Anmelden mit
Registrieren | Anmelden

Fazit

NAS, aber sicher: Verschlüsselung durchgetestet
Von

Die für diesen Test herangezogenen NAS-Geräte sind allesamt für den Betrieb im gewerblichen Umfeld ausgelegt, was sich in gewisser Weise auch in den Preisen niederschlägt. Für das Thecus N4200 sind etwa 550 Euro fällig und für das Synology DS1010+ sowie das Qnap TS459 Pro muss man etwa 700 Euro auf die Ladentheke legen.

Viel Geld, das hier den Besitzer wechselt, und in vielen Fällen die Erwartung weckt, dass die dem NAS-Gerät anvertrauten Daten auch wirklich sicher sind. Dieser Punkt trifft im Sinne des Datenerhalts bei Ausfall einer Festplatte auch voll zu. Die Geräte bieten diverse RAID-Modi und Backup-Funktionen, die, sinnvoll angewendet, einem Datenverlust vorbeugen bzw. diesen verhindern können.

Datenverlust durch Diebstahl

Der Datenverlust kann allerdings auch auf andere Weise als durch den Defekt einer oder mehrerer Festplatten entstehen - zum Beispiel durch Diebstahl einer Festplatte oder auch des gesamten NAS-Geräts. Solch ein Szenario ist denkbar, wenn das NAS-Gerät im gewerblichen Umfeld wie zum Beispiel im Einzelhandel oder einer Arztpraxis eingesetzt und dabei an einem Ort aufgestellt wird, der hochfrequentiert und leicht zugänglich ist, weil es die örtlichen Gegebenheiten womöglich nicht anders zulassen. Die NAS-Geräte von Thecus, Qnap und Synology selbst können zwar mit einem Kensington-Schloss festgekettet werden, bei einem Einbruch dürfte solch ein Schloss für Diebe jedoch keine allzu große Herausforderung sein.

Ähnlich bei den einzelnen Festplatten: Die Hersteller Thecus und Qnap haben dem N4200 bzw. TS-459 Pro abschließbare Festplatteneinschübe spendiert, ein beherzter Ruck mit einem geschickt angesetzten Schraubendreher dürfte jedoch dazu führen, dass die Festplatten nicht ohne Schaden am Gehäuse zu hinterlassen entfernt werden können. Die Festplatten im DS1010+ von Synology könnte sogar jeder im Vorbeilaufen mitnehmen. Abschließbare Festplatteneinschübe sind hier gar nicht vorhanden.

Verschlüsselung schützt vor Blicken dritter...

Sollte das NAS-Gerät oder die Festplatten gestohlen worden sein, ist der sicherste Schutz der Daten vor den Blicken dritter die Verschlüsselung des Festplatteninhalts. Die Hersteller bedienen sich hierfür Werkzeuge, die jedem eingefleischten Linux-Anwender seit Jahren bekannt sind und in der Praxis schon häufig eingesetzt wurden und erprobt sind. Thecus und Qnap wenden auf ihren NAS-Geräten die Verschlüsselung der kompletten Partition an, während es der Hersteller Synology seinen Anwendern erlaubt, lediglich einzelne Ordner zu verschlüsseln.

... auf Kosten der Performance

Hinsichtlich der Performance gibt es hierbei keine allzu großen Unterschiede. Alle Geräte verzeichnen erhebliche Performance-Einbrüche bei aktivierter Verschlüsselung. Die Datenübertragungsraten der drei Kandidaten liegen in vielen Benchmarks auf einem ähnlichen Niveau, wobei in ein paar Bereichen das N4200 von Thecus etwas bessere Werte als die Konkurrenz bietet. Dennoch bleibt festzustellen, dass der Bereich der Verschlüsselung für die Hersteller noch viel Luft für Verbesserungen bietet. Die Implementierung einer dedizierten Hardware-Crypto-Einheit kann sich auf die Datenübertragungsraten nur positiv auswirken. Intels Atom D510 Prozessor bietet zwar gute Performance für den Alltagsbetrieb, er ist mit den Berechnungen für die Verschlüsselung jedoch einfach überfordert - was sich unterm Strich auf die Datenübertragungsraten auswirkt.

Handhabung und Flexibilität

Hinsichtlich der Handhabung der Verschlüsselung ist Thecus der Hersteller, der das aufwändigste Konzept vorhält. Zum Freischalten einer verschlüsselten Partition muss ein externer Datenträger mit dem N4200 verbunden sein, der dann im laufenden Betrieb wieder entfernt und an einem sicheren Ort aufbewahrt werden kann und auch sollte. 

Der von Qnap angebotene Umgang mit verschlüsselten Partitionen ist ebenfalls solide und gibt keinen Grund zur Beanstandung. Synology bietet mit der Verschlüsselung einzelner Ordner die flexibelste Lösung. Währen bei der von Thecus und Qnap implementierten Verschlüsselung der Partition der Speicherplatz von vorneherein fest Zugewiesen werden muss, kann der verschlüsselte Datenbestand auf dem DS1010+ dynamisch wachsen. Der Vorteil ist hierbei, dass die wichtigsten Ordner selektiv verschlüsselt werden können ohne großen Aufwand bei der Verwaltung der RAID-Partitionen zu betreiben, alle anderen Freigaben von den Performance-Einbußen durch die Verschlüsselung jedoch nicht betroffen sind. Zudem lassen sich auch bereits bestehende Ordner noch nachträglich verschlüsseln.

Was man bei allen drei Geräten aus Sicherheitsgründen jedoch keinesfalls machen sollte, ist, die Zeichenkette zum Entschlüsseln der Partition bzw. Ordner auf dem NAS-Gerät zu speichern. Sicherheit ist immer mit etwas Aufwand verbunden und man sollte sich auch hier besser dem Umstand stellen, das Passwort für die verschlüsselten Laufwerke oder Ordner nach einem Neustart manuell einzugeben. Allzu oft dürfte dies bei einem Produktivsystem ohnehin nicht vorkommen.

Ihre Reaktion auf diesen Artikel