Um die persönlichen Daten vor potenziellen böswilligen Benutzern zu schützen, nutzt DSM eine als Advanced Encryption Standard (AES) bezeichnete Verschlüsselungstechnologie: Eure Daten werden in einem verschlüsselten Format zusammen mit Verschlüsselungsschlüsseln gespeichert. Darüber hinaus bietet DSM die AES 256-Bit-Verschlüsselung bei der Freigabe, um alle unautorisierten Zugriffsversuche zu blockieren.
Was ist AES?
Advanced Encryption Standard (AES) ist eine Spezifikation für die Verschlüsselung elektronischer Daten. AES wurde 2001 in den USA eingeführt und wird heute in hohem Maße weltweit verwendet. Der von AES implementierte Algorithmus ist symmetrisch, sodass die Verschlüsselung/Entschlüsselung mithilfe desselben Verschlüsselungsschlüssels erfolgt. Um die Informationssicherheit zu gewährleisten, kann ohne den Schlüssel auf verschlüsselte Daten nicht zugegriffen werden.
Wichtiger Hinweis
- Ich empfehle dringend, den Verschlüsselungsschlüssel für jeden verschlüsselten freigegebenen Ordner zu exportieren und zu speichern.
- Ohne den Schlüssel ist es nicht möglich, die Verschlüsselung zu knacken und auf die Daten zuzugreifen, auch dann nicht, wenn die Laufwerke in andere Geräte eingebaut werden.
Erklärung der Begriffe
- Schlüsselspeicher: Ein Schlüsselspeicher ist ein externes Gerät oder eine Systempartition, das bzw. die von der Synology NAS unterstützt wird und als physischer Schlüssel zum Entschlüsseln freigegebene Ordner verwendet wird.
- Chiffre: Chiffre ist eine Methode zum Verschlüsseln von freigegebenen Ordnern. Der Schlüssel-Manager bietet zwei Arten von Chiffre:
- Passphrase: Schlüssel, die anhand einer Passphrase verschlüsselt werden, können von jedem entschlüsselt werden, der die Passphrase kennt.
- Rechnerschlüssel: Schlüssel, die anhand eines Rechners verschlüsselt werden, können nur durch die zugehörige Synology NAS entschlüsselt werden.
Das Video wird von Youtube eingebettet. Es gelten die Datenschutzerklärungen von Google. Mit dem abspielen des Videos nimmst Du dies zur Kenntnis.
Der Schlüsselmanager
Bei mir kommt der Schlüsselmanager zum Einsatz und ich nutze hierfür einen USB-Stick. Um die Sicherheit zusätzlich zu erhöhen, kann der USB-Stick ausschließlich an meiner DiskStation genutzt werden. Sollte ich das Gerät also wechseln, ist die erneute Einrichtung notwendig. Unterschiedliche Strategien erfordern unter Umständen eine andere Vorgehensweise. Keinesfalls sollte der USB-Stick mit dem Schlüsselspeicher im Synology NAS gesteckt bleiben!
Hyper Backup
Ergänzend werden die verschlüsselten Ordner angehängt von Hyper Backup gesichert. Da auch mein Backup grundsätzlich via Hyper Backup verschlüsselt ist, werden die Daten im Backup nicht doppelt verschlüsselt. Mit anderen Worten: Ein Recover meiner Daten aus einem bisher verschlüsselten Ordner kann auch in einen unverschlüsselten Ordner auf einer anderen Synology NAS erfolgen. Erst wenn ein verschlüsselter Ordner auf dem anderen NAS erzeugt wird, erfolgt der Recover in diesen verschlüsselten Ordner.
Die detailierte Vorgehensweise im ausführlichen Online Kurs zur Einrichtung der DiskStation unter DSM 6.x
Privat: Synology DiskStation einrichten von A-Z unter DSM 6.x
Die Synology DiskStation einrichten und alle Einstellungen so sicher wie möglich einstellen. Der ultimative Grundkurs für Einsteiger. Hier geht es zum ganzen Kurs und zu den Beispiel-Lektionen. – Hier geht es zum Kurs für DSM 7.x
Hallo Dominik,
super, dass jemand sich wirklich einmal aktiv mit der Verschlüsselung auseinandergesetzt hat, auf den meisten Webseiten wirkt es aus der Produktbeschreibung abgeschrieben und Synology selbst hat mir auf meine Anfrage bisher leider auch nicht geantwortet.
