Schon länger werden Benutzer von Synology-NAS ständig ermahnt, das Administrator-Konto zu deaktivieren oder mit einer Zwei-Faktor-Anmeldung abzusichern, um es vor Hacker-Angriffen zu schützen. Wenn Sie dem bislang noch nicht nachgekommen sind, finden Sie hier alle Informationen und konkrete Empfehlungen dazu.

Schon seit einiger Zeit bekommen viele Nutzer von Synology-NAS-Systemen bei jeder Anmeldung an dessen Weboberfläche eine Warnmeldung zu sehen. Danach sei das admin-Konto gegen Brute Force-Angriffe durch Hacker anfällig und sollte deshalb deaktiviert werden. Dass das nicht ganz ohne Nebenwirkungen seien kann, wird an dem Hinweis deutlich, dass bestimmte Paket und Dienste davon betroffen sein könnten. Alternativ wird das Einrichten einer Zwei-Faktor-Authentifizierung empfohlen.

Wo liegt das Problem?

Auf allen Synology-NAS gibt es „ab Werk“ ein Administratorkonto mit dem Benutzernamen admin. Dieses ist naheliegenderweise auch Mitglied der Administrator-Benutzergruppe und hat somit alle Berechtigung, auf Daten zuzugreifen und die Konfiguration des NAS zu verändern. Dass der Benutzername allgemein bekannt ist, macht es Hackern leichter, dieses Konto anzugreifen. Der Name steht fest und so braucht man „nur“ noch das Passwort zu erraten. Wenn dieses nun auch noch zu kurz und nicht sehr sicher gewählt ist, kann das früher oder später gelingen.

Welche Abhilfen sind möglich?

Wie der Sicherheitshinweis aufzeigt, gibt es zwei Möglichkeiten:

• Man deaktiviert das admin-Konto, nachdem man zuvor ein eigenes Benutzerkonto mit Administratorrechten eingerichtet hat. Das deaktivierte Konto stellt keine Gefahr mehr dar. Und beim neu angelegten Konto müsste ein Angreifer Passwort UND Benutzername raten, was ein Vielfaches schwieriger ist.
• Man fügt dem Administratorkonto einen zweiten Anmeldefaktor hinzu. Das ist typischerweise eine Smartphone-App, mit der man bei der Anmeldung am NAS jeweils einen Einmalcode erzeugt, der zusätzlich zum Passwort eingegeben wird. Dieser zweite Faktor sichert das Konto zuverlässig ab, denn selbst wenn Benutzername UND Passwort bekannt wären, könnte eine Anmeldung nur mit Hilfe des zusätzlichen Codes erfolgen. Und den kann nur erzeugen, wer im Besitz dieses Smartphones ist.

Welche Lösung ist die bessere?

Das lässt sich so einfach nicht sagen. Wenn Sie Ihr NAS frisch einrichten, würde ich empfehlen, das admin-Konto aus Sicherheitsgründen zu deaktivieren und statt dessen ein „eigenes“ Administratorkonto zu verwenden. Trotzdem wäre es sinnvoll, auch dieses mit einem zweiten Faktor abzusichern. Ist das NAS schon länger in Betrieb, kann das Deaktivieren des admin-Kontos eine ganze Reihe von zusätzlichen Maßnahmen erfordern. Dann ist es unter Umständen einfacher, das Konto mit einem zweiten Anmeldefaktor abzusichern und weiter zu verwenden. Im Folgenden gehe ich auf beide Lösungen näher ein.

Das Praxisbuch mit Insider Tipps: Die ultimative Synology NAS Bibel NAS schnell einrichten & perfekt konfigurieren reibungsloser Zugriff auf Ihre Daten - lokal und aus der Ferne Fotos, Musik und Videos sammeln, verwalten und sichern NAS als persönliche Cloud, Downloadhelfer oder Überwachungszentrale Sicherheit, Systemwartung und Problemlösungen

Das admin-Konto deaktivieren

Beim Deaktivieren des admin-Kontos gibt es zwei Klippen zu umschiffen. Die erste: Es muss immer ein aktives Administratorkonto geben (sonst könnte das NAS nicht mehr konfiguriert werden). Sie können das admin-Konto deshalb auch gar nicht deaktivieren, solange es keinen weiteren Administrator gibt.

