Synology NAS: Ordner verschlüsseln

Wer sensible Daten auf seinem NAS speichert, sei es privat oder geschäftlich, sollte sich überlegen diese zu verschlüsseln. Denn selbst wenn das NAS aus dem Internet nicht erreichbar ist, die Benutzerprofile mit starken Kennwörtern ausgestattet sind und die Berechtigungen geschickt verteilt wurden, besteht immer noch die Gefahr eines Diebstahls.
Besonders bei sensiblen Geschäftsdaten ist dies eine nicht zu unterschätzende Gefahr, nicht um sonst sind Serverräume im besten fall verschlossen. Sollte Ihr NAS gestohlen werden ist eine Verschlüsselung die beste Methode Ihre Daten zu schützen, denn ohne den entsprechenden Schlüssel ist es unmöglich an die Daten heranzukommen. Sie können neue Freigaben direkt mit Verschlüsselung erstellen, oder bestehende Ordner nachträglich verschlüsseln.

Verschlüsseln vorbereiten

Bevor Sie einen Ordner auf Ihrem NAS verschlüsseln sollten Sie sich überlegen ob und wo Sie den Schlüssel speichern möchten.
Wenn Sie sich entscheiden ihn zu sichern, wird der Schlüssel auf einem externen Speichergerät oder einer Systempartition auf dem NAS als Datei gespeichert. Den Schlüssel auf dem NAS selbst zu speichern ist allerdings nicht zu empfehlen. Stiehlt jemand das Gerät, könnte er ihn nutzen um die Daten zu entschlüsseln. Mit diesem Schlüssel können Sie auf die Daten zugreifen, sollten Sie ihr Passwort vergessen.
Schließen Sie also am Besten ein externes Speichermedium an Ihr NAS an und testen Sie ob es unterstützt wird. Wenn Sie den Schlüssel als Datei speichern sollten Sie außerdem eine Sicherungskopie auf einem dritten Gerät oder einer Cloud anlegen.
Oder Sie verzichten darauf den Schlüssel zu speichern und nutzen nur das von Ihnen vergebene Passwort. Auch dieses sollten Sie, etwa in einem Passwortmanager, sichern da sie ohne nicht an Ihre Daten kommen.
Außerdem sollte erwähnt werden, dass die Verschlüsselung die Geschwindigkeit, mit der Dateien im Ordner aufgerufen und bearbeitet werden beeinflussen kann. Meistens fällt dies nicht auf, aber es macht dennoch Sinn nur tatsächlich wichtige Daten zu verschlüsseln.
Hinzukommt, dass verschlüsselt Ordner unter DSM 6.2 oder früheren Versionen nicht per NFS erreichbar sind. Ab DSM 7.0 ist dies möglich.

Bestehende Ordner verschlüsseln

Um eine vorhandene Freigabe zu verschlüsseln, öffnen Sie auf Ihrem NAS die Systemsteuerung und klicken auf Gemeinsamer Ordner. Dann wählen Sie den Ordner, der verschlüsselt werden soll und gehen auf Bearbeiten. In dem neuen Fenster finden Sie den Reiter Verschlüsselung und darin die Option „Diesen gemeinsamen Ordner verschlüsseln“.
Geben Sie dann ein Passwort ein und bestätigen Sie dieses.
Wenn Sie die Option „Verschlüsselungsschlüssel zu Schlüssel-Manager hinzufügen“ wählen, können Sie Ordner und Schlüssel später besser verwalten. Wenn Sie sich nicht sicher sind ob Sie dies nutzen möchten, lassen Sie die Option erstmal weg. Der Schlüssel kann auch später noch hinzugefügt werden.
Klicken Sie anschließend auf Ok um die Einstellungen zu übernehmen und Sie werden gewarnt, dass die Verschlüsselung etwas Zeit in Anspruch nehmen kann. Danach erscheint erneut ein Fenster mit Hinweisen zur Verschlüsselung, nachdem Sie dies bestätigt haben, beginnt der Vorgang.
Danach wird automatisch die Datei mit dem Schlüssel heruntergeladen, von der oben bereits die Rede war.

Einen verschlüsselten Ordner erstellen

Um einen Ordner von Beginn an zu Verschlüsseln gehen Sie ähnlich vor:
In der Systemsteuerung auf Gemeinsamer Ordner klicken, dann Erstellen. Geben Sie dem Ordner einen Namen und Klicken Sie auf weiter. Im nächsten Fenster setzten Sie den Hacken um den Ordner zu verschlüsseln. Konfigurieren Sie danach die weiteren Einstellungen. Klicken Sie auf Übernehmen und bestätigen die Hinweise zur Verschlüsselung. Ist der Vorgang abgeschlossen wird die Schlüsseldatei heruntergeladen und Sie können die Berechtigungen für den Ordner setzen.

