00 Titel.jpgVor kurzem hat mich ein Kollege – Chef einer kleinen technischen Firma – gefragt, ob es denn nicht mit einem NAS verhältnismäßig unkompliziert möglich sei, einen Cloud-Dienst als Team-Server für interne und externe Planungsteams zur Verfügung zustellen und zu verwenden. Will heißen, dass hier geschäftliche Daten mit einem offen im Internet stehenden NAS über das Internet zur Verfügung gestellt werden sollen.
Das ist sicher eine Frage, die sich inzwischen immer mehr kleine Firmen stellen werden. Da bei kleineren Firmen das Geld immer knapp ist, schielen vermutlich immer mehr in Richtung NAS. Diese sind schon für kleines Geld zu haben und scheinen Alleskönner zu sein – also die eierlegende Wollmilchsau.
Ich bin zwar schon in meinem Artikel „Security - Das NAS offen im Internet“ darauf eingegangen, aber es scheint immer noch ein aktuelles Thema zu sein. Obwohl inhaltlich sehr ähnlich, habe ich das Thema hier eher von der Seite einer kleinen Firma beleuchtet.
Vielleicht
verhilft
eine
andere Sichtweise und Formulieren dem
Einen oder der Anderen zur
entsprechenden
Erkenntnis.
1. Kurz zusammengefasst
Theoretisch und technisch ist dies einfach und kostengünstig möglich. Praktisch ist dies leider nicht ganz so einfach und ich würde dringend vom einfachen und günstigen Weg abraten.
Für einen sicheren Einsatz sind zusätzliche Sicherheitsmaßnahmen notwendig, die jedoch nicht immer kostenlos und einfach sind.
2. Das Wieso
Die Hersteller - sowohl QNAP als auch Synology, beide gehören zu den Marktführern von NAS - bieten die Möglichkeit an, ihre NAS sehr einfach ins Internet einzubinden und die Daten / Dienste offen ins Internet zu stellen. Wie geschrieben funktioniert dies auch aus rein technischer Sicht einfach und recht gut. Das Problem besteht darin, das diese NAS mit keinerlei eigenen Schutzmechanismen aufwarten können, die selbige vor Schadsoftware, Angriffen oder anderem Schaden schützen könnten. D.h. es gibt keinerlei vernünftige Viren- und Schutzsoftware oder Firewalls für diese Geräte - zumindest nichts was die Bezeichnung verdienen würde - nicht einmal zum Nachrüsten. Deshalb kann sich das NAS eigentlich nicht wirklich im Internet behaupten.
Viele – auch in unserem Club - haben dieses Problem stark unterschätzt und haben nun mit Schadsoftware, Hackangriffen und Datenverlust zu kämpfen. Es gibt inzwischen Schadsoftware, die gezielt für QNAP, Synology und andere NAS erstellt wurden und auch gezielt eingesetzt werden. Lange dachte man wohl, dass das zugrundeliegende Linux wohl immun gegen so etwas sei. Da aber immer mehr solcher NAS Zuhause und in Firmen herumstehen und offen ins Internet gestellt werden, dabei oft schlecht bis gar nicht sicherheitstechnisch konfiguriert wurden und somit nicht ausreichend abgesichert sind, hat sich hier wohl ein lukrativer Markt entwickelt.
3. Was man dagegen tun kann
Damit man ein NAS sicher ins Internet stellen kann wird zusätzliche Sicherheit benötigt. Im einfachsten Fall, gerade für zuhause oder intern in der Firma, bietet sich VPN an - Virtual Private Network, ein virtuelles privates Kommunikationsnetz, welches vereinfacht ausgedrückt ein verschlüsseltes Netzwerk zwischen 2 Endstellen aufbaut. Die meisten Router für zuhause und auch in der Firma bieten diese Funktion, meist auch mit kostenloser Client-Software. Die VPN-Verbindung ist meist schnell und unkompliziert einzurichten. Das unbequeme daran ist natürlich, dass immer der VPN-Tunnel aufgebaut werden muss und dass sich diese Methode nicht für externe Firmen eignet, schließlich will man die ja nicht im internen Netzwerk haben. Natürlich kann man das NAS nun in eine DMZ setzten - Demilitarisierte Zone, ein zusätzliches abgeschottetes Netzwerk - aber dafür benötigt man meist schon einen etwas besseren Router oder noch besser eine richtige Firewall.
Bei immer wechselnden Unternehmen und Ansprechpersonen sowie bei einem größeren Nutzerkreis ist dies aber nicht wirklich wünschenswert. Von da her ist der Wunsch die Daten direkt ins Internet zu stellen verständlich. Um hier die Sicherheit zu gewährleisten ist aber ein entsprechender Schutz notwendig, am besten in Form eines umfassenden Sicherheitspakets (Schutz vor Schadsoftware, Firewall für Netzwerkschutz, URL-, Spam- und Contentfilter, IPS - Intrusion Prevention System, System zur Erkennung von Angriffen auf Computersysteme oder -netze und vieles mehr) oft auch als UTM (Unified Threat Management) bezeichnet. Die gibt es in kleiner Form ab ein paar 100.- Euros im Jahr für die Lizenz und so 600.- bis 800.- Euros für die Hardware (kleine Box wie ein Router). Die filtert alles und bietet den notwendigen Schutz für das NAS. So steht auch nicht mehr das NAS an vorderster Front, sondern das UTM. Das UTM kann mit Angriffen umgehen, es wurde ja dafür geschaffen. Leider ist so ein UTM nicht mal eben in 5 Minuten konfiguriert und benötigt auch weiterhin Pflege. Wenn man die Zeit und die Muse dazu hat dies selber zu machen, hat man so die Möglichkeit das NAS und dessen Daten und Dienst sicher ins Internet zu stellen. Oder besser: Man lässt es sich professionell einrichten. Aber einfach und kostenlos ist es nicht mehr, dafür sicher.
4. Aber ehrlich...
Ich würde auch keinen Windows- oder Linux-Server einfach so, ohne zusätzlichen Schutz ins Internet stellen, selbst wenn aktuelle Windows 2019 Server standardmäßig mit dem Windows Defender ausgeliefert werden. Selbst diesem würde ich dies nicht zutrauen.
Was will dann ein kleines NAS für ein paar 100.- Euronen gegen den Krieg im Internet ausrichten? Natürlich kann man es einfach versuchen. Wenn man Glück hat passiert vielleicht auch lange Jahre nichts, vielleicht auch gar nie. Aber will man dieses Risiko als Firma eingehen? Dies ist bei privaten Daten nicht wünschenswert und erst recht nicht bei geschäftlichen.
Im geschäftlichen Umfeld kommen noch so Dinge wie, Haftung, Datenschutz (sage nur DSGVO), Gewährleistung etc. dazu. Da ist man sehr schnell mit einem Bein im Gefängnis. Hier scheint mir das Risiko einfach viel zu groß zu sein um ein paar Euros zu sparen.
Wer sich die Arbeit und Risiko nicht antun will und das Geld für eine professionelle Lösung nicht aufbringen will oder kann, ist wohl in diesem Fall mit einem vertrauenswürdigen Cloud-Anbieter besser bedient. Hier könnte jedoch dann wieder das Problem der Auswahl des selbigem sein.
4. Fazit
Man sieht schon, ganz so „verhältnismäßig unkompliziert“ ist die Angelegenheit dann doch nicht. Nur mit dem Kauf eines kostengünstigen NAS ist die Sache noch lange nicht erledigt.
Aber wenn die Sicherheit der Firma auf dem Spiel steht sollte man sich gut überlegen, welche Euros man sich sparen will.