Synology QuickConnect und Sicherheitsaspekte – Nutzung der 2FA auch beim Einsatz des Synology Drive Clients

Wenn man Synology Quickconnect einsetzt, muss man ein starkes Passwort nutzen?

Kurz gesagt: Ja, unbedingt. Wenn du QuickConnect nutzt, ist ein extrem starkes Passwort nicht nur eine Empfehlung, sondern deine wichtigste Verteidigungslinie.

Hier ist die Begründung, warum das bei QuickConnect besonders kritisch ist:

1. Das Portal nach außen

Normalerweise ist eine Synology NAS hinter einer Firewall oder einem Router versteckt. QuickConnect fungiert jedoch als Relay-Dienst. Das bedeutet, Synology stellt eine Brücke her, damit du von überall auf der Welt ohne komplexe Portfreigaben auf deine Daten zugreifen kannst.

  • Die Folge: Deine NAS ist über das Internet erreichbar. Angreifer müssen nicht dein lokales Netzwerk hacken, sondern nur deine QuickConnect-ID kennen und dein Passwort erraten.

2. Schutz vor Brute-Force-Angriffen

Hacker nutzen automatisierte Skripte, die sekündlich tausende Passwortkombinationen ausprobieren (Brute-Force).

  • Ein schwaches Passwort wie Sommer2024! wird in Sekunden geknackt.
  • Ein langes, komplexes Passwort (Passphrase) erhöht den Zeitaufwand für Angreifer auf Jahrzehnte.

3. Der „Single Point of Failure“

Oft ist das Synology-Konto mit administrativen Rechten verknüpft. Wer dein Passwort hat, hat nicht nur Zugriff auf deine Urlaubsfotos, sondern kann:

  • Daten löschen oder verschlüsseln (Ransomware).
  • Neue Benutzer anlegen.
  • Einstellungen ändern und dich komplett aussperren.

Meine Empfehlungen für maximale Sicherheit

Wenn du QuickConnect nutzt, solltest du diese drei Schritte umsetzen:

  1. 2-Faktor-Authentifizierung (2FA): Das ist fast wichtiger als das Passwort selbst. Selbst wenn jemand dein Passwort stiehlt, kommt er ohne den Einmal-Code von deinem Handy nicht rein.
  2. Kontoschutz-Funktion: Aktiviere in den DSM-Einstellungen die „Automatische Blockierung“. Wenn eine IP-Adresse zu oft ein falsches Passwort eingibt, wird sie dauerhaft gesperrt.
  3. Passwort-Manager: Nutze ein zufällig generiertes Passwort mit mindestens 16 Zeichen.

Wenn ich aber den Synology Drive Client nutze, der mit einem statischen Passwort konfiguriert wird, wie geht es zusammen mit 2FA?

Das ist ein sehr berechtigter Einwand! Die gute Nachricht: Synology hat das so gelöst, dass die Sicherheit nicht unter dem Komfort leidet.

Wenn du die 2-Faktor-Authentifizierung (2FA) auf deiner Synology aktivierst, ändert sich der Anmeldevorgang für den Synology Drive Client auf deinem PC oder Mac wie folgt:

1. Einmalige Verifizierung beim Setup

Wenn du den Drive Client das erste Mal einrichtest oder das Passwort änderst, gibst du deine QuickConnect-ID, deinen Benutzernamen und dein Passwort ein.

  • Sofort danach erscheint im Drive Client ein Pop-up-Fenster, das dich zur Eingabe des 6-stelligen 2FA-Codes von deinem Smartphone auffordert.
  • Erst wenn dieser Code bestätigt wurde, wird die Verbindung autorisiert.

2. Vertrauenswürdige Geräte (Caching)

Der Drive Client speichert nach der erfolgreichen 2FA-Anmeldung ein sogenanntes Device Token.

  • Du musst also nicht bei jedem Start des Computers oder bei jeder Dateisynchronisation einen neuen Code eingeben.
  • Die Verbindung bleibt „statisch“ bestehen, solange dieses Token gültig ist.
  • Sicherheitsvorteil: Falls dein Laptop gestohlen wird, kannst du in den DSM-Einstellungen deiner Synology einfach dieses spezifische Gerät „entkoppeln“ oder die 2FA-Sitzungen beenden. Der Dieb kommt dann trotz gespeichertem Passwort nicht mehr an deine Daten.

Was passiert bei reinen „System-Logins“ ohne GUI?

Falls du Anwendungen hast, die kein Pop-up für den 2FA-Code unterstützen (z. B. manche Drittanbieter-Apps via WebDAV), nutzt Synology oft Anwendungsspezifische Passwörter:

  • Du generierst im DSM ein einmaliges, langes Zufallspasswort nur für diese eine App.
  • Dieses Passwort umgeht die 2FA-Abfrage, funktioniert aber auch nur für diesen einen Dienst.

