NAS gegen Diebstahl absichern

[SebbiSt]

Hallo zusammen,

ich bin schon seit langer Zeit absolut glücklich mit meinem Proxmox Heimserver. Neben anderen Anwendungen, läuft hier OpenMediaVault als NAS & Datengrab (Sata-Ports durchgereicht). Das ganze läuft seit vielen Monaten perfekt und ohne Ausfall.

Ursprünglich lagen hier mal ein paar unwichtige Videodateien, sodass ich mir nie über Verschlüsselung Gedanken gemacht habe. Mittlerweile werden die Daten aber immer sensibler: Dokumentenverwaltung, Cloud-Speicher-Ersatz, private Foto-Sammlung, Backups usw...

Hauptsächlich möchte ich meine Daten vor Einbruch-Diebstahl sichern. Ich suche daher nach einer Möglichkeit meine Daten zukünftig verschlüsselt zu speichern und kann mich nicht entscheiden welchen Weg ich einschlagen soll. Leider findet man auch sehr wenig Erfahrungsberichte zu den verschiedenen Lösungen - Ist es wirklich so exotisch sein Eigenbau-NAS zu verschlüsseln? Was würdet ihr tun und warum?

 

[H3llF15H]

Keine Ahnung wie es bei anderen Systemen ist: bei QNAP können Volumes via Passwort gesichert werden. Diese sind nach einem Neustart auch erst dann wieder verfügbar, wenn das Passwort eingegeben wird.

 

[Tornhoof]

Gibt es bei dir das Risiko dass es gestohlen wird?
Wurde bei dir schon mal eingebrochen?
Steht das NAS offensichtlich greifbar in der Wohnung?

Im Allgemeinen lohnt sich das als Privatperson nicht wirklich, du solltest imho wenn du es macht eine Lösung bevorzugen, die von der NAS Software direkt angeboten wird und nicht selber bauen.

 

[Smily]

In der Regel interessiert sich kein Einbrecher für deine Daten. Was soll der damit anfangen? Der verkauft höchstens das NAS 🤷‍♂️ .
Wenn du wirklich so wichtige Daten hast, für die sich andere wirklich interessieren, kauf ne Tresortür und kleide den Raum mit Stahl aus.

Ansonsten reicht jede normale Verschlüsselung, weil sich keiner für interessiert.

 

[Ja_Ge]

Ich nutze Duplicati mit AES Verschlüsselung für meine Sicherung, mein PC ver- und entschlüsselt auch deutlich schneller als jedes NAS das ich bisher hatte. Und fürs zweite (Cloud) Backup kann ich die Dateien dann einfach kopieren.

 

[hendrik.]

Bevor du dir Sorgen um dein NAS machst würde ich vorschlagen dein Eigenheim/Wohnung/etc. ordentlich zu sichern.

Ansonsten wie bereits erwähnt, die Verschlüsselungsmöglichkeit nutzen.

 

[AndrewPoison]

Also ich habe durchaus auch Daten auf meinem NAS, die ich einfach nicht unverschlüsselt dort liegen haben will. Da geht es auch gar nicht um Einbruch, sondern um ganz andere Dinge: ein plötzliches Ableben und diejenigen, die sich um den Nachlass kümmern, kriegen dann diese Daten vorgesetzt.

Beispielsweise bei meinen Model-Bildern (Aktaufnahmen, wie unter www.andrewpoison.de z.B. in seichter Form zu sehen): weder ich noch meine Models würden wollen, dass die Bilder ohne Freigabe irgendjemand sonst zu Gesicht bekommt. Die Rohdaten und alles weitere was relevant ist, werden also verschlüsselt.

