NAS verschlüsseln wie von C´t empfohlen?

DS-Thorsten

Benutzer
Mitglied seit
01. Mrz 2020
Beiträge
56
Punkte für Reaktionen
28
Punkte
18
In der aktuellen C´t 4/2023 ist das Titelthema Daten verschlüsseln.
Auch im C´t Uplink:
https://youtu.be/ibWR4sobHp4

Es wird empfohlen einfach immer "alles" was geht zu verschlüsseln. Dann hat man kein Problem, wenn die Daten wie auch immer (Diebstahl, Cyberangriff, Verlieren...) weg kommen/ in die falschen Hände gelangen. Kein Problem heißt natürlich, wenn man ein Backup hat an das man noch selbst ran kommt. Man muss sich also keine Sorgen um seine Daten machen und Angst haben, dass diese irgendwie verwendet werden (Erpressung, Veröffentlichung ....)

Klingt für mich gut und logisch.
Bisher hatte ich meine Daten auf den privaten NAS nicht verschlüsselt. Jetzt überlege ich, ob ich das tun soll. Bringt es mir wirklich mehr Sicherheit oder im Zweifel mehr Probleme?
Wie macht ihr das?

Bisher war meine Überlegung, dass das NAS nur durch Diebstahl in falsche Hände kommen kann. Risiko ist im geschäftlichen Umfeld sicher höher als privat.
Und solange der Ordner nicht getrennt ist, sondern Angehängt und sogar noch als Laufwerk mit dem Windows PC verbunden ist, ist er ja nicht verschlüsselt. Damit ist er dann auch nicht vor z.B. einen Cyberangriff geschützt. Die Daten sind zugänglich.

Daher war meine Überlegung, dass mir eine Verschlüsselung nicht viel mehr Sicherheit bringt. Im Fall von einem DSM/ Festplatten/ RAID Problem, sogar noch zusätzliche Probleme bringen kann um selbst "einfach" wieder an die Daten zu kommen.

Bin gespannt wie ihr das macht oder ob ich was übersehen hab bei den Vorteilen einer NAS Verschlüsselung im privaten Umfeld.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.995
Punkte für Reaktionen
1.203
Punkte
288
ich muss immer etwas schmunzeln bei der ganzen Verschlüsselungs Manie. Das macht man nur weil es geht.

Ich habe jahrelang kommerzielle Kommunikation betrieben, Geschäftliche Korrespondenz, finanzielle Sachen auch, persönliche Daten übermittelt, medizinische Daten übermittelt und das alles ohne jede Spur von Verschlüsselung, für jedermann abhörbar. Nur mit Morsezeichen über Radio.
Die Welt dreht sich deshalb immer noch weiter, Sonne scheint ab und zu nach wie vor, ich lebe auch noch...

frage mich immer wieder was ist denn mit der Menschheit passiert?
 
  • Like
Reaktionen: stulpinger

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Nunja, immer wieder werden ja Kundendaten bei großen Plattformen geklaut.
Sind sie gut verschlüsselt (und der Schlüssel wurde nicht mit ergaunert), dann hat niemand ein Problem, weil irgendwer zwar die Daten hätte, aber nichts damit machen kann.

Im Falle der verschlüsselten Shares, kann man sie immer nur kurz verbinden/entschlüsseln, wenn man grade was macht, und ansonsten getrennt/verschlüsselt.
Dann ist die Zeit, wo ein Böser was machen kann, geringer und die auch Wahrscheinlichkeit, dass er wirklich was bekommt, niedriger.
Dann noch getrennte Shares für unterschiedliche Dinge und selbst wenn jemand dann was abbekommt, wäre es zumindestens nicht gleich Alles.
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
Wichtig ist mir: wer auch immer meinen NAS (S=Speicher), der beim Booten per USB-Stick entschlüsselt wird, mitnimmt, kann das nur stromlos tun und kommt deshalb nicht mehr an die Daten. Sollte eine Platte defekt sein, brauche ich sie nicht mehr mit einem Vorschlaghammer plattklopfen, da die Daten sowieso nicht mehr zu lesen sind.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.216
Punkte für Reaktionen
1.035
Punkte
224
und der Schlüssel wurde nicht mit ergaunert
Beziehungsweise er wurde nicht im Klartext gespeichert (doof), sondern ordentlich gehasht (Hashfunktion, Salted Hash)… Auch das ist leider bei großen Anbietern nicht immer Standard.
Die Welt dreht sich deshalb immer noch weiter, Sonne scheint ab und zu nach wie vor, ich lebe auch noch...
Das muss ja auch jeder selber wissen. Klar ist aber, wenn man es bemerkt, ist es auch zu spät. Und für die Verschlüsselung muss man keinen großen Aufwand betreiben, sie ist, wie du selbst schreibst, ja einfach verfügbar. „Damals™“ ist da ein schlechtes Argument, weil sich die Welt weiterdreht und neben den Möglichkeiten für Anwender auch die der „bösen Buben“ immer wieder ändern.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.995
Punkte für Reaktionen
1.203
Punkte
288
Ja, ich habe damals meinen Instrukteur gefragt ob da einfach jeder meine Daten mitlesen kann? Ja, du kannst das gleiche bei den anderen tun.. war die Antwort
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Du scheinst ein sonniges Gemüt zu haben. Nur weil du früher keine Möglichkeiten hattest deine Daten zu schützen jetzt den Sinn in Frage zu stellen ist mehr als strange. Muss man auch nicht weiter kommentieren.
Wer Zugriff auf eine unverschlüsselte HD bekommt erlangt auch Zugriff auf zB in Mailprogrammen oder im Browser gespeicherte Passwörter. Ok, da Otto nur das Passwort passwort verwendet ist das nicht schlimm, aber die meisten anderen hier sehen das (hoffentlich) anders.