Mir ist (bevor ich überhaupt eine neuere DiskStation kaufe) noch ein bisschen unklar, wie die Verschlüsselung im Zusammenspiel mit dem SSD-Cache reagiert. Grundsätzlich wäre es ja auch möglich, den zu verschlüsseln, wenngleich das wohl die Performance und Lebendauer senkt. Schneller als auf das Hochfahren von Magnetplatten zu warten geht es definitiv.
Wenn aber die verschlüsselten Dateien dann unverschlüsselt im Cache lägen würde das die Sicherheit natürlich wieder so gut wie zerstört. Hast Du da Erfahrungen sammeln können was der DSM hier tut?
Gruß,
Tim
Hallo Dominik,
dein Video hierzu ist auf Youtube nicht mehr erreichbar. Kannst du mir sagen was es es damit auf sich hat?
Gruß Simon
Hi Simon,
klar kann ich das! YouTube ist leider unwirtschaftlich für solche Videos. Daher sind sie ausführlich und sehr tiefgründig als Kurs erhältlich.
Gruß
Dominik
Hallo Dominik,
mich würde der Kurs tatsächlich interessieren. Deine Videos waren für mich in der Vergangenheit immer sehr aufschlussreich. Jetzt noch den DSM 6.x Kurs zu kaufen lohnt sich aber nicht, wenn die Kurse dann nicht aktualisiert werden und es für DSM 7.x neue geben wird. Kannst du mir dafür eine gute Lösung anbieten? Meine neue DS720+ steht schon Zuhause.
Gruß,
Simon
Hallo Simon,
leider kann ich hier nichts tun, da Synology bereits zum dritten Mal DSM 7 weit nach hinten geschoben hat. Somit können wir alle nur abwarten und meine getätigten Einstellungen von DSM 6 wurden in der Beta einwandfrei übernommen.
Gruß,
Dominik
Hallo Dominik,
warum lässt sich der MailPlus Ordner nicht verschlüsseln? Ich habe den MailPlus Server und MailPlus angehalten und wenn ich anschließend den Ordner verschlüsseln möchte, schreibt mir DSM dass der Ordner von MailPlus verwendet wird (auch nach mehreren Neustarts). Alle anderen Gemeinsamen Ordner konnte ich wunderbar verschlüsseln. Hast du eine Idee?
Grüße Jan
Gibt es eine Möglichkeit zu lange Dateien bzw. Pfade ausfindig zu machen? Leider bricht die Verschlüsselung immer ab weil es zu viele Zeichen sind.
Hallo Dominik! Danke erstmal für deinen Beitrag.
Ich habe mir unzählige deiner Videos angeschaut und deine Hilfe auch schon immer gut annehmen können.
Jetzt stehe ich leider vor einem Problem.
Ich habe einen Ordner verschlüsselt und auch eine KEY Datei bekommen. Ordner Entschlüsseln funktioniert damit auch super. Auch mit der Passphrase. Leider habe ich so meine Probleme mit dem Schlüsselmanager. Ich habe den eingerichtet und meinen USB Stick verbunden wie von dir empfohlen. Ich bekomme jetzt aber den Schlüsselmanager nicht mehr geöffnet. Er will immer eine Passphrase, die weiß ich auch eigentlich, allerdings nimmt er diese nicht an. Er sagt dass diese falsch ist. Kann an den Schlüsselmanager auch zurück setzen? Oder muss ich das ganze NAS dann zurück setzen?
Freue mich auf deine Antwort und bedanke mich schon einmal!
Grüße
Luca-Leon
Danke für den Beitrag.
Verstehe ich es richtig, dass der Stick als Keymanager bei jedem Neustart der DS gesteckt sein muss, damit die verschlüsselten Ordner automatisch gemountet werden? Wenn ja, was mache ich bei Neustart nach Stromausfall, wenn ich via VPN einen Fernzugriff brauche – sprich nicht zugegen bin um drn Stick reinzustecken?
Hallo Dominik, toller Beitrag! Beschäftige mich auch gerade mit diesem Thema und hätte zwei Fragen.
Ist es sinnvoll eine unverschlüsseltes Backup anzulegen und dies sicher zu verwahren? Oder ist es eher unwahrscheinlich das sich der verschlüsselte Ordner (warum auch immer) nicht mehr mit dem Passwort bzw. der Key-Datei öffnen lässt?
Du verwendest einen Passwortmanager zur Erstellung der Schlüssel. Gibt es hier eine Empfehlung für die Backup-Strategie der Schlüssel selbst?
Viele Grüße
Andreas