Synology DSM 6.0: Verschlüsselte Ordner erstellen

Artikel_SynologyPünktlich zur CeBIT 2016 in Hannover will Synology den DiskStation Manager 6.0 veröffentlichen. Der bringt einen ganzen Schwung von Neuerungen mit, die ich hier teilweise im Blog schon in gesonderten Beiträgen beschrieb. Was ich kurioserweise in den ganzen Jahren nie beschrieb, das ist die Verschlüsselung von Ordnern auf dem NAS (im Gegensatz zu verschlüsselten Backups, die ich das eine oder andere Mal beschrieb). Die Sache ist klar: vielleicht will man seine gemeinsamen Ordner verschlüsseln, damit die vielleicht sensiblen Daten im Falle eines Diebstahls nicht in falsche Hände geraten.

Der erste Schritt zur Erstellung eines AES-verschlüsselten Ordners unter DSM 6.0 ist der Besuch in der File Station. Hier lassen sich Ordner erstellen, aber auch gemeinsame, verschlüsselte Ordner. Unter „Erstellen > Neuen gemeinsamer Ordner erstellen“ geht die wilde Fahrt los. (Anmerkung: ja, man kann auch über „Systemsteuerung > Gemeinsame Ordner“ gehen.

Bildschirmfoto 2016-02-29 um 10.00.50

Im nächsten Bildschirm geht es dann an das Eingemachte. Man kann dem Ordner einen Namen geben und ihn beschreiben. Solltet ihr mehr als ein Volume nutzen, könnt ihr noch das Ziel-Volume auswählen. Ebenfalls lässt sich der frische Ordner vor Nutzern ausblenden, die keine Berechtigung auf ihn haben. Der angemeldete Nutzer „Horst“ sieht den neuen Ordner also nicht, wenn die Rechte nur auf Peter und Paul ausgelegt sind. Ebenfalls kann man einen Papierkorb für Ordner aktivieren, in ihm sammeln sich gelöschte Dateien, anstatt im digitalen Nirwana zu verschwinden. Ein Zeitplan zur Leerung des Papierkorbs kann auch eingestellt werden.

Bildschirmfoto 2016-02-29 um 10.02.48

Interessant ist der Punkt der Verschlüsselung. Hier muss ein Passwort vergeben werden. Hat man dieses erstellt und schließt den Vorgang ab, so wird der Ordner erstellt und eine Key-Datei kommt als Download zu euch. Diese solltet ihr tunlichst irgendwo sichern, falls euch aus Vergesslichkeitsgründen mal das Passwort abhanden kommt. Ohne Datei oder Passwort sind die Daten im verschlüsselten Ordner sinnlos. Achtet bei der Erstellung des Ordners auch darauf, dass ihr ihn beim Start automatisch einhängen könnt. Habt ihr dies nicht getan, so müsst ihr bei jedem Neustart des NAS den Ordner mit seinem Passwort einhängen.

Synology DSM Tipps & Tricks

Lasst ihr aber immer automatisch einhängen, so ist vielleicht das Nutzungsszenario „Gegen Diebstahl Daten sichern“ sinnlos, wenn der Angreifer vielleicht auch Zugriff auf euer Nutzerkonto oder einen PC hat. Solltet ihr mit einrechnen. Wenn schon sicher, dann bitte nicht nur das eine Gerät, sondern auch jenes, über welches zugegriffen wird.

Bildschirmfoto 2016-02-29 um 10.18.59

Zu bedenken gibt es einiges: neben der erwähnten Schlüsselsache ist die Leistung eines verschlüsselten Ordners nicht so hoch, wie es bei den unverschlüsselten Ordnern ist. Ferner ist der Ordner nicht über das NFS-Protokoll erreichbar. Nach Erstellen des Ordners kommt besagtes Key-File als Download, zudem muss der Ersteller des Ordners noch Rechte auf den Inhalt des Ordners gewähren. Hier hat der Ersteller noch die Möglichkeiten, die erweiterten Berechtigungen zu vergeben, es lassen sich beispielsweise Dateien vor Veränderung oder dem Download schützen.

