Kapiere ich nicht.
Sicherheit würde ich bei ARM im vergleich zu einem Intel NAS höher einstufen, da hier keine Probleme mit Spectre und Meltdown.
Meine Aussage nahm Bezug auf die Sicherheitsempfehlungen von QNAP als Grundsicherung, ohne diesen Bezug explizit zu benennen, während Du Bezug nimmst auf den Angriffsvektor. Beide Sichtweisen sind berechtigt. Und da Du gerade nach meinem fehlenden Bezug fragst, habe ich diesbezüglich wieder einmal nachgesehen. Mein Bezug war ein Artikel, den QNAP auf seiner Website veröffentlicht hatte, nach Freigabe einer neuen Version seines Security Counselor Dienstes. Da empfahl QNAP den Dreiklang aus Security Counselor, einer Antivirenlösung wie ClamAV oder McAfee, und dem Malware-Remover, als regelmäßige Dienste. Und da ist meine Beobachtung, dass solch ein Dreiklang schon eine starke Herausforderung an ARM-Systeme ist. Aber diesen Artikel finde ich nicht mehr, nur noch die Produktbeschreibung des Security Counselor. Und bei den FAQ zur Grundhärtung eines NAS finde ich diese Empfehlung nach solch einem Dreiklang auch nicht.
Andererseits gibt es bei Supercomputern und bei Hochleistungsrechnern auch einen Trend, der bewußt ARM-Komponenten integriert. Von daher können ARM-Systeme durchaus so ausgelegt werden, dass sie entweder sehr stromsparend arbeiten oder hohe Rechenleistungen bieten. QNAP hat sich entweder nicht für eine dieser beiden Strategien entschieden, oder ist nicht gut in solchen Auslegungen. Meine Vermutung ist die erstere, sich für eine gänzlich andere Strategie entschieden zu haben, z.B. IO.
Am wichtigsten für hohe Sicherheit sind Backups, und zwar in mindestens zwei Geräten (z. B. Daten auf dem PC und Backup auf dem NAS oder Daten auf dem NAS und Backup auf einer per USB angeschlossenen externen Platte).
Ich bin davon überzeugt, dass nicht eine Einzelmßnahme sondern ein solides, stimmiges bzw. konsistentes Sicherheitskonzept das wichtigste für mittlere bis hohe Sicherheit ist, nicht eine Einzelmaßnahme wie Backups. Umgekehrt stimme ich zu, dass wenn Backups nicht Teil eines Sicherheitskonzeptes seien, ich meine Zweifel am Sicherheitsniveau eines derartigen Konzeptes hätte.
Wenn das NAS nicht aus dem Internet erreichbar ist (keine Portweiterleitung im Router) und du im eigenen LAN keine möglicherweise böswilligen Leute hast, dann ist jedes NAS gegen Angriffe sicher. Für die Auswahl des NAS macht das keinen Unterschied.
Das halte ich für einen Trugschluß. Diese Sichtweise greift zu kurz, weil sie nur den Angriffsvektor betrachtet, nicht aber die Schadenshöhe eines Sicherheitsvorfalles. Ein stimmiges Sicherheitskonzept nimmt beide Aspekte und einige mehr in ihre Betrachtung. Wenn z.B. ein zu spät aktualisierter PC verseucht wurde, dann hat er vermutlich keine Schwierigkeiten, ein im LAN erreichbares NAS ebenfalls zu verseuchen (z.B. mit Ransomware), selbst wenn das NAS nicht vom Internet erreichbar ist. Sicherheitskonzepte verlassen sich daher nicht auf eine Einzelmaßnahme sondern haben klassisch von verschiedenen Verteidigungslinien gesprochen, die aufeinander aufbauen bzw. sich ergänzen.
Seit wenigen Jahren gibt es eine alternative Herangehensweise, Zero-Trust. Während die klassische Sichtweise eine klare Abgrenzung zwischen Innen und Außen kennt, verzichtet diese Alternative auf solch eine Unterscheidung. Mit zunehmender Integration von Cloud (und Homeoffice) in IT-Konzepte verschwimmen solche Grenzen und Unterscheidungen. Und Gefahren drohen sowohl von Innen wie Außen. Soweit ich diesen Ansatz verstanden habe, geht es hierbei nicht um Sicherheitsprodukte an sich, sondern eine andere Herangehensweise, Betrachtungsweise, und dadurch andere Erstellung von Sicherheitslösungen mit anderen Gewichtungen.
