Eine weitere Firewall auf dem NAS, die per Default alle nicht aus dem LAN stammenden Zugriffe ablehnt, zur weiteren Härtung könnte sinnvoll sein.
Wenn hier ein Router inkl. Firewall vorgeschaltet ist, dann bringt das ganze so nix!
Denn wenn der Router übernommen wird, sind die Angreifer mit dem LAN interface in der Lage mit dem NAS zu spielen.
Ist halt das Problem von Firewalls/Router/Gateways, die sind nicht nur in einem Netz, die zu übernehmen ist der Jackpot!
Denn oft kommt man von hier fast überall hin! Da auf der Kiste auch NAT möglich ist, könnte der Angreife es dann auch so aussehen lassen, als würde er von einem ganz anderem Standort auf das NAS verbinden.
Ist deine Router hacked hast du einfach ganz großes Game Over!
Du kannst damit rechnen, das die aktuellen Verschlüsselungen in ca. 10 Jahren von jedem Quantencomputer einfach so geknackt werden können.
Es gibt zwar aktuell auch schon Verfahren, die diesen deutlich länger standhalten werden, aber so lange denken Malware Betreiber in der Regel nicht.
Das läuft ein paar Tage/Wochen/Monate, dann muss eh was neues kommen, weil jeder die Einfallswege, die Signatur und Arbeitsweise kennt und Gegenmaßnahmen dazu parat hat.
Ggf. veröffentlichen sie selber in 1-2 Jahren ein Tool mit dem man an die Daten wieder ran kommt.
So war es bisher schon ein paar mal. Ich drücke die Daumen.
Bis dahin aber musst du mit dem Verlust erstmal leben, sprich aus dem fehlenden Backupkonzept die passenden Konsequenzen ableitet.
Sprich, ein paar HDs die man extern hat und die am beste noch an einem externem Ort sicher verwahrt werden.
So kann auch Feuer/Wasser usw. deinen Daten nix mehr anhaben.
Ja das kostet Geld und bedeutet einen gewissen Aufwand, aber die eine oder andere digitale Lebensmomentaufnahmen sind halt vom Wert her nicht bezifferbar.
Wenn du das Glück hast und schnell Glasfaser hast, kannst du auch über ein Cloud Backup nachdenken, bei den normalen 50/10er Leitungen brauchst jedoch gar nicht erst in die Richtung denken. Unter 50MBit Upload macht das keinen Spaß, eine 1000/500 oder noch besser GBit symmetrisch.