NAS verschlüsseln wie von C´t empfohlen?

[DS-Thorsten]

In der aktuellen C´t 4/2023 ist das Titelthema Daten verschlüsseln.
Auch im C´t Uplink:
https://youtu.be/ibWR4sobHp4

Es wird empfohlen einfach immer "alles" was geht zu verschlüsseln. Dann hat man kein Problem, wenn die Daten wie auch immer (Diebstahl, Cyberangriff, Verlieren...) weg kommen/ in die falschen Hände gelangen. Kein Problem heißt natürlich, wenn man ein Backup hat an das man noch selbst ran kommt. Man muss sich also keine Sorgen um seine Daten machen und Angst haben, dass diese irgendwie verwendet werden (Erpressung, Veröffentlichung ....)

Klingt für mich gut und logisch.
Bisher hatte ich meine Daten auf den privaten NAS nicht verschlüsselt. Jetzt überlege ich, ob ich das tun soll. Bringt es mir wirklich mehr Sicherheit oder im Zweifel mehr Probleme?
Wie macht ihr das?

Bisher war meine Überlegung, dass das NAS nur durch Diebstahl in falsche Hände kommen kann. Risiko ist im geschäftlichen Umfeld sicher höher als privat.
Und solange der Ordner nicht getrennt ist, sondern Angehängt und sogar noch als Laufwerk mit dem Windows PC verbunden ist, ist er ja nicht verschlüsselt. Damit ist er dann auch nicht vor z.B. einen Cyberangriff geschützt. Die Daten sind zugänglich.

Daher war meine Überlegung, dass mir eine Verschlüsselung nicht viel mehr Sicherheit bringt. Im Fall von einem DSM/ Festplatten/ RAID Problem, sogar noch zusätzliche Probleme bringen kann um selbst "einfach" wieder an die Daten zu kommen.

Bin gespannt wie ihr das macht oder ob ich was übersehen hab bei den Vorteilen einer NAS Verschlüsselung im privaten Umfeld.

 

[ottosykora]

ich muss immer etwas schmunzeln bei der ganzen Verschlüsselungs Manie. Das macht man nur weil es geht.

Ich habe jahrelang kommerzielle Kommunikation betrieben, Geschäftliche Korrespondenz, finanzielle Sachen auch, persönliche Daten übermittelt, medizinische Daten übermittelt und das alles ohne jede Spur von Verschlüsselung, für jedermann abhörbar. Nur mit Morsezeichen über Radio.
Die Welt dreht sich deshalb immer noch weiter, Sonne scheint ab und zu nach wie vor, ich lebe auch noch...

frage mich immer wieder was ist denn mit der Menschheit passiert?

 

[himitsu]

Nunja, immer wieder werden ja Kundendaten bei großen Plattformen geklaut.
Sind sie gut verschlüsselt (und der Schlüssel wurde nicht mit ergaunert), dann hat niemand ein Problem, weil irgendwer zwar die Daten hätte, aber nichts damit machen kann.

Im Falle der verschlüsselten Shares, kann man sie immer nur kurz verbinden/entschlüsseln, wenn man grade was macht, und ansonsten getrennt/verschlüsselt.
Dann ist die Zeit, wo ein Böser was machen kann, geringer und die auch Wahrscheinlichkeit, dass er wirklich was bekommt, niedriger.
Dann noch getrennte Shares für unterschiedliche Dinge und selbst wenn jemand dann was abbekommt, wäre es zumindestens nicht gleich Alles.

 

[Flessi]

Wichtig ist mir: wer auch immer meinen NAS (S=Speicher), der beim Booten per USB-Stick entschlüsselt wird, mitnimmt, kann das nur stromlos tun und kommt deshalb nicht mehr an die Daten. Sollte eine Platte defekt sein, brauche ich sie nicht mehr mit einem Vorschlaghammer plattklopfen, da die Daten sowieso nicht mehr zu lesen sind.

 

[Monacum]

und der Schlüssel wurde nicht mit ergaunert

Beziehungsweise er wurde nicht im Klartext gespeichert (doof), sondern ordentlich gehasht (Hashfunktion, Salted Hash)… Auch das ist leider bei großen Anbietern nicht immer Standard.

Die Welt dreht sich deshalb immer noch weiter, Sonne scheint ab und zu nach wie vor, ich lebe auch noch...