...darum solls aber gar nicht gehen, aber ich wollte dir meinen Workflow aufzeigen:

Ich verschlüssel nicht das NAS oder die Festplatten selbst. Mir erscheint dort die Gefahr zu hoch, dass dies z.B. eine mal nötige Datenrettung katastrophal erschweren würde. Daher: NAS und Platte sind unverschlüsselt, auf das NAS schiebe ich nur dann Daten, die ich vorab auf meinem Rechner in einem passwort-geschütztem RAR-Archiv (+Wiederherstellungs/Rescue-Archiv) hinterlegt habe. Damit sind die Daten zwar nicht mehr einfach indizierbar, aber für mich jederzeit greifbar. Die Verschlüsselung ist "gut genug", so lange man natürlich nicht den Fehler macht und zum temporären öffnen von Dateien diese auf das NAS selbst entpacken lässt oder dergleichen. Muss man halt wissen und entsprechend damit umgehen.

Der für mich größte Vorteil liegt im Handling meiner verschlüsselten Daten, wenn eben doch mal irgendwas irgendwo schief geht, Datenkorruption auftritt, die Festplatte nicht mehr lesbar ist, das NAS einen ordentlichen Defekt aufweist, und selbst das Backup der Backups aus irgend einem Grund nicht greift. Dann liegen nämlich meine verschlüsselten Daten immer noch als einfache Dateien auf einem unverschlüsseltem Laufwerk, die man notfalls retten lassen kann. Und selbst wenn dabei Datenkorruption aufgetreten ist, gibt es die Rescue-Archive, die hunderte oder tausende Megabyte (je nach dem, wie viel man halt einstellt) an Datenfehlern wiederherstellen können. Oder auch komplett fehlende Archiv-Teile.

Ist sicher nicht für jeden der beste Anwendungszweck und eignet sich auch nur für mich, da ich ein sehr hohes "write-only" bzw. "only-once"-Datensicherungsaufkommen habe. Aber ich wollte es mal beschreiben, vielleicht ist es auch was für andere.

Was auf diese Weise nicht sinnvoll umzusetzen wäre, wäre z.B. seine Filmsammlung auf dem NAS vorzuhalten und parallel mit dem TV davon streamen zu wollen. Das geht so natürlich nicht, weil der TV mit den RAR-Archiven natürlich nichts anfangen kann.


...ich hab mir sogar WinRAR gekauft, weil ich es dafür soooo intensiv nutze, dass ich die dahinterstehenden mal unterstützen wollte

 

[SebbiSt]

Gibt es bei dir das Risiko dass es gestohlen wird? Wurde bei dir schon mal eingebrochen?

Ja tatsächlich wurde vor kurzem beim Nachbarn eingebrochen (trotz Alarmanlage & rundum Sicherheitsglas). Wie ihr schon sagt, hat man sich hier nur dafür interessiert einen Tresor zu finden und jegliche Technik liegen lassen.

Trotzdem gibt das Anlass mal über seine Sicherheit nachzudenken und ein Punkt sind nunmal die Daten. Ich glaube auch, dass es unwahrscheinlich ist, dass Einbrecher mein NAS erst finden dann 2. überhaupt mitnehmen und 3. überhaupt Interesse an den Daten haben. Aber WENN es jemand darauf anlegt, könnte der Schaden schon hoch werden...

Ich nutze Duplicati mit AES Verschlüsselung

Danke, kannte ich noch nicht & sehe es mir mal an

Daher: NAS und Platte sind unverschlüsselt, auf das NAS schiebe ich nur dann Daten, die ich vorab auf meinem Rechner in einem passwort-geschütztem RAR-Archiv (+Wiederherstellungs/Rescue-Archiv) hinterlegt habe

Das finde ich auch einen interessanten Ansatz. Danke für den Denkanstoß. Da ich hauptsächlich MacOS benutze, könnte ich die wichtigsten Daten mit verschlüsselten Images/Ordnern absichern. Vorteil: Sehr unkompliziert / Nachteil: Lässt sich nur an MacOS nutzen.

 

[Helge01]

Selbst bei einem Einbruch haben es Diebe nicht auf ein NAS abgesehen, da wird mitgenommen was sich schnell und teuer veräußern lässt. Was wollen die mit einem NAS?