Zusammenfassung für den Drive Client

SchrittAktion
PasswortDein starkes, statisches Passwort (wird lokal verschlüsselt gespeichert).
2FAWird nur einmalig bei der Ersteinrichtung oder nach Passwortänderung abgefragt.
ErgebnisMaximale Sicherheit bei vollem Komfort im Alltag.

Wie generiere ich einen gleichwertigen Nutzer wie den „admin“ auf der Synology?

Um einen Benutzer mit administrativen Rechten zu erstellen, der dem Standard-Konto admin gleichwertig ist, gehst du in deiner Synology DiskStation Manager (DSM) Oberfläche wie folgt vor:

Schritt-für-Schritt-Anleitung

  1. Melde dich als Administrator an deiner Synology an.
  2. Öffne die Systemsteuerung.
  3. Gehe zu Benutzer und Gruppe (in älteren DSM-Versionen nur „Benutzer“).
  4. Klicke auf Erstellen und wähle Benutzer erstellen.
  5. Gib den Namen (z. B. dein Name oder ein Pseudonym) und ein sehr starkes Passwort ein.
  6. Im nächsten Fenster (Gruppen zuordnen) ist der entscheidende Schritt:
    • Setze einen Haken bei der Gruppe administrators.
    • Die Gruppe users ist standardmäßig immer ausgewählt.
  7. Bestätige die weiteren Abfragen (Berechtigungen für Ordner und Applikationen) einfach mit „Weiter“, da die Gruppe administrators ohnehin globalen Zugriff auf fast alles hat.

Warum du das tun solltest (Best Practice)

Es ist eine der wichtigsten Sicherheitsmaßnahmen, den Standard-Nutzer mit dem Namen admin zu deaktivieren. Fast jeder automatisierte Angriff auf eine Synology versucht es zuerst mit dem Benutzernamen admin.

Der Prozess für maximale Sicherheit:

Setze den Haken bei Dieses Konto deaktivieren.

Neuen Admin anlegen: Erstelle deinen persönlichen Account in der Gruppe administrators (wie oben beschrieben).

Testen: Melde dich einmal komplett ab und mit dem neuen Account wieder an. Prüfe, ob du alle Einstellungen ändern kannst.

Standard-Admin deaktivieren: * Gehe zurück in die Systemsteuerung > Benutzer und Gruppe.

Wähle den Benutzer admin aus und klicke auf Bearbeiten.

Wie konfiguriere ich die 2FA auf Synology

Die Einrichtung der 2-Faktor-Authentifizierung (2FA) ist unter DSM 7 der wichtigste Schritt, um dein System abzusichern. Synology nennt dies mittlerweile oft „Persönliche Einstellungen“ oder „2-Schritt-Verifizierung“.

Hier ist der schnellste Weg zur Konfiguration:

1. Vorbereitung auf dem Smartphone

Bevor du im DSM startest, lade dir eine Authenticator-App herunter.

  • Empfehlung: Synology Secure SignIn (optimiert für Synology), Google Authenticator oder Microsoft Authenticator.

2. Aktivierung im DSM

  1. Melde dich mit deinem neuen Admin-Konto an der Synology an.
  2. Klicke oben rechts auf das Personen-Icon (Optionen) und wähle Persönlich.
  3. Gehe zum Reiter Sicherheit.
  4. Klicke auf 2-Schritt-Verifizierung. Du hast hier meist zwei Optionen:
    • Genehmigen Sie die Anmeldung: (Push-Nachricht via Secure SignIn App).
    • OTP (Einmal-Passwort): (Der klassische 6-stellige Code). Ich empfehle OTP, da es universell mit jeder App funktioniert.

3. Der Einrichtungs-Assistent

  1. Wähle OTP aus und gib dein aktuelles Passwort zur Bestätigung ein.
  2. Ein QR-Code erscheint auf dem Bildschirm.
  3. Öffne deine Authenticator-App auf dem Handy, wähle „Konto hinzufügen“ (oder das „+“-Symbol) und scanne den Code.
  4. Die App zeigt dir nun einen 6-stelligen Code an. Gib diesen im DSM-Assistenten ein, um die Kopplung zu verifizieren.

4. Das Sicherheitsnetz (Ganz wichtig!)

Synology wird dich nach einer E-Mail-Adresse für Notfälle fragen.

  • Warum? Falls du dein Handy verlierst oder es defekt ist, kannst du dir einen Notfall-Code per E-Mail senden lassen.
  • Check: Stelle sicher, dass unter Systemsteuerung > Benachrichtigungen bereits ein E-Mail-Server (z.B. Gmail oder Outlook) hinterlegt ist, damit die Synology diese Mail auch abschicken kann.