsseln

Ich glaube genau das meint er mit e2e Verschlüsselung, denn verschlüsseltes übertragen unterstützen praktisch alle Clouds.
Für die Redundanz kann man auch einfach mehrere Clouds nutzen, die Wahrscheinlichkeit dass z.b. Google und Dropbox in die Knie gehen oder eine bestimmte Datei verlieren dürfte gegen Null gehen.

 

[Hayda Ministral]

Theoretisch ist ein NAS natürlich sicherer als ein Cloudspeicher. Aber ich frage mich ernsthaft, ob das in der Praxis wirklich so ist.

Ein NAS ist auch dann noch ein NAS wenn es über eine eigene Netzwerkkarte des PC mittels einem eigenen Netzwerkkabel und ohne weitere Komponenten mit diesem PC verbunden ist und nur diesen PC bedient.

Diese Kombination ist per se sicherer als es jeder Cloudspeicher per se jemals sein kann.

Damit ist Deine Frage endgültig beantwortet. @MoD: kann zu. ;-)

 

[AlphaKaninchen]

Wenn deine Firewall nicht dicht ist hilft dir auch Cloud mit Verschlüsselung nicht, da der Schlüssel auf deinem PC liegt, Lücken um den Trojaner auf dem PC zu installieren gibt es genug...

Deine Firewall sollte einfach dicht sein, alle Ports zu -> Problem gelöst. Für den Remotezugriff öffnet man einen Port in der Firewall welcher auf den VPN-Server im eigenes VLAN ziegt, und erst wenn du am VPN Server eingelockt bist kannst du über diesen auf das Netzwerk (interne VLAN) zugreifen. Gastnetzwerk sollte (eigentlich noch wichtiger als beim VPN) auch ein eigenes VLAN haben, zugang zum Rest auch nur per VPN oder Firewall Regel (z.B Switch Konsolen im internen VLAN dürfen mit Switch Konsolen im Gast VLAN Reden für Localen Multiplayer)

 

[BeBur]

Wenn überhaupt dann ja ein NAS zuhause und eines Offsite bei Eltern, Verwandten oder Freunden.
Sonst ist man bei Erschütterung (z.B. Fliegerbombe in der Nachbarschaft), Wasserschaden, Feuer, Einbruch, Neffen, Pech, schnell mal gearscht.

Lohnt sich mMn alles nur wenn man >3 TB speichern will und selbst dann würde ich noch nachrechnen ob z.B. bei 6 TB nicht einfach 2x Dropbox Pro (jeweils 3 TB) für 24 Euro / Monat sinniger sind. Volumen wird über die Jahre ja vermutlich sogar noch mitwachsen.

2xNAS mit 6 TB nutzbar dürfte ja schon so langsam an vierstellig kratzen. + Wartung und Folgekosten gibt es ja auch.
Günstiger geht halt nur wenn man Kompromisse macht, z.B. nur ein einzelnes NAS. Ist aber eigentlich keine Option, vor allem wenn der gesamte Datenbank an einem einzelnen Ort (z.B. Desktop PC und NAS in selber Wohnung) ist. Oder NAS gar nur als Netzwerkspeicher = Single Point of failure.

Ich frage mich da vielmehr: Womit verschlüsseln? Ich will eigentlich was haben das ich im Zweifel auch ohne Cryptomator/Boxcryptor entschlüsseln kann. Laut recherche geht das bei Cryptomator wohl womöglich sogar, nur die Dateinamen gehen definitiv verloren (wäre scheiße, aber im worst case ggf. akzeptabel imHo).

 

[AlphaKaninchen]

Lohnt sich mMn alles nur wenn man >3 TB speichern will und selbst dann würde ich noch nachrechnen ob z.B. bei 6 TB nicht einfach 2x Dropbox Pro (jeweils 3 TB) für 24 Euro / Monat sinniger sind. Volumen wird über die Jahre ja vermutlich sogar noch mitwachsen.

Macht für 5 Jahre 2880€, wie das billiger sein soll als 4x 6TB HDD (240€) + 2x Synology DS220J (170€), Strom wohl ehr nicht, laut ComputerBase Test 2,7W im Ruhezustand macht also 613,2kWh für 5 Jahre alles zusammen (incl. Hardware) 1370,96€ bei 0,30€/kWh, selbst 24/7 Schreiben kostet grade mal 1675,80€... Dazu kommt dann noch das ich mit RAID 1 gerechnet habe - was die meisten eigentlich nicht brauchen.

Spoiler: Rechnung Dropbox

2* 24€ * 12 Monate * 5 Jahre = 2880€

Spoiler: Rechnung NAS

Hardware:
4 * 240€ + 2 * 170€ = 1300€
Strom:
Ruhezustand:
2,7W×24h×365d×5y= 118260Wh
118260Wh ÷ 1000W = 118,26kWh
2 * 118,26kWh * 0,30€/kWh = 70.96€
Schreiben:
2 * ((14,3×24×365×5)÷1000 * 0,30) = 375,80€

 

[BeBur]

Hey, danke für die Gegenüberstellung.
Dropbox Pro kostet bei jährlicher Abrechnung allerdings nur 16,58 Euro Quelle, also insgesamt
16,58 * 2 * 12 * 5 = 2.000 Euro auf 5 Jahre. Natürlich immer noch 65% teurer als mit zwei NAS.

Taugt so ein 512 MB RAM NAS denn im Alltag? (Hardware Encryption scheint die ja zu haben). Würde vermuten, dass das für den use case den wir hier besprechen ausreichen wird.

 

[AlphaKaninchen]

Ich habe noch nie ein NAS mit nur 512 MB RAM genutzt, wenn ich mir aber die Transferraten im oben genannten Test anschaue ist es durchaus nutzbar. Auch mit Verschlüsselung schaut alles ok aus, wenn auch nicht Perfekt (Gigabit wird nicht voll ausgelasstet).

 

[askling]

Bei ständigem Sync zweier NAS ist der administrativen Aufwand natürlich recht hoch. Die Arbeitszeit sollte man vielleicht sogar auch einrechnen. Vor allem müssen beide NAS dann direkten Netzzugriff haben, was die Anforderungen an die Sicherheit und Fachwissen wieder recht hoch werden lässt. Und eine evtl. Firewall für das Netz ist auch nicht günstig.

Finanziell habe ich das ganze eigentlich nicht betrachten wollen. Trotzdem sehr interessant.

 

[askling]

Nochmal ein Tipp auf den ich gerade bei meiner Recherche gestoßen bin. Wo hier gerechnet wurde was die Kosten angehen. Bei https://www.sync.com/about/ aus Canada gibt es 4tb für 15$ (also 14€). Den Dienst gibt es schon seit 2011 und er sieht gut gemacht aus. Es wird sogar direkt e2e verschlüsselt im Sync-Client. Klar, eine lokale, separate Verschlüsselung ist definitiv besser, kann man aber ja zusätzlich benutzen.