NAS sicher betreiben

Als c’t-Leser Gunther J. seine Urlaubsfotos durchstöbern wollte, erlebte er eine unangenehme Überraschung: Alle Dateien auf dem ansonsten zuverlässigen NAS waren gelöscht. Stattdessen entdeckte er eine Datei namens „DATA RECOVERY ! ! !!.txt“, die wie folgt beginnt: „YOUR REMOTE STORAGE WAS COMPROMISED. YOUR FILES ARE IN OUR POSSESSION.“ J. war offenbar Opfer einer Cyber-Gang geworden, die sich an seinen Urlaubsfotos zu schaffen gemacht hatte.

Die Täter behaupteten, die Dateien seien in Sicherheit, verschlüsselt auf einem Server. Um die Urlaubsfotos aus der digitalen Geiselhaft zu befreien, solle J. 0,03 Bitcoin an die Adresse 18bvW­Vxx3KD3gaqkBoPSwShimUWkG1eZNL überweisen, das entspricht umgerechnet rund 400 Euro. Doch da gab es zwei Probleme: Zum einen war die Frist der Erpressergruppe, die sich selbst ironischerweise „Data Recovery“ nennt, längst abgelaufen – J. hatte die Misere erst nach zwei Monaten entdeckt. Zum anderen ist es immer eine schlechte Idee, mit Erpressern zu verhandeln.

Gemeinsam mit seiner Frau suchte Gunther J. nach einem Weg, die Urlaubsfotos zu retten. Dann hatte sie eine Idee, die kurz darauf auch in die Tat umgesetzt wurde: Die beiden riefen in der c’t-Redaktion an. Bei uns melden sich häufig Opfer von Cyber-Erpressern, doch dieser Fall machte uns besonders neugierig. Denn es war völlig rätselhaft, wie die Täter auf das NAS zugreifen konnten. Es war schnell klar, dass der Anrufer sein Heimnetz mit Bedacht aufgebaut und konfiguriert hatte.

Meist gelingen solche Angriffe, weil ein NAS unzureichend abgesichert und über eine Port-Weiterleitung im Router von außen zugänglich gemacht wurde. Doch das war anscheinend nicht der Fall, J. griff nur von zu Hause auf seinen Netzwerkspeicher mit den Urlaubsfotos zu und hatte auch keine Port-Weiterleitung eingerichtet. Theoretisch kann die Attacke auch von einem infizierten Rechner im lokalen Netz ausgegangen sein, doch auch diese These schien unwahrscheinlich: J. hatte sämtliche Rechner bereits vor seinem Anruf mit Desinfec’t auf Virenbefall untersucht – keine Funde, alles war sauber.

Dennoch war es den Cyber-Erpressern offensichtlich gelungen, auf sein NAS zuzugreifen und die Urlaubsfotos zu löschen. J. erzählte, dass er vor dem Vorfall seine Fritzbox, an der das NAS hing, durch den Standard-Router seines Providers Vodafone ersetzt hatte, ein Gerät des Typs CBN CH6640E. Zwar machte dieses Modell schon in der Vergangenheit durch haarsträubende Sicherheitslücken Schlagzeilen. Vodafone hat die Probleme jedoch längst mit einem automatisch verteilten Firmware-Update gelöst. Wir baten J., uns weitere Informationen zu mailen, und gaben ihm den Tipp, die beiden NAS-Festplatten in einen Rechner einzubauen und sie dort mit dem in Desinfec’t enthaltenen Datenrettungs-Tool photorec zu untersuchen – in der Hoffnung, dass sich die Urlaubsfotos doch noch wiederherstellen lassen.

Erpresserbrief statt Urlaubsfotos

Gunther J. schickte uns unter anderem das Erpresserschreiben, das er auf seinem NAS entdeckt hatte. Zu der darin angegebenen Bitcoin-Adresse lieferte Google interessante Details: Sein NAS ist offenbar einer größeren Angriffswelle zum Opfer gefallen, die auf bestimmte NAS-­Modelle des Herstellers LenovoEMC (früher Iomega) abzielt. Tatsächlich hat unser Leser ein solches NAS im Einsatz, nämlich ein Iomega StorCenter ix2-200. Über blockchain.com fanden wir heraus, dass auf der Bitcoin-Adresse der Täter immerhin gut 0.13 BTC eingegangen waren, umgerechnet über 1700 Euro. Weitere Recherchen ergaben, dass die Angreifer vermutlich eine Sicherheitslücke in der Iomega-­Firmware ausnutzten. Durch ein ungeschütztes API ist es möglich, ohne Authentifizierung auf das Dateisystem des NAS zuzugreifen (CVE-2019-6160). Im August 2019 hatte Lenovo auf seiner Website vor diesem akuten Sicherheitsproblem gewarnt und ein Firmware-Update zur Verfügung gestellt. Das war unserem Leser offenbar entgangen. Eine Rückfrage ergab, dass die von ihm eingesetzte Firmware älter war.

Doch der Fall war noch längst nicht gelöst, denn auch ein ungeschütztes API ist erstmal nicht für Angreifer aus dem Internet erreichbar – und eine Port-Weiterleitung im Router hatte J. ja nicht eingerichtet. Den letzten Teil des Rätsels löste unser Leser selbst: Er entdeckte, dass in dem Vodafone-­Router sehr wohl eine Weiterleitung aufs NAS eingerichtet war. Aber wer hatte die angelegt, wenn nicht J.? Der Übeltäter war das verwundbare Iomega-NAS selbst: Gut versteckt auf Seite 92 des Handbuchs findet sich der folgende Hinweis: „Router-Port-Weiterleitung: Einige Router haben eine UPnP-Option. Bei einem UPnP-Router kann die Software des Iomega Geräts bei Aktivierung automatisch die richtigen Weiterleitungs-Ports konfigurieren.“

J. hatte vergessen, nach einem Reset des Routers die UPnP-Funktion abzuschalten. Das NAS hat dies bemerkt, selbstständig ein Port-Forwarding anlegt – und sich damit sein eigenes Datengrab geschaufelt. Die Täter hatten noch am Tag des Router-Resets zugeschlagen. Doch auch diese Geschichte hat ein Happy End: Nachdem der Datenretter photorec durchgelaufen war, konnte unser Leser wieder auf seine Urlaubsfotos zugreifen. Einzig die Sortierung der zahlreichen Dateien war durcheinander geraten, doch das war schnell behoben.

Jetzt sind Sie dran!

Der Fall demonstriert, wie schwierig es ist, Geräte im lokalen Netz vor Hackern zu schützen – selbst wenn man die Gefahren kennt. Damit es Ihnen nicht ähnlich ergeht, fassen wir die wichtigsten Handgriffe zum Absichern eines NAS am Beispiel eines Synology-Geräts in diesem Artikel zusammen. Die Tipps gelten sinngemäß für alle anderen Marken. So können Sie Ihre Daten nicht nur vor Cyber-Angriffen schützen, sondern auch vor anderen Arten des Datenverlustes.