Verständnisfrage zur Erreichbarkeit eines NAS für Ransomware

waechtsa · 28. November 2023 um 20:21

Guten Abend zusammen,

ich möchte mich mal als Halblaie ein wenig über die Methodik von Ransomware informieren und hoffe das hier ist nicht zu speziell. Zum Hintergrund: ich habe ein NAS System (QNAP TS228), auf dem ich Daten meines PC regelmäßig per IPERIUS Backup sichere. PC ist per LAN mit einem Hub verbunden, an das auch das NAS per LAN angeschlossen ist. NAS ist aber nicht über das Internet erreichbar. Das NAS ist in Windows Explorer nicht (mehr) eingebunden, lediglich in IPERIUS Backup sind die Zugangsdaten für das automatische Backup per FTPS an Port 21 hinterlegt.

Konkret sind meine Fragen Folgende:

-Sind die Zugangsdaten zum NAS für die Ransomware aus der früher bestehenden Einbindung als Netzlaufwerk noch irgendwo „einsehbar“ (z.B. registry o.ä.)
-Kann Ransomware über Drittsoftware wie Iperius, wo die Zugangsdaten hinterlegt sind, auf die Zugangsdaten zum NAS zugreifen?
-Besteht aus eurer Sicht bei der aktuellen Konfiguration eine Möglichkeit für die Ransomware, das NAS zu verschlüsseln?
-Ich möchte natürlich trotzdem irgendwie halbwegs einfach auf die Daten des NAS zugreifen können, wäre es hier gefahrlos möglich, über ein Drittanbieterprogramm wie Filezilla o.ä. auf das NAS zuzugreifen, ohne dass eine Ransomware auch hier an die Daten käme?

Vielleicht sind das jetzt aus eurer Sicht „dumme“ Fragen, aber die verschiedenen Ebenen, auf denen Ransomware operieren oder nicht operieren kann, sind mir noch nicht wirklich verständlich. Insofern würde ich mich über eine Erhellung freuen😊

Herzlichen Dank

waechtsa

media-floppy · 29. November 2023 um 02:22

Gab es vor Jahren Ransomware wie Wannacry, die den betroffenen Windows Rechner verschlüsselt und parallel versucht haben andere Windows Rechner zu infizieren und es somit jeden treffen konnte, der in digitaler Reichweite war, so greifen Cyberkriminelle heutzutage große Firmen, Organisationen, Staaten, … an, weil sie hoffen, dort mehr monetäre Beute zu machen.

In diesen Fällen laufen die Ransomwareangriffe meines Wissens nach (noch) nicht automatisch ab, sondern die Cyberkriminellen verschaffen sich erstmal einen Zugriff zum System, schauen sich um welche Systeme es gibt, versuchen in andere Netzwerkbereiche zu kommen, wie z.B. die Backupserver, etc. und erst dann lassen sie die Ransomware laufen. So geschehen in einem dänischen Rechenzentrum (Link).

Das heiß aber nicht, dass Privatpersonen nicht mehr das Ziel von Ransomwareangriffen werden können, ich habe aber seit längerem nichts mehr von Ransomwareangriffen auf Privatpersonen gehört.

Um jetzt auf deinen Fall zu kommen:

Im Falle eines Angriffs auf deinen PC wird eine solche Ransomware sicherlich nicht versuchen einer Software wie Iperius die Zugangsdaten zu entlocken, sondern Schwachstellen in der Software des NAS auszunutzen, denn die Liste möglicher Software ist lang, während die der relevanten NAS Hersteller sich wohl an einer Hand abzählen lässt.

Ich würde dir empfehlen, regelmäßig vom NAS ein verschlüsseltes Backup auf eine externe Festplatte zu ziehen, die du dann woanders lagerst, am besten an einem anderen Ort (Eltern, Geschwister, …), und wenn sinnvoll und machbar ein weiteres Backup machen, denn empfohlen (wenn auch hauptsächlich im professionellen Bereich) wird ein Backup nach der 3-2-1 Regel, d.h. 3 Kopien, auf 2 unterschiedlichen Medien und 1 Kopie an einem anderen Ort.

Und nicht vergessen: Ein Ransomwareangriff ist nicht das einzige Risiko für den eigenen Datenschatz. HW und/oder SW Fehler, Anwenderfehler, Feuer, Stromausfall, Naturkatastrophen, … Und ich würde soweit gehen und sagen, dass die Wahrscheinlichkeit, dass man Opfer einer Ransomware wird geringer ist, als die der andern genannten Risiken.

PS: Es gibt keine dummen Fragen.

waechtsa · 29. November 2023 um 05:51

Top, danke für deine nette und ausführliche Antwort. Das hilft mir sehr weiter, weiß ich zu schätzen. Danke!

waechtsa

LinksZwoDreiVier · 1. Dezember 2023 um 15:22

Hallo @waechtsa , ergänzend zu @media-floppy s antwort.