Die Verschlüsselung anhängen oder trennen

Wenn Sie die Ordner frisch verschlüsselt haben, ist diese automatisch „angehängt“, das heißt die Daten sind für Benutzer mit den entsprechenden Berechtigungen verfügbar. Wird das NAS jedoch abgeschaltet und wieder hochgefahren, wie bei einem Diebstahl zum Beispiel, werden diese „getrennt“ und sind erst nach Eingabe des Schlüssels wieder nutzbar. Um einen Ordner wieder anzuhängen klicken Sie mit der rechten Maustaste darauf und wählen unter Verschlüsselung den Punkt Anhängen. Danach geben Sie den Schlüssel ein, oder importieren die Schlüsseldatei von einem anderen Gerät.

Der Schlüssel-Manager

Mit Hilfe des Schlüssel-Managers können Sie die Schlüssel Ihrer Freigaben verwalten. Dazu müssen Sie zunächst einen Schlüsselspeicher konfigurieren. Gehen Sie dafür auf Systemsteuerung > Gemeinsame Ordner und hier auf Verschlüsselung, dann wählen Sie Schlüssel-Manager.

Wenn Sie ihn das erste Mal starten, werden Sie aufgefordert einen Schlüsselspeicher zu konfigurieren. Dabei haben Sie die Auswahl zwischen einem Externen Gerät oder der Systempartition als Speicherort. Um ein externes Gerät auszuwählen, müssen Sie einen USB-Stick oder ähnliches anschließen, danach wählen Sie das Gerät (meistens „usbshare1-1“) und legen eine Passphrase fest. Ein Externes Gerät ist hier die bevorzugte Methode, da dies mehr Sicherheit für Ihre Daten bietet.
Anschließend können Sie im Schlüssel-Manager auf Hinzufügen klicken. Wählen Sie hier den Ordner, den Sie verschlüsseln möchten, und die Chiffre für den Schlüssel. Die Chiffre bezeichnet die Methode der Verschlüsselung des Schlüssels, hier gibt es zwei Möglichkeiten:
Die Passphrase ist nur in Verbindung mit einem externen Schlüsselspeicher verfügbar und dient als Kennwort. Wer die Passphrase kennt, kann die Daten entschlüsseln.
Wenn Sie einen Rechnerschlüssel wählen kann nur Ihr NAS die Daten entschlüsseln.
Danach können Sie den Schlüssel des Ordners entweder manuell eingeben oder die Schlüssel-Datei importieren.


Wenn Sie einem Schlüsselspeicher mehrere Schlüssel hinzufügen können Sie mehrere verschlüsselte Ordner gleichzeitig entschlüsseln, indem Sie sie markieren und dann Verschlüsselung > Anhängen wählen.
Setzen Sie den Hacken bei beim Hochfahren einhängen, werden die gewählten Ordner automatisch entschlüsselt wenn das NAS hochfährt. Diese Option funktioniert nur wenn Sie Rechnerschlüssel als Chiffre gewählt haben.
Wenn Sie ein externes Gerät als Schlüsselspeicher gewählt haben, sollten Sie die Option Gerät nach dem Hochfahren auswerfen aktivieren. Dies stellt sicher, dass die Daten nicht ungewollt wieder entschlüsselt werden können, wenn der Schlüssel getrennt wurde.

Fazit

Die Verschlüsselungsoptionen von Synology bieten eine gute zusätzliche Sicherheitsebene. Besonders für sensible Geschäfts- oder Kundendaten sollte dies daher genutzt werden. Diese Anleitung gilt übrigens für DSM 7.0 und höher. Unter DSM 6.2 funktioniert eigentlich alles gleich, aber einige Menüs sind anders aufgebaut. Den Schlüssel-Manager zum Beispiel finden Sie unter Systemsteuerung > Gemeinsamer Ordner > Aktion > Schlüssel-Manager.
Wenn Sie Fragen haben oder eine Beratung wünschen, sprechen Sie uns gerne an.
Weitere Informationen über Synology Systeme und wie wir sie einsetzen finden Sie auf unserer Webseite.
Oder besuchen Sie unseren Blog für weitere interessante und hilfreiche Artikel.

Daniel Trögele
Letzte Artikel von Daniel Trögele (Alle anzeigen)