Zur Sache: Es gibt ganz pragmatische Gründe seine Festplatten zu verschlüsseln. Festplatte defekt während der Garantiezeit. Ausser otto wird wohl keiner seine uverschlüsselte HD an den Hersteller schicken wo niemand weiss, was mit der Platte passiert und wer dort an meine Daten kommt.
Ich habe mal von WD eine reparierte HD zurück bekommen. Da wurde nur der Controller getauscht. An der Textmarkerbeschriftung konnte ich sehen, dass die Platte selbst noch original war.
Den Controllertausch kann jeder an einer defekten HD vornehmen. Es gibt diverse Anbieter aus China und Taiwan, die den neuen Controller an die Seriennummer und Rev der HD anpassen. Das kostet um die 30-40€. Somit kann jeder versuchen HDs wieder zu beleben, denn der Elektronikschaden ist häufiger als der HD Crash (den man sogar selber versuchen kann zu reparieren).
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.777
Punkte für Reaktionen
442
Punkte
103
Wer Zugriff auf eine unverschlüsselte HD bekommt erlangt auch Zugriff auf zB in Mailprogrammen oder im Browser gespeicherte Passwörter.
naja, die Password manager modernerer Browser und Betreibssysteme, legen das schon verschlüsselt ab. Wenn man nicht eingelogt ist, liegen da nur sinnlose 0en und 1en auf der Festplatte.
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Zur Laufzeit (jemand ist eingeloggt), dann ist die Systempartition und die jeweils privaten Nutzerverzeichnisse praktisch entschlüsselt/lesbar und das laufende Programm angreifbar.
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.777
Punkte für Reaktionen
442
Punkte
103
Full ACK - aber derjemand der davor sitzt und eingeloggt ist hat doch hoffentlich keine Rechte die Systempartition anzufassen (es ist ja kein cp/m oder DOS).
Admin arbeitet nie produktiv.

Natürlich sind die laufenden Prozesse angreifbar. Daran ändert auch eine Verschlüsselung der Daten nix.
Und wenn der Angreifer mit Ransomware die nutzerverschlüsselten Daten nochmal verschlüsselt, ist das auch doof.
Einen Tot stirbt jeder.
 
Zuletzt bearbeitet von einem Moderator:

kev.lin

Benutzer
Mitglied seit
17. Jul 2007
Beiträge
624
Punkte für Reaktionen
42
Punkte
48
Nachdem ich mir das Thema Verschlüsselung durch den Kopf habe gehen lassen, war ein Argument das für mich Entscheidende:
...
Zur Sache: Es gibt ganz pragmatische Gründe seine Festplatten zu verschlüsseln. Festplatte defekt während der Garantiezeit. Ausser otto wird wohl keiner seine uverschlüsselte HD an den Hersteller schicken wo niemand weiss, was mit der Platte passiert und wer dort an meine Daten kommt.
...
Wenn ich eine defekte Platte (z.B. auf Garantie) ersetzen lasse, will ich doch nicht die Platte mit Daten an den Hersteller versenden! o_O Und nachträglich verschlüsseln geht nicht, da die Platte defekt ist!

Ich habe das Ganze nun so gelöst, dass ich die Netzwerkordner verschlüssele. Dazu wird das Passwort beim Starten der DiskStation aus zwei Teilen zusammengesetzt. Ein Teil davon kann ganz woanders liegen: externer Server, FritzBox, Raspberry PI, etc.

Mein Script dazu, habe ich in diesem Thread hinterlegt.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat