Das musst du aber differenzierter sehen.
Finde ich nicht, dass ich das muss. Natürlich kann man ein direkt aus dem Internet erreichbares NAS v.a. über Zugriffs-Regeln in Firewalls weiter absichern. Der große Teil der hier Lesenden und Schreibenden kann das aber nicht, da dies entsprechendes Wissen und am besten auch Erfahrung voraussetzt. Netzwerk-Enthusiast mit Unifi zu Hause zu sein ist eine prima Grundlage, in aller Regel überblicken Leute, die nicht vom Fach sind, trotzdem kaum die Gefahrenlandschaft.
Ich kann auch tatsächlich nicht verstehen, was an der generellen Empfehlung "pack es hinter ein VPN" falsch sein soll - das ist geringer Aufwand bei riesigem Sicherheitsgewinn und sollte für 99% der Anwender ohne viel Erfahrung der Weg zum Ziel sein.
Sicherheit ist immer der Feind von Bequemlichkeit, das liegt in der Natur der Sache. Wenn ich mir doch aber wie hier mit minimalem Bequemlichkeitsverlust so viel mehr Sicherheit kaufen kann, sollte der Fall eigentlich klar sein.
Zu den CVEs: Es ist richtig, dass nicht alle Einträge sich auf die NAS-Geräte beziehen. Aber zum einen macht es einen Hersteller nicht vertrauenswürdiger, wenn in einem Jahr vorwiegend seine Geräte aus anderen Produktbereichen negativ auffallen. Zum anderen wollte ich das an dieser Stelle auch eigentlich nicht im Detail diskutieren, nur den Beitrag von Ronny1978 aus meiner Sicht etwas zurecht rücken.
Wenn es um "exaktere Quellen" geht, hier wären weitere:
- Synology 1
- Synology 2
- Synology 3
- Synology 4
- QNAP 1
- QNAP 2
- QNAP 3
- D-Link
Das sind jetzt lediglich Ergebnisse aus einer kurzen Google-Suche, ich lege für solche Meldungen keine Lesezeichen an.
Ja, nicht jede Lücke betrifft jedes Gerät, jede Konfiguration. Ja, manche Lücken stellen sich schnell als rein theoretisches Angriffs-Szenario heraus. Allerdings tun sich oft genug auch die Fachpresse sowie zuständige Behörden (BSI) schwer, eine Risikobewertung abzugeben. Dazu kommt noch, dass wir ja immer nur über Lücken sprechen, die jemand gefunden und veröffentlicht hat.
Zu glauben, man ist (dauerhaft) schlauer als die bösen Buben da draußen, ist in meinen Augen kein Konzept.
Sorry für die WoT und dafür, dass ich in dieser Sache nicht wirklich kompromissbereit bin. Für mich bleibt es aber dabei: NAS-Geräte direkt am Internet sind ein unnötiges, weil vermeidbares Sicherheitsrisiko.