 

[Smily]

Was sollen die denn mit den Daten? Was würde dir wirklich schaden? Was soll ich mit einer Rechnung von dir anfangen? Oder deiner Steuererklärung?

Ja, mit persönlichen Daten kann man was anfangen. Dann hab ich aus einem Einbruch (mit hohem Risiko) einen einzigen Datensatz!
Aber ... wenn ich 100.000 Mails rum schicke, weil Erbschaft, weil Paket nicht zugestellt usw. hab ich kein Risiko und die Leute geben mir ihre Daten freiwillig!

Wenn, dann denk über eine Sicherung nach, falls nicht vorhanden. Denn dann hat der Dieb deine Daten (und schmeißt die weg) ... aber du halt nicht .

 

[dennisis]

Eine einfach anwendbare Sicherheit würde mich auch interessieren.

Viele Vorredner werden sicher Recht behalten "ein trusted environment ist gut genug", aber nicht jeder lebt zu jeder Zeit in so einer Umgebung. Es kann auch sein dass ein NAS unterm Tresen bei der Arbeit steht und der neue Mitarbeiter irgendwie komisch ist. Leute, ihr macht doch auch alle 3-2-1 Backups obwohl eure Wohnungen nie abfackeln werden...

Apropos Backup: Das müsste ich für mein NAS noch einrichten und das kann easy verschlüsselt werden. Aber das Hauptgerät abseits vom root Login..?

 

[andy_m4]

Was sollen die denn mit den Daten? Was würde dir wirklich schaden?

Wobei man hier an der Stelle auch einwenden könnte, das es mehr Szenarien gibt als nur das Einbruchs-/Diebstahl-Szenario. Es kann ja auch z.B. mal aus Gründen eine Hausdurchsuchung/Beschlagnahme geben.
Oder allein der Umstand, das Festplatten ja auch irgendwann mal entsorgt werden. Und wenn die voll verschlüsselt ist, muss man sich nicht mehr so viele Gedanken in Hinblick auf Secure-Erase etc. machen (was ja auch nur dann geht, wenn die Platte noch funktionstüchtig ist).

Aber selbst wenn wir bei dem Diebstahl-Beispiel bleiben:
Ja. Der Dieb kann und wird vielleicht nichts mit den Daten anstellen. Aber es gibt ja auch den psychologischen Faktor. Allein das Wissen das irgendwelche Aktfotos und unbefugte Hände geraten könnten, wird ja von vielen schon als unangenehm empfunden werden.

Verschlüsselung ist also schon grundsätzlich empfehlenswert.
Aber ja. Backups muss man natürlich im Auge haben.

 

[SebbiSt]

wahrscheinlich habt ihr Recht und ich bin entweder zu paranoid oder zu kreativ was man mit meinen Daten machen kann. Ich denke da an Identitätsdiebstahl (bin aber kein Promi), Veröffentlichung/Erpressung von peinlichen Fotos oder Chats (wüsste nicht, dass ich welche habe), Hetze (obwohl ich keine "Feinde" habe) usw...

Ich wundere mich, dass es da noch keine einfache Lösung für Eigenbau-NAS gibt, bzw. das Interesse so gering ist einfach die ganze Festplatte zu verschlüsseln. Vielleicht sehe ich mich wirklich mal bei Fertig-NAS Systemen um (laut Abstimmung aktuell die Empfehlung)...

 

[kieleich]

wahrscheinlich habt ihr Recht und ich bin entweder zu paranoid oder zu kreativ was man mit meinen Daten machen kann.

nö aber es ist halt warum auch immer im Gegensatz zum Smartphone, beim NAS nicht standard

und wer den technischen aufwand scheut oder, mal deswegen daten verloren hat weil so ein LUKS header kann auch mal kaputt gehen und dann ist alles weg,

der redet es sich halt schön ala interessiert sowieso niemanden

der dieb der eben noch sämtliche schränke und schubladen durchwühlt hat drückt beim nas als erstes auf formatieren? na ja, osterhase christkind und so

 

[aluis]

Jeder hat die Chance auf eine Hausdurchsuchung, obwohl er nichts getan hat. In so einem Fall ist es eine ganz andere Situation, wenn PC, Laptop, Handy, NAS usw... komplett verschlüsselt sind.