Bildschirmfoto 2016-02-29 um 10.26.10

Am Ende habt ihr in der Systemsteuerung eine Übersicht über eure Ordner. Eingehangene Ordner werden dabei mit dem Symbol „offenes Schloss“ visualisiert. Verschlüsselte, nicht eingehangene Order haben das normale Schloss-Symbol und tauchen logischerweise nicht in der File Station auf.  Innerhalb der Systemsteuerung kann der Ordner über das Kontextmenü eingehangen werden, zudem lassen sich noch die oben erwähnten Zeitpläne zur Leerung des Papierkorbs aktivieren.

Bildschirmfoto 2016-02-29 um 10.32.45

Noch einmal kurz zum Key-File. Hat man das Passwort vergessen, so ist diese Datei mehr als sinnvoll – doch wie hängen wir den verschlüsselten Ordner in unser System ein? Ganz einfach. Im Menü zum Einhängen eines verschlüsselten Ordners kann man auswählen, dass man einen Schlüssel importieren möchte. Macht man dies, so muss eben nicht das Passwort eingegeben werden.

Bildschirmfoto 2016-02-29 um 10.38.51

Und sonst?Immer dran denken bei der Planung und Einrichtung: Ein initial erstellter Ordner ohne Verschlüsselung kann hinterher nicht mehr verschlüsselt werden. Umgekehrt übrigens auch so. Solltet ihr einen eingehängten Ordner mittels Cloud Sync bei Dropbox, OneDrive, Google Drive oder anderen sichern, so bedenkt: die Dateien landen dort ebenfalls unverschlüsselt, weil der Ordner zum Zeitpunkt des Sync halt offen ist – ihr solltet da dann vielleicht zu eine, verschlüsselten Cloud Sync greifen, wie ich hier beschrieb.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Servus, mittlerweile bin ich mit der Synology-Software so langsam überfordert bzw. finde nichts mehr auf Anhieb, da es mir zu unübersichtlich geworden ist. Es sind einfach zu viele Einstellungen oder es liegt am Informationsdesign sowie vielleicht an der deutschen Übersetzung, da ich mit der englischen besser klar komme.

    Habe mir einen neuen Router (Asus rt-ac88) gegönnt, und bin fasziniert wie intuitiv und übersichtlich hier alles ist. Hatte zuvor den Netgear R8000 + AP Netgear R7500 und es liegen Welten zwischen der Software von Asus- Merlinwrt und Netgear.

    Habe einfach mal meine Backup-Festplatte von der Synology an den Asus Router angeschlossen und bin begeistert. Samba, Benutzerkonten & Rechte, FTP, DYnDns, NFTS, Medienserver … funktioniert alles einwandfrei und schneller (Download 93MB/s – Upload 78MB/s). Ich komme mit der NAS-Funktion im Router besser klar und ich werde am kommenden Wochenende meine Synology DS 215j bei Ebay versteigern. Werde jedoch noch ne Woche lang testen, ob mir etwas fehlen wird.

  2. @Caschy, nutze bei meiner DS5.2 schon lange die verschlüsselten Ordner, finde das ne gute Sache, musste aber oft feststellen das vieles nicht geht wenn verschlüsselt wird.
    Du sagtest das nun CloudSync läuft, das ist neu, geht auf verschlüsselten Ordnern nicht bei DS5.x
    Wie schaut es „Datei Versionen“ aus, habe deinen Beitrag gelesen, aber der bezog sich auf unverschlüsselte ordner., geht dies nun auch bei DS6 mit verschlüsselten Ordner? Wäre für mich interessant für Locky Schutz.

    Habe leider keine Liste mit nicht nutzbaren funktionen bei Verschlüsselung gefunden.

  3. Ich hab noch nicht ganz verstanden, was mir die verschlüsselten Ordner denn bringen.
    Angenommen, mein NAS wird gestohlen, sind dann meine Daten nicht bereits durch mein NAS-Konto gesichert, oder kommt man ohne Benutzerkonto an die Daten so einfach ran?

    Wenn man die verschlüsselten Ordner automatisch einhängen lässt, dann ist das vermutlich genauso unsicher wie unverschlüsselte Ordner, falls jemand Zugang zum Benuterkonto erhält.

  4. Wenn du deine Daten nicht verschlüsselst kann man die Festplatte einfach ausbauen und auslesen ohne NAS Konto.

    Wenn du das PW automatisch einhängst bringt es auch nicht viel.