1. Erstellen Sie also in der Synology-Systemsteuerung unter Benutzer und Gruppe/Benutzer zunächst ein neues Benutzerkonto (oder verwenden Sie ein anderes bereits vorhandenes dafür).
2. Stellen Sie sicher, dass dieses der Benutzergruppe administrators angehört.
3. Melden Sie sich dann mit diesem Benutzerkonto beim NAS an.
4. Nun öffnen Sie in der Systemsteuerung unter Benutzer und Gruppe/Benutzer die Eigenschaften des admin-Kontos zum Bearbeiten und setzen dort den Haken bei der Option Dieses Konto deaktivieren.

Auf die zweite Klippe stoßen Sie möglicherweise erst, wenn Sie das admin-Konto deaktiviert haben (was sich auf die beschriebene Weise aber notfalls auch wieder rückgängig machen lässt). Wenn Sie unter Verwendung des admin-Kontos zusätzliche Dienste wie beispielsweise Photo Station, Medienserver, Synchronisierungen usw. eingerichtet haben, funktionieren diese nun möglicherweise nicht mehr wie gewohnt. Sollte das der Fall sein, zeigt dieser Synology-Artikel auf, welche Schritte bei welchem Paket erforderlich sind, um Abhilfe zu schaffen.

2-Faktor-Authentifizierung einrichten

Die Alternative und so oder so empfehlenswert zumindest für Benutzerkonten mit Administratorrechten ist das Einrichten eines zweiten Sicherheitsfaktors für die Anmeldung. Es klingt zwar zunächst etwas umständlich, bei jeder Anmeldung noch einen zusätzlichen Code generieren zu müssen. Synology erlaubt es aber, bei einzelnen Geräten darauf zu verzichten. Wenn Sie also Ihr NAS überwiegend vom heimischen PC oder mit Ihrem Smartphone steuern, können Sie die 2-Faktor-Anmeldung auf diesem Gerät bei der ersten Anwendung gleich wieder deaktivieren. Das sollte man allerdings nur machen, wenn dieses Gerät seinerseits abgesichert ist und nicht in falsche Hände geraten kann. Ab dann können Sie sich wieder wie gewohnt nur mit Ihrem Kennwort anmelden. Von einem Angreifer aber, der sich von einem anderen Gerät aus anzumelden versucht, würde weiterhin ein zweiter Sicherheitsfaktor verlangt werden.

1. Um die 2FA-Anmeldung einzurichten, melden Sie sich mit dem betreffenden Konto an.
2. Klicken Sie dann in der Symbolleiste rechts oben auf das Symbol für Ihr Benutzerkonto und wählen Sie im so geöffneten Menü Persönlich.
3. Gehen Sie in der Rubrik Konto ganz nach unten zum Abschnitt Anmeldemethode und klicken Sie dort auf 2-Faktor-Authentifizierung.
4. Wählen Sie im nächsten Schritt die gewünschte Methode aus. Im Folgenden beschreibe ich die mittlere Variante Verification code (OTP), da diese am universellsten nutzbar ist und die geringsten Vorbedingungen stellt. Sie können dafür die vorgeschlagene App Synology Secure SignIn verwenden. Wenn Sie bereits eine andere OTP-kompatible App nutzen, können Sie aber ebenso dieser für die Synology-Anmeldung verwenden (beispielsweise Authy).
5. Geben Sie zur Bestätigung Ihrer Identität zunächst noch einmal das Passwort des NAS-Benutzerkontos ein.
6. Scannen Sie dann mit Ihrer OTP-App den angezeigten QR-Code.
7. Diese legt daraufhin ein neues Profil für diese Anmeldung an und gibt einen sechsstelligen Bestätigungscode aus. Tippen Sie diesen im Dialog des Einrichtungsdialogs am NAS ein und klicken Sie dann Weiter. (Beachten Sie, dass der Code nur eine bestimmte Zeit gültig ist. Falls Sie zu lange gewartet haben, können Sie die letzten Schritte wiederholen.)

Damit ist der zweite Anmeldefaktor eingerichtet. Ab sofort starten Sie bei jeder Anmeldung mit diesem Konto Ihre OTP-App und tippen Sie die dort angezeigte sechsstelligen Ziffernfolge als zusätzlichen Authentifizierung ein.