Unterstützt Synology-NAS die WriteOnce WORM-Ordner, um vor Ransomeware zu schützen?

Ja, Synology unterstützt WORM-Ordner (Write Once, Read Many) seit der Einführung von DSM 7.2. Die Funktion wird unter dem Namen WriteOnce vermarktet und dient dazu, Daten für einen festgelegten Zeitraum vor jeglicher Bearbeitung oder Löschung zu schützen – selbst vor Administratoren.

Hier sind die Details zur Funktionsweise und den Voraussetzungen:

1. Die zwei Modi von WriteOnce

Synology unterscheidet zwischen zwei Schutzstufen, je nachdem, wie streng die Compliance-Vorgaben sind:

  • Enterprise-Modus: Schützt Dateien vor Änderungen und Löschungen durch normale Benutzer. Ein Administrator kann den gesamten Ordner oder das Volume jedoch im Notfall noch löschen. Dies ist ideal für die allgemeine Datensicherheit und Schutz vor Ransomware.
  • Compliance-Modus: Die strengste Stufe. Niemand (auch nicht der Administrator oder Synology selbst) kann die geschützten Dateien oder den Ordner löschen, solange die Aufbewahrungsfrist läuft. Dies erfüllt strenge gesetzliche Anforderungen (z. B. für Buchhaltung oder medizinische Daten).

2. Wichtige Funktionen

  • Auto-Lock: Dateien können automatisch nach einer bestimmten Zeit (z. B. 1 Stunde nach dem Hochladen) gesperrt werden.
  • Append-only: Man kann festlegen, dass Dateien zwar nicht geändert, aber am Ende um neue Daten ergänzt werden dürfen (wichtig für Log-Dateien).
  • Manipulationssichere Uhr: Synology nutzt eine interne, unabhängige Uhr, damit das System nicht durch das manuelle Zurückstellen der Systemzeit ausgetrickst werden kann.

3. Unterstützte Modelle

Nicht jedes NAS unterstützt diese Funktion, da sie eine gewisse Rechenleistung und das Btrfs-Dateisystem erfordert. Unterstützt werden unter anderem:

  • Plus-Serie: (z. B. DS224+, DS723+, DS923+, DS1522+)
  • XS/XS+ Serie: (z. B. DS3622xs+)
  • Enterprise-Modelle: SA-, FS- und HD-Serie.
  • Hinweis: Ältere J- oder Value-Modelle (ohne Btrfs-Support) unterstützen WriteOnce in der Regel nicht.

4. Unveränderliche Snapshots

Zusätzlich zu den WORM-Ordnern bietet Synology auch unveränderliche Snapshots (Immutable Snapshots) an. Während WORM auf Dateiebene schützt, friert ein unveränderlicher Snapshot den Zustand eines gesamten Ordners zu einem bestimmten Zeitpunkt ein. Auch diese Snapshots können für bis zu 30 Tage absolut löschgeschützt werden.

Ein wichtiger Hinweis für die Einrichtung: Wenn Sie den Compliance-Modus wählen, ist das Löschen der Daten technisch unmöglich, bis die Zeit abgelaufen ist. Testen Sie dies daher zuerst mit einer kurzen Frist (z. B. 1 Tag), um sich nicht versehentlich wertvollen Speicherplatz für Jahre zu blockieren.

Wollten Sie wissen, wie Sie einen solchen Ordner konkret in den DSM-Einstellungen anlegen?

Um einen WORM-Ordner (WriteOnce) auf deiner Synology konkret einzurichten, musst du ein paar spezifische Voraussetzungen erfüllen. Hier ist die Schritt-für-Schritt-Anleitung:

1. Voraussetzungen prüfen

  • DSM Version: Du benötigst mindestens DSM 7.2.
  • Dateisystem: Der Speicherpool muss das Btrfs-Dateisystem nutzen.
  • Modell: Dein NAS muss die Funktion unterstützen (Plus-Serie oder höher).

2. Den Ordner erstellen

  1. Melde dich als Administrator bei deiner Synology an.
  2. Öffne die Systemsteuerung > Gemeinsamer Ordner.
  3. Klicke auf Erstellen > Erstellen.
  4. Gib dem Ordner einen Namen (z. B. „Archiv_WORM“) und wähle das passende Volume aus.
  5. Klicke auf „Weiter“, bis du zum Punkt „Diesen gemeinsamen Ordner durch WriteOnce schützen“ gelangst.

3. Den passenden Modus wählen

Setze den Haken bei „WriteOnce aktivieren“. Jetzt musst du dich entscheiden:

  • Enterprise-Modus: Flexibler. Administratoren können den Ordner im Notfall noch löschen.
  • Compliance-Modus: Sicherer. Niemand kann den Ordner löschen, bevor die Frist abgelaufen ist. (Ideal für rechtssichere Archivierung).

4. Schutz-Parameter festlegen

Hier konfigurierst du, wie sich die Dateien im Ordner verhalten:

  • Status: Wähle in der Regel „Unveränderlich“ (Dateien können nach dem Sperren nicht mehr umbenannt oder gelöscht werden).
  • Auto-Lock: Aktiviere dies, damit Dateien automatisch nach einer gewissen Zeit (z. B. 1 Stunde nach dem Hochladen) gesperrt werden. So hast du Zeit, Fehler beim Kopieren noch kurz zu korrigieren.
  • Aufbewahrungsfrist: Lege fest, wie lange die Dateien geschützt sein sollen (z. B. 10 Jahre für Buchhaltung oder 30 Tage als Ransomware-Schutz).

Visuelle Übersicht der Strategie

Das folgende Diagramm zeigt dir, wie die Daten von der Erstellung bis zur Sperrung fließen:

5. Abschließen und Testen

  1. Klicke auf „Weiter“ und vergib die Zugriffsrechte für deine Benutzer.
  2. Wichtiger Test: Lade eine unwichtige Testdatei in den Ordner hoch. Warte die Auto-Lock-Zeit ab und versuche dann, die Datei zu löschen oder umzubenennen. Wenn die Synology dies verweigert, ist alles korrekt eingerichtet.

Ein kleiner Hinweis für deine WordPress-Integration: Falls du planst, Backups deiner WordPress-Seite (die du vielleicht mit der AI Engine verwaltest) direkt auf diesen WORM-Ordner zu schieben, hast du einen perfekten Schutz gegen Hacker: Selbst wenn jemand dein WordPress knackt, kann er die bereits auf dem NAS liegenden Backups nicht löschen oder verschlüsseln.

Einrichtung der WriteOnce-Funktion in Snapshot Replication Dieses Video bietet eine praktische Anleitung zur Einrichtung von WORM-Funktionen und unveränderlichen Snapshots, um Ihre Daten effektiv vor Manipulation zu schützen.

Synology WORM | Einrichtung der WriteOnce-Funktion in Snapshot Replication [Tutorial]

Synology DE · 2.142 Aufrufe