Das muss ja auch jeder selber wissen. Klar ist aber, wenn man es bemerkt, ist es auch zu spät. Und für die Verschlüsselung muss man keinen großen Aufwand betreiben, sie ist, wie du selbst schreibst, ja einfach verfügbar. „Damals™“ ist da ein schlechtes Argument, weil sich die Welt weiterdreht und neben den Möglichkeiten für Anwender auch die der „bösen Buben“ immer wieder ändern.

 

[ottosykora]

Ja, ich habe damals meinen Instrukteur gefragt ob da einfach jeder meine Daten mitlesen kann? Ja, du kannst das gleiche bei den anderen tun.. war die Antwort

 

[NSFH]

Du scheinst ein sonniges Gemüt zu haben. Nur weil du früher keine Möglichkeiten hattest deine Daten zu schützen jetzt den Sinn in Frage zu stellen ist mehr als strange. Muss man auch nicht weiter kommentieren.
Wer Zugriff auf eine unverschlüsselte HD bekommt erlangt auch Zugriff auf zB in Mailprogrammen oder im Browser gespeicherte Passwörter. Ok, da Otto nur das Passwort passwort verwendet ist das nicht schlimm, aber die meisten anderen hier sehen das (hoffentlich) anders.

Zur Sache: Es gibt ganz pragmatische Gründe seine Festplatten zu verschlüsseln. Festplatte defekt während der Garantiezeit. Ausser otto wird wohl keiner seine uverschlüsselte HD an den Hersteller schicken wo niemand weiss, was mit der Platte passiert und wer dort an meine Daten kommt.
Ich habe mal von WD eine reparierte HD zurück bekommen. Da wurde nur der Controller getauscht. An der Textmarkerbeschriftung konnte ich sehen, dass die Platte selbst noch original war.
Den Controllertausch kann jeder an einer defekten HD vornehmen. Es gibt diverse Anbieter aus China und Taiwan, die den neuen Controller an die Seriennummer und Rev der HD anpassen. Das kostet um die 30-40€. Somit kann jeder versuchen HDs wieder zu beleben, denn der Elektronikschaden ist häufiger als der HD Crash (den man sogar selber versuchen kann zu reparieren).

 

[Thorfinn]

Wer Zugriff auf eine unverschlüsselte HD bekommt erlangt auch Zugriff auf zB in Mailprogrammen oder im Browser gespeicherte Passwörter.

naja, die Password manager modernerer Browser und Betreibssysteme, legen das schon verschlüsselt ab. Wenn man nicht eingelogt ist, liegen da nur sinnlose 0en und 1en auf der Festplatte.

 

[himitsu]

Zur Laufzeit (jemand ist eingeloggt), dann ist die Systempartition und die jeweils privaten Nutzerverzeichnisse praktisch entschlüsselt/lesbar und das laufende Programm angreifbar.

 

[Thorfinn]

Full ACK - aber derjemand der davor sitzt und eingeloggt ist hat doch hoffentlich keine Rechte die Systempartition anzufassen (es ist ja kein cp/m oder DOS).
Admin arbeitet nie produktiv.

Natürlich sind die laufenden Prozesse angreifbar. Daran ändert auch eine Verschlüsselung der Daten nix.
Und wenn der Angreifer mit Ransomware die nutzerverschlüsselten Daten nochmal verschlüsselt, ist das auch doof.
Einen Tot stirbt jeder.

 

[kev.lin]

Nachdem ich mir das Thema Verschlüsselung durch den Kopf habe gehen lassen, war ein Argument das für mich Entscheidende:

...
Zur Sache: Es gibt ganz pragmatische Gründe seine Festplatten zu verschlüsseln. Festplatte defekt während der Garantiezeit. Ausser otto wird wohl keiner seine uverschlüsselte HD an den Hersteller schicken wo niemand weiss, was mit der Platte passiert und wer dort an meine Daten kommt.
...

Wenn ich eine defekte Platte (z.B. auf Garantie) ersetzen lasse, will ich doch nicht die Platte mit Daten an den Hersteller versenden! Und nachträglich verschlüsseln geht nicht, da die Platte defekt ist!

Ich habe das Ganze nun so gelöst, dass ich die Netzwerkordner verschlüssele. Dazu wird das Passwort beim Starten der DiskStation aus zwei Teilen zusammengesetzt. Ein Teil davon kann ganz woanders liegen: externer Server, FritzBox, Raspberry PI, etc.

Mein Script dazu, habe ich in diesem Thread hinterlegt.