 

[andy_m4]

Ich wundere mich, dass es da noch keine einfache Lösung für Eigenbau-NAS gibt

Naja. Gibt es schon.
Generell hat man aber immer das "Problem", die unverschlüsselten Daten in den verschlüsselten Zustand zu überführen. Wofür man entweder genügend Platz braucht oder aber das Backup dafür nutzt.
Aber sonst steht dem eigentlich nicht viel im Wege.

 

[CoMo]

Bevor du dir Sorgen um dein NAS machst würde ich vorschlagen dein Eigenheim/Wohnung/etc. ordentlich zu sichern.

Hilft dir nicht, wenn das Bedrohungsmodell auch staatliche Akteure umfasst. Es gibt viele Wege, Ziel von Ermittlungsverfahren zu werden auch ohne dass man sich irgendwas zu schulden hätte kommen lassen. Dann wird die Hardware einfach raustransportiert.

Die meisten Daten auf meinem TrueNAS sind unverschlüsselt. Für sensible Daten habe ich ein verschlüsseltes Dataset.

Auf meinem Proxmox dasselbe. Da gibt es sensible Daten wie meine Dawarich Bewegungsdaten und meine SSH-Keys auf dem Jumphost. Die liegen ebenfalls in verschlüsselten Datasets.

 

[TheBeastMaster]

Die Fragestellung ist hier doch easy, verstehe die Diskussion ob der Sinnigkeit nicht.

Wenn OMV bereits vorhanden ist, ist die sinnvollste Lösung und auch die mit dem geringsten Aufwand:LUKS.

Wenn man es transparenter machen will: TrueNAS + verschlüsselte ZFS Volumes.

Ob das sinnvoll ist, ist hier nicht zu beantworten weil wir nicht wissen welche Daten der TE auf dem NAS liegen hat. Ich persönlich wurde mich wesentlich besser fühlen MIT Verschlüsselung. Ich wurde jedenfalls nicht wollen das jemand das alles sieht was ich da drauf Speichere.

 

[trendliner]

Ich suche daher nach einer Möglichkeit meine Daten zukünftig verschlüsselt zu speichern und kann mich nicht entscheiden welchen Weg ich einschlagen soll. Leider findet man auch sehr wenig Erfahrungsberichte zu den verschiedenen Lösungen - Ist es wirklich so exotisch sein Eigenbau-NAS zu verschlüsseln? Was würdet ihr tun und warum?

Bei mir:
2 Synology NAS, in einer sozusagen „Cold Standby“-Konfiguration (die aktive Syno spiegelt Änderungen auf die passive). Alle Data Volumes sind vollverschlüsselt ab Ersteinrichtung.

Dazu Online Cloud Backups aller wichtigen und/oder erhaltenswürdigen Daten, verschlüsselt via Cryptomator. Damit kann jedes Gerät jederzeit unabhängig vom OS darauf zugreifen, wenn der Cryptomator-Tresor geöffnet ist. Das klappt mit iPhone, iPad, macOS, Windows, Linux.

Stiehlt jemand die Synology, hat er nur die Hardware. Werden die Clouds gehackt, steht dort auch nur Datensalat. Nichteinmal Dateinamen sind erkennbar.

 

[chrigu]

wer sollte eine nas klauen? einbruch ist immer bargeld oder schmuck, gelegentlich laptop oder kameras.
wenn du so grosse angst hast, sperre die nas in einem verschliessbaren schrank der mit schrauben an die wand gedübelt wird, am besten aus blech.
wenn es dir nur um die daten geht, speichere eine kopie immer an einem anderen ort (verschlüsselter usb stick ins büro nehmen oder bei eltern deponieren)