    Du könntest aber ein Script schreiben, dass z.B. Die verschlüsselten Ordner mountet wenn ein bestimmter usb stick steckt auf dem sich die keyfile befindet. Sprich usb Stick raus Daten sicher 🙂

  5. Ahh ok, ich hätte gedacht ohne Benutzerkonto kommt man da nicht ohne weiteres ran. Das btrfs-Dateisystem ist vermutlich auch kein Hindernis?
    Wenn ich die verschlüsselten Ordner automatisch einhänge, muss ein Dieb zumindest noch mein PW vom Benutzerkonto kennen, d.h. dadurch gibt es ja bereits einen gewissen Schutz?

    Ich habe an meinem NAS ein Kensington-Schloss dran, aber da Synology diese Schnellwechselrahmen verbaut, sind die Festplatten ja mit einem Handgriff draußen 🙂

  6. Wir ist einfach nicht klar warum Synology keine komplette Verschlüsselung des NAS anbietet. Die dann selbstverständlich auch Versionierung unterstützt. Des Weiteren sollten funktionieren wie automatisches einhängen von USB Stick mit Keyfile Standard sein.

  7. Ich bin auch etwas darüber enttäuscht das keine Volume Verschlüsselung geht bzw. das die Verschlüsselten Ordner nicht über NFS erreichbar sind. Hier müsste Syology dringend nacharbeiten. Wollte mir eigentlich die DS216+ holen, neben Btrfs auch eine sehr schnelle Verschlüsselungseinheit, aber wenn ich nicht so Verschlüsseln kann wie gedacht ist das Gerät doch ziemlich witzlos, da reicht wirklich auch eine DS216j aus

  8. ACHTUNG: Es gibt noch eine weitere Einschränkung, die zwar auf einem der Screenshots ersichtlich, aber nicht weiter erwähnt wird. Und in den Synology-Foren existiert eine Reihe von Usern, die sich genau darüber beschweren: Bei einer Verschlüsselung dürfen die Datei- und Ordnernamen 143 englische oder 43 asiatische Zeichen nicht überschreiten!

    Eine ziemlich komische Sache Begrenzung und warum Synology keine Volumen-Verschlüsselung unterstützt, wo so etwas nicht vorkommen sollte, ist echt ein grosses Rätsel. Bei QNAP kann man schon lange ganze Volumen verschlüsseln und gut ist. Hatte gehofft Synology bessert IM DSM6.0 nach, aber anscheinend keine Priorität dort?

  9. @robert
    du hast recht und somit ist die ordnerbasierte verschlüsselung fast unsinnig. scheint aber niemand darauf hinzuweisen ausser ein paar forenteilnehmer. so wirds dann auch mit der verbesserung durch synology länger dauern bis die laufwerksverschlüsselung kommt. bei qnap geh beides

  10. Verschlüsselung nutzt nichts, wenn man mit dem Reset-Knopf einfach das admin Passwort zurücksetzen kann. Es ist mir ein Rätsel, warum Synology dies ermöglicht.
    Gibt es hier eine Einstellung, die dies verhindert?

  11. Das Admin-Passwort wird zwar zurückgesetzt, allerdings wird bei Verwenden der Reset-Taste auch gleichzeitig die Option „Beim Start automatisch bereitstellen“ deaktiviert.

    https://www.synology.com/de-de/knowledgebase/DSM/tutorial/General/What_is_the_RESET_button_on_the_Synology_product_for

    Damit kommt ein Dieb, der das komplette NAS klaut, auch dann nicht an die entschlüsselten Daten, wenn du die Option „Beim Start automatisch bereitstellen“ aktiviert hattest.

  12. Versuche schon den ganzen Tag mich in die Materie einzuarbeiten..puuh…
    Naja so langsam steig ich durch.
    3 Fragen hätte ich aber noch:
    1. Angenommen der Dieb holt die Platte aus der Synology. Kommt er dann an die eingehängten (verschlüsselten) Ordner?
    2. Ich würde gerne verschiedene Gemeinsame Ordner für verschiedene User per Cloud Station Drive ansteuern lassen, quasi als Dropbox Ersatz. Sehe ich es richtig, dass ich mit der Client Software nur eine Syncro-Verbindung gleichzeitig fahren kann?
    3. Ist der Verschlüsselungs-Key auch für die User relevant, die ausschließlich die Synology per Cloud Station Drive befüllen. Oder brauche nur ich als admin ihn, der den Ordner erstellt hat? hab da gewisse Verständnisprobleme…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.