· Rexoma Team · IT-Sicherheit · 6 min read
NAS-Sicherheit für KMU: Synology und QNAP richtig absichern
Synology- und QNAP-Geräte stehen im Visier von Ransomware-Gruppen – weil dort die kritischsten Unternehmensdaten liegen. Was KMU jetzt tun müssen.
Synology- und QNAP-Geräte laufen in Tausenden kleiner und mittelständischer Unternehmen – als Dateiserver, Backup-Ziel und zentrales Archiv. Genau deshalb stehen sie im Visier von Angreifern: Ransomware-Gruppen haben es gezielt auf NAS-Geräte abgesehen, weil dort die kritischsten Unternehmensdaten liegen. Wer sein NAS nicht aktiv absichert, öffnet Cyberkriminellen eine zweite Hintertür in sein Netzwerk.
Warum NAS-Geräte ein bevorzugtes Angriffsziel sind
NAS-Geräte (Network Attached Storage) werden selten so sorgfältig verwaltet wie klassische Server. Updates werden aufgeschoben, Standardpasswörter bleiben stehen, Remotezugriffe werden unkontrolliert aktiviert. Das macht sie zur niedrig hängenden Frucht für automatisierte Angriffe.
Typische Schwachstellen in KMU-Netzwerken
- Veraltete Firmware: Viele Unternehmen aktualisieren ihr NAS nur selten. Bekannte Sicherheitslücken bleiben dadurch monatelang offen – und werden von Angreifern aktiv ausgenutzt.
- Direkter Internetzugang: QuickConnect (Synology) oder myQNAPcloud können das NAS unbeabsichtigt ins Internet exponieren, ohne dass der Betreiber es merkt.
- Schwache Admin-Zugangsdaten: Viele Geräte laufen noch mit dem Standardbenutzer “admin” und einem einfachen Passwort – das erste, was Brute-Force-Tools ausprobieren.
- Offene SMB-Ports: SMB ist im lokalen Netz sinnvoll. Im Internet ist es ein Einfallstor für Angriffe wie NotPetya oder gezielte Ransomware-Kampagnen.
Ransomware-Kampagnen wie eCh0raix und DeadBolt haben gezielt Synology- und QNAP-Geräte befallen – fast ausschließlich über bekannte, ungepatchte Schwachstellen. Die NAS-Sicherheit ist damit kein optionaler Zusatz, sondern Teil jeder ernsthaften KMU-Sicherheitsstrategie.
Synology absichern: Schritt-für-Schritt
1. DSM und Pakete aktuell halten
Im Synology DiskStation Manager (DSM) unter Systemsteuerung → Update & Wiederherstellung sollte automatisches Patchen für kritische Updates aktiviert sein. Gleiches gilt für alle installierten Pakete im Package Center – veraltete Pakete sind häufig der eigentliche Angriffsvektor, nicht das Basis-OS.
2. Den Admin-Account deaktivieren
Der Standard-User “admin” ist das erste, was Angreifer ausprobieren. Legen Sie einen eigenen Administratoren-Account mit einem starken, einzigartigen Passwort an und deaktivieren Sie danach den “admin”-Account unter Systemsteuerung → Benutzer & Gruppe.
3. 2-Faktor-Authentifizierung erzwingen
Unter Systemsteuerung → Sicherheit → Konto lässt sich 2FA für alle Administratoren erzwingen. Nutzen Sie eine TOTP-Authenticator-App (z. B. Aegis, Google Authenticator) – kein SMS-basiertes OTP, das durch SIM-Swapping angreifbar ist.
4. Firewall im DSM aktivieren
Die eingebaute Firewall unter Systemsteuerung → Sicherheit → Firewall sollte alle Ports blockieren, die nicht aktiv benötigt werden. Erlaubt werden nur die Dienste, die tatsächlich im Einsatz sind – SMB für das lokale Netz, HTTPS für die Weboberfläche, SSH nur bei konkretem Bedarf und ausschließlich per Public-Key.
5. QuickConnect durch VPN ersetzen
QuickConnect ermöglicht einfachen Fernzugriff, gibt aber die Kontrolle über die Netzwerkpfade ab. Sicherer ist ein VPN zur Firmenfirewall – dann ist das NAS gar nicht mehr direkt aus dem Internet erreichbar. Für KMU in Sachsen und Ostdeutschland richtet Rexoma IT eine OPNsense-Firewall mit WireGuard-VPN ein, die genau dieses Problem löst.
6. Sicherheitslogs überwachen
Im Sicherheitsberater und unter Protokollcenter lassen sich fehlgeschlagene Anmeldeversuche und Anomalien erkennen. Aktivieren Sie E-Mail-Benachrichtigungen bei Anmeldungen von unbekannten IP-Adressen – so erfahren Sie von Angriffen, bevor Schaden entsteht.
QNAP absichern: Die wichtigsten Maßnahmen
Firmware zeitnah aktualisieren
QNAP stellt regelmäßige Firmware-Updates für QTS und QuTS hero bereit. Unter Systemsteuerung → Firmware-Aktualisierung lässt sich automatisches Aktualisieren einrichten. Die DeadBolt-Ransomware hat ausschließlich ungepatchte QNAP-Geräte befallen – aktuell gehaltene Systeme waren nicht betroffen.
myQNAPcloud und UPnP deaktivieren
Viele QNAP-Geräte sind über myQNAPcloud und UPnP ungewollt aus dem Internet erreichbar. Unter Systemsteuerung → Netzwerk → UPnP Port-Weiterleitung und im myQNAPcloud-Interface sollten externe Zugriffe deaktiviert werden, sofern kein konkreter Bedarf besteht.
Security Counselor nutzen
QNAP bietet das Paket Security Counselor kostenlos im App Center an. Es prüft die aktuelle Konfiguration auf bekannte Schwachstellen und gibt priorisierte Hinweise zur Härtung. Ergänzend hilft der Malware Remover beim Erkennen bereits kompromittierter Systeme.
Protokollierung und NTP sicherstellen
Stellen Sie sicher, dass das QNAP-Gerät die korrekte Zeit über NTP synchronisiert – andernfalls sind Logdateien zur forensischen Analyse unbrauchbar. Aktivieren Sie unter Protokollcenter Benachrichtigungen bei verdächtigen Aktivitäten wie wiederholten Anmeldefehlern oder Konfigurationsänderungen.
Allgemeine Best Practices für die NAS-Sicherheit im KMU
NAS vom Internet fernhalten
Das Sicherste ist, das NAS gar nicht direkt aus dem Internet erreichbar zu machen. Fernzugriff läuft ausschließlich über VPN – wer ins Büronetz kommt, kommt auch ans NAS, aber nicht umgekehrt. Diese einfache Regel eliminiert die häufigsten Angriffsvektoren vollständig.
Netzwerksegmentierung einsetzen
NAS-Geräte sollten in einem eigenen VLAN betrieben werden, das nicht direkt mit dem Büro-WLAN oder dem Gästenetz kommuniziert. Gelangt ein Angreifer auf ein Endgerät, ist das NAS trotzdem nicht direkt erreichbar. Wie Netzwerksegmentierung für KMU in Dresden und Sachsen praktisch umgesetzt wird, hat Rexoma IT bereits im Detail beschrieben.
Benutzerrechte auf das Minimum beschränken
Nicht jeder Mitarbeiter braucht Schreibzugriff auf alle Freigaben. Legen Sie für jede Abteilung eigene Ordner mit minimalen Berechtigungen an. So begrenzen Sie den Schaden bei einem infizierten Endgerät – Ransomware kann nur verschlüsseln, worauf das betroffene Konto Schreibzugriff hat.
Regelmäßige Backups – auch vom NAS selbst
Das NAS ist kein Backup, es ist ein Primärspeicher. Es braucht selbst ein Backup: entweder auf ein zweites physisch getrenntes NAS, auf ein Bandlaufwerk oder in eine verschlüsselte Cloud (z. B. Backblaze B2 oder eine Hetzner Storage Box). Die 3-2-1-Strategie gilt: 3 Kopien, 2 verschiedene Medien, 1 Kopie außer Haus – und mindestens eine davon unveränderlich (immutable).
Sie suchen Unterstützung in Dresden?
Rexoma IT aus Dresden hilft KMU dabei, ihre NAS-Infrastruktur sicher einzurichten und dauerhaft zu betreiben – von der Erstprüfung der aktuellen Konfiguration über die Einrichtung sicherer VPN-Zugänge bis hin zur laufenden Betreuung. Wir arbeiten für Unternehmen in Dresden, Sachsen und ganz Ostdeutschland. Sprechen Sie uns an – bevor der Angreifer es tut.
FAQ: NAS-Sicherheit für KMU
Wie oft sollte ich mein Synology oder QNAP aktualisieren? Kritische Sicherheitsupdates sollten innerhalb weniger Tage eingespielt werden. Aktivieren Sie automatische Updates für kritische Patches und prüfen Sie das System mindestens einmal monatlich manuell auf ausstehende Updates im Package Center bzw. App Center.
Darf mein NAS direkt aus dem Internet erreichbar sein? Nur wenn es zwingend notwendig ist – und dann ausschließlich mit 2FA, aktueller Firmware, starken Passwörtern, aktivierter Firewall und einem gesperrten Admin-Account. Deutlich sicherer ist der Zugriff ausschließlich über ein VPN.
Was ist der Unterschied zwischen RAID und Backup? RAID schützt vor Festplattenausfällen – nicht vor Ransomware, versehentlichem Löschen oder Bränden. Backups müssen separat und möglichst offline oder in einer unveränderlichen Cloud gespeichert werden. Ein RAID-Verbund ist kein Datenschutz.
Welche NAS-Marke ist sicherer – Synology oder QNAP? Beide Hersteller haben in der Vergangenheit Sicherheitslücken gehabt. Synology gilt allgemein als etwas konsistenter bei der Pflege des Betriebssystems und der Paketaktualisierungen. Entscheidend ist jedoch nicht die Marke, sondern die konsequente Härtung, regelmäßige Aktualisierung und ein durchdachtes Netzwerkkonzept.
Kann Rexoma mein NAS aus der Ferne prüfen und absichern? Ja. Rexoma IT bietet Remote-IT-Betreuung für KMU an – inklusive Konfigurationsprüfung, Firmware-Updates und Einrichtung sicherer Fernzugangslösungen per VPN. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
Rexoma IT