Du solltest einen guten MIX aus Sicherheit und Komfort finden. Es hilft schon mal wenn Du das NAS auch als solches siehst… nämlich als Network Attached Storage und nicht als dein Backup. Es ist Deine zentrale Datenablage und auf diese solltest du möglichst bequem zugriff haben. Wie bequem ist schlussendlich dir überlassen.

Die Empfehlung regelmäßig ein Backup vom NAS zu machen sehe ich eher als obligatorisch bzw. verpflichtend!

Verantwortlichkeiten der Geräte

Jeder deiner Clients (Smartphone, PC, etc…) ist verantwortlich dafür sein Backup auf das NAS zu schieben. (so bequem wie möglich, so sicher wie nötig). Der Client trägt also die Verantwortung. Aber sobald er sein Backup auf dem NAS hat, kann er kaputt oder verloren gehen ohne dass dich das stresst. Weil es ein Backup auf dem NAS gibt.
Das NAS hat nun von vielen Clients ziemlich wichtige Daten. Es ist nun also verantwortlich dafür ein Backup zu machen. Das macht man idealerweise mit der von @media-floppy erwähnten 3-2-1 Methode, jedoch ist das für privat Leute nur schwer umsetzbar. Für Deine Anwendung würde es schon hilfreich sein eine USB Platte an das NAS zu hängen und dort täglich ein Backup des NAS zu erstellen.
Idealerweise Vollbackups oder inkrementell, wenn das QNAP das kann.

Geht das NAS nun kaputt kannst du etwas entspannter sein, weil du hast ja ein Backup!

Optional hängst du nun eine weitere Platte an deinen PC und schiebst regelmäßig Die Backups vom NAS dort drauf. Danach stöpselst Du die Platte wieder ab… (offline Backup)

Nun bist du ziemlich save…

Mein Setup

Mein Setup zu Hause ist folgendes.

Windows PCs

Alle Windows PCs zu Hause haben den in Windows integrierten Dateiversionsverlauf aktiviert. Der Pfad dafür liegt auf dem NAS.
Wird einer der PCs von Ransomeware befallen, sind die aktuell auf dem PC befindlichen Dateien zwar verschlüsselt. Aber auf dem NAS liegen sie durch die Versionierung auch noch unverschlüsselt vor. ABER: Man muss sich daran halten, sämtliche Daten unterhalb des /home Ordners abzulegen (C:\Users\MEINUSERNAME)

Android Clients

Alle Android Clients machen ein Backup Ihrer wichtigen Daten auf das NAS.
Dafür verwende ich die APP FolderSync. (ich habe hier die Bezahlversion um den APP Author zu unterstützen, aber das geht auch mit der freien Version).

NAS - lokales Backup

Das NAS selbst synct täglich alle freigegebenen Ordner auf eine an der Fritzbox angeschlossene USB-Platte. Dabei verwende ich rsync mit der backup Funktion. Wird also eine Datei auf meinem PC gelöscht und ist demzufolge auch auf dem NAS gelöscht, wird beim sync auf die USB-Platte diese Datei noch mal extra weggespeichert bevor sie auch dort gelöscht wird.

# Backup des Ordners /volume2/photo/ auf dem NAS
# Auf die USB-Platte an der Fritzbox in den Ordner /pfad/zur/fritzbox/nas-backup/photo/
# Gelöschte Dateien sollen unter /pfad/zur/fritzbox/nas-backup/_deleted_files/$(date +%Y-%m-%d)/photo/ abgelegt werden, bevor sie aus dem Backup gelöscht werden

rsync -rtuvh --stats --ignore-errors --delete --backup --backup-dir=/pfad/zur/fritzbox/nas-backup/_deleted_files/$(date +%Y-%m-%d)/photo/ /volume2/photo/ /pfad/zur/fritzbox/nas-backup/photo/

NAS - Offline Backup

Einmal in der Woche hänge ich eine Platte an meinem PC und sicher die Platte an der Fritzbox offline, danach hänge ich die Platte direkt wieder ab. Das ist meine Montags Routine…

NAS - Remote-Backup

Remote Backup habe ich aktuell keines. Bisher habe ich mir mit einem Freund gegenseitig Platz auf dem NAS geschaffen. Er hat sein Backup verschlüsselt auf meinem NAS abgelegt und ich meins verschlüsselt auf seinem. Aber es hat uns beiden nicht gefallen, dass unsere NAS dafür von außen erreichbar sein müssen. Wir hatten auch viel probiert mit OpenVPN und Wireguard, aber das lief insgesamt zu instabil bzw. war zu langsam mit den Datenraten…

Aktuell überlege ich mit eine StorageBox bei Hetzner zuzulegen, scheue aber noch noch die 140,- pro Jahr… https://www.hetzner.com/de/storage/storage-box

FAZIT

Mit meiner Backupstrategie fühle ich mich halbwegs sicher und erlaube den Clients teilweise eine feste Verbindung zum NAS. Sei es als Netzwerk-Ordner oder über den Dateiversionsverlauf. Das ist auch notwendig da ich meine Familie nicht zumuten willen erst irgendwelche Netzlaufwerke zu verbinden.
Es ist ein Kompromiss aus Benutzerfreundlichkeit und (Backup) Sicherheit.