Cloud-Speicher sind weder aus der professionellen IT noch aus dem alltäglichen Gebrauch wegzudenken: Selbst Anwender, die meinen nie etwas mit Cloud-Computing zu tun haben zu wollen, nutzen häufig völlig unbewusst Cloud-Techniken, wenn sie ihr Smartphone einsetzen und dabei die vorkonfigurierten Dienste von Apple, Google oder Microsoft einsetzen. Spätestens seitdem sich der Gebrauch von Dropbox und ähnlichen Lösungen sich sowohl im privaten als auch im Business-Bereich sehr umfassend durchgesetzt hat, möchten die meisten Nutzer diesen Komfort auch nicht mehr missen. Aber nicht erst seit der Aufregung rund um die Methoden der NSA und der bundesdeutschen Behörden sind viele Anwender misstrauisch und besorgt, wie es um die Sicherheit ihrer Daten in der Wolke bestellt ist.
Als Lösung bietet sich da der Einsatz der "eigenen Wolke" an - ein Speicher, der sich im heimischen beziehungsweise firmeninternen Netzwerk befindet und auf den die Nutzer im Idealfall nur mit einem Browser von überall her zugreifen können. Wer schon ein NAS-System im Einsatz hat, wird dieses dann am liebsten ebenfalls zu diesem Zweck einsetzen wollen. Wir stellen die Techniken vor, beleuchten die Möglichkeiten und weisen auch auf die Risiken der "eigenen Wolke" im realen Einsatz hin.
Anbindung: Technik und Risiken
Wer die Daten, Bilder und Filme, die er auf seinem NAS-System beheimatet, auch über das Netz von überall her erreichen möchte, muss dazu zunächst einmal einige technische Hürden überwinden. So sind Heimnetzwerke und selbstverständlich auch die Firmennetzwerke in der Regel so konfiguriert, dass es Firewall und ein Router mit Hilfe von NAT zwar einen problemlosen Verkehr aus dem eigenen Netz ins Internet erlauben, dass der umgekehrte Weg aber aus Sicherheitsgründen in der Regel versperrt bleibt.
Soll die eigene NAS aus dem Internet erreichbar sein, so besteht eine Möglichkeit also darin, eine Portfreigabe einzurichten und somit quasi eine Lücke in der eigenen Firewall zu öffnen - mit den entsprechenden Konsequenzen. So kommen bei einem Zugriff via FTP (File Transfer Protocol) in der Regel die Ports 20 und 21 zum Einsatz, was auch allgemein bekannt ist und damit auch die Gefahr von Angriffen auf das eigene Netzwerk deutlich erhöht.
Hier kann es hilfreich sein, wenn der Administrator nach außen für den FTP-Zugang einen hohen Port freigibt, der dann im eigenen Netz an den richtigen Port der eigenen NAS weitergereicht wird. Auch hier besteht aber die Gefahr der unverschlüsselten Verbindung ins eigenen Netz, solange nicht konsequent SSH-Verbindungen (Secure Shell) in Verbindung mit SFTP (Secure File Transfer Protocol) zum Einsatz kommen.
Ein weiteres Problem besteht für die meisten Anwender und auch viele kleine Unternehmen darin, dass sie in der Regel keine feste IP-Adresse besitzen, sondern eine solche von ihrem Provider dynamisch zugeordnet bekommen. Zudem trennen die deutschen Internet-Provider in der Regel alle 24 Stunden einmal die Verbindung - danach besitzt der Nutzer dann (nicht immer) eine neue IP-Adresse. Unter diesen Umständen ist es natürlich sehr schwer, die NAS von außen zu erreichen. Hier hilft ein dynamischer DNS-Dienst, der eine von eben diesem Dienst vergebene URL immer mit der jeweils aktuellen IP-Adresse verbindet und somit die Erreichbarkeit garantiert. DynDNS war jahrelang ein Synonym für einen solchen Dienst im Internet und stand auch kostenlos zur Verfügung.
In der Zwischenzeit können Nutzer diesen Dienst nur noch drei Tage kostenlos testen, danach muss für die einfachen Dienste eine Jahresgebühr von 40 Dollar entrichtet werden. Allerdings stehen in der Zwischenzeit auch im deutschsprachigen Raum einige Alternativen zur Verbindung, die nach wie vor ein Teil dieser Dienste kostenfrei bereitstellen.
Dazu zählen beispielsweise Seiten wie DYNDNS Service, GoIP oder Dynamic DNS Service, ein Dienst, der von der Firma SecurePoint zur Verfügung gestellt wird. Diese Web-Seiten unterscheiden sich dabei durchaus durch Menge der Hosts und Domains, die dem Nutzer ohne Zusatzkosten angeboten wird und auch die Konfiguration ist je nach Anbieter komplexer oder leichter zu bewältigen. Hier kann sich also jeder Anwender ein entsprechendes Angebot aussuchen und im Zweifelsfall dann später auch zu den erweiterten kostenpflichtiger Dienste des jeweiligen Anbieters wechseln.
NAS mit privater Cloud
Wer heute ein aktuelles NAS-System in seinem Netzwerk einsetzt, kann davon ausgehen, dass der Hersteller dieses Speichersystems eine Cloud-Funktionalität in das Gerät integriert hat. Weiterhin bieten unter anderem Hersteller wie QNAP, Netgear und Synology eigene Dienste an, die den Anwendern dann einen dynamischen DNS-Service zur Verfügung stellen. Dabei haben alle von uns untersuchten Anbieter den Schwerpunkt auf die Einfachheit der Bedienung gelegt: Die Nutzer sollen möglichst von den Problemen der wechselnden IP-Adressen und entsprechend komplizierten Zugriffen ferngehalten werden.
In der Regel verknüpfen die Hersteller dabei die gesamte Konfiguration ihrer NAS-Systeme mit der Cloud und der eigenen Webseite, was nicht immer allen Nutzern gefällt. Leider gehen nämlich gerade viele US-amerikanische Anbieter davon aus, dass ein Zugriff auf das heimische oder gar Firmen-LAN problemlos von außen möglich ist, leiten den Nutzer auf ihre Webseite und wollen dann "über einen Klick" das im heimischen Netzwerk installieren. Aus den zuvor genannten Gründen funktioniert das nicht immer so einfach, was dann nicht selten die Anwender frustriert zurücklässt.
So stellt dann auch fast jeder der Anbieter ein entsprechendes Dienstprogramm zur Verfügung, das es ermöglicht, das neue NAS-System zunächst einmal lokal zu konfigurieren, bevor dann ein Zugriff auf die Cloud-Lösung des Herstellers eingerichtet werden kann. Wir haben für diesen Bericht als exemplarisches Beispiel ein sogenanntes ReadyNAS-System von Netgear eingesetzt. Unter dem Namen ReadyCloud stellt die Firma dann auch einen Dienst zur Verfügung, mit dessen Hilfe die Nutzer nicht nur ihre Systeme konfigurieren und verwalten, sondern auch über ein Web-Portal von überallher auf ihre Daten zugreifen können.
Die Einrichtung ist dabei übersichtlich und einfach gestaltet und nach zwei Anläufen konnten wir dann problemlos auf die NAS zugreifen, ohne dass wir dazu etwas an unserer Netzwerk- beziehungsweise Router-Konfiguration im Testnetzwerk ändern mussten. Wer sich jemals durch Einrichtung und Konfiguration einer Reverse-Proxy-Konfiguration quälen durfte, wird diesen Komfort ebenso wie wir sicher schätzen lernen. Natürlich klappt die Verwendung eines solchen Herstellerportals nur dann, wenn der Anwender dort zunächst ein entsprechendes Konto angelegt hat und sich dann damit auch anmeldet.
Fast wie eine NAS: Festplatte und Router
Soll es nicht gleich ein komplettes NAS-System sein, das die eigene Wolke und damit den Zugriff übers das Netz auf die eigenen Daten ermöglicht, dann können viele aktuelle Router diesen Anforderungen ebenfalls bis zu einem gewissen Grad genügen. Die meisten Router besitzen heute einen oder mehrere USB-Anschlüsse, an denen dann externe Festplatten als Netzwerkspeicher betrieben werden können. Diese Speicher können Nutzer dann in der Regel auch über das Netz freigeben, wobei einige Anbieter wie beispielsweise AVM hierfür ebenfalls einen eigenen DynDNS-Dienst unter dem Namen MyFritz! anbieten. Auch für die Nutzung eines solchen Dienstes müssen die Anwender auf der Webseite des Anbieters ein Konto einrichten und sich dann mit diesem anmelden, um so Zugriff auf ihre Daten auf die mit dem Router verbundenen Festplatten zu bekommen.
Fazit: Anwendern, die zwar Cloud-Techniken nutzen und von möglichst allen Standorten auf ihre Daten zugreifen möchten, aber dabei nicht auf öffentliche Dienste zurückgreifen möchten, stehen heute vielfältige Möglichkeiten zur Verfügung, einen "eigene Wolke" einzurichten und zu betreiben. Sie werden dabei mit den wenigsten technischen Problemen belastet werden, wenn sie ein NAS-System mit integrierter Cloud-Unterstützung von einem der namhaften Hersteller erwerben.
Die Verwendung eines Routers, der die Bereitstellung der mit ihm verbundenen Festplatten über das Netz ermöglicht, kann ebenfalls eine Alternative sein. Nutzer und gerade Firmen sollten aber immer bedenken, dass sie sich an einen Hersteller binden, wenn sie dessen Lösung zur Cloud-Anbindung verwenden - stellt dieser Hersteller das Programm ein, müssen sie eine andere Lösung suchen. Eine Möglichkeit besteht sicher darin, sofort auf einen unabhängigen Anbieter für DynDNS-Dienste zu setzen. Wer hingegen über genug Linux-Erfahrung verfügt, sollte deshalb auch den Einsatz einer ownCloud-Lösung in Betracht ziehen, die ihm auf jedem Fall ein größeres Maß an Unabhängigkeit und Flexibilität beim eigenen Cloud-Speicher ermöglicht. (mb)