News Durch Hackerangriff: Dänischer Cloud-Anbieter verliert fast alle Kundendaten

[Intruder]

Oweh. Naja, hoffentlich haben die Kunden die Daten auch noch lokal vorliegen, bzw. auf Ihrem NAS.

tja... meiner Auffassung nach müssen sowohl die Kunden ein Backup haben wie auch der Cloudanbieter müsste ein Backup haben...

aber egal. In der Cloud sind die Daten laut einigen Experten um ein vielfaches sicherer als auf dem heimischen PC 🤔

 

[Tech-Dino]

Darum wird in der deutschen Verwaltung auch noch alles ausgedruckt und abgeheftet

In Japan sind noch Diskette, CD-ROM oder Minidisc bei Amtswegen Pflicht.

 

[Drizz]

Ich hab da immer noch nen Knoten im Kopf:

Die haben angeblich ihre Server von einem DC ins andere umgezogen.
Die Server, die „Auslöser“ oder „Sprungbrett“ für die Attacke / die schon vorhandene Ransomware waren, sollen von (einem) hinter der Firewall isoliertem Netzwerk stammen und schon versifft gewesen sein.
Der „Verkabelungsfehler“ hat also dazu geführt, dass eben jene(r) Server ins interne Netz gehängt wurde(n) und das erst den direkten Kontakt mit den internen Systemen ermöglicht hat.

Aus meiner Netzwerkerbrille würde das bedeuten:

• die haben alles im internen Netz (Backup, sekundäres Backup, Storage, Server mit Management- und Verwaltungssystemen) in einem großen Subnetz gesammelt und jeder konnte uneingeschränkt mit jedem kommunizieren
• es hat nie jemand die Firewall Logs gecheckt. Warum will Server XY mit dem internen Netz auf Port YX kommunizieren - dem muss ich doch nachgehen!
• Es wurde kein XDR / SIEM / SOAR oder sonstige Systeme im Einsatz, die bei Anomalien Alarm schlagen
• Es wurde kein oder ein mieser Proxy eingesetzt wird (sollte das System von außen gesteuert worden sein, dann hätte der Proxy bei einem Verbindungsaufbau zu einen C&C Server nach außen (sofern der Traffic entschlüsselt wird oder anhand der IP Range), Alarm schlagen müssen

Technisch gesehen:

• Sollten die internen Systeme doch in unterschiedlichen Subnetzen gewesen sein (Stichwort Segmentierung), wie kann ein Gerät, das ein völliges anderes Subnetz konfiguriert hat, auf einmal auf diese zugreifen, Stichwort Standardgateway (proxy-arp, ip redirect, schlampige config)?
• Warum hat der / die Server nicht schon im eigenen Subnetz gewütet?

Ich denke was hier passiert ist, kann man nicht nur auf Hyperscaler umlegen, das kann in jedem Unternehmen passieren, da habe ich nichts für Häme übrig, viel lieber würde ich das detaillierter verstehen.

MfG Drizz

 

[Killer1980]

Mein Backup wird nur offline gemacht. Schon immer seit es Computer gibt und siehe da noch nie irgendwas verloren.

Dito . Ich vertraue fremden meine Daten nicht. Bei mir kommt externe SSD für schnellen Backup. Dann seltener alles auf externe HDD und einmal im Jahr wird dann meine Notfall externe HDD von meinem Freund geholt, Backup gemacht und wieder dahin gebracht.
Klingt vielleicht übertrieben aber soviel Arbeit ist es eigentlich auch nicht.

 

[luckyfreddy]

Auch in der "magischen" Cloud liegen die Daten "auf PCs". Es sind nur Geräte der Anderen.

Die Situation ist absurd heikel. Vermutlich hätten Sicherungskonzepte mit Bändern hier einiges verhindern können. Aber diese Kosten Geld. Würde der Aufpreis von den Kunden bei großer Konkurrenz bezahlt werden?

Auf jeden Fall zeigt es, dass auch die Anderen nur mit Wasser kochen und am Ende sich jedes Unternehmen (auch Kunden solcher Anbieter) definitiv Gedanken über ein Sicherungskonzept machen sollten.

 

[cubisticanus]

Darum wird in der deutschen Verwaltung auch noch alles ausgedruckt und abgeheftet

Das ist natürlich ein klein wenig Quatsch, schon allein daran erkennbar, dass die Zahl der Kommunen, Unis, Kammergerichte usf. die wochenlang oder gar monatelang im digitalen Koma liegen, weil ihnen eine nette Ransomware alles gekillt hat, leider kaum noch zu zählen ist. Klar, noch sind extrem wichtige und langfristige Dinge wie diverse Kataster auf Papier, aber ich bin gespannt, wann zB die ersten "Eigentumsübertragungen" passieren, wenn die Grundbuchämter volldigital sind ... na ja, in Deutschland vielleicht 2100?

 

[Hito360]

Wischiwaschi-statements sind langweilig und designte Sprache sagt mir: rote Flagge!


Für Versuche der Angreifer, Kundendaten kopiert zu haben, gebe es bisher keine Anzeichen, sondern echte Beweise, die man dem Geschaeft wegen nicht oeffentlich machen kann?

Was kratzt denn bitte die Kunden wie die Daten verloren gegangen sind? Egal ob durch SoftwareHack oder HardwareZugriff, ist beides ein kritischer Mangel, der Neukunden abschrecken sollte (alte Kunden wirds eh nicht mehr viele geben)

 

[DagdaMor]

Tja. Genau deswegen habe ich keinerlei Daten auf irgendwelchen Clouds liegen. Gut, dass das "System", Daten Fremden anzuvertrauen, noch nie von mir praktiziert wurde und mir auch noch nie in den Sinn kam 😃. Es ist halt bequem, und heutzutage ist Bequemlichkeit ja bei vielen Usern in Mode bzw normal. Das ist dann das Ergebnis 😐

 

[eVoX]

Puhh, die Polizei wurde informiert, dann können wir uns ja alle wieder entspannen.

 

[Dark_Soul]

Seltsame Backup Strategie-, keine Daten von einer Woche extra oder so auf Band?

Das ist auch kein Allheilmittel. Die Angreifer infiltrieren i.d.R. zuerst den Backupserver und können sich dort z.B. schon ein Jahr im Voraus einnisten und vorgaukeln, dass normale Backups geschrieben werden. Diese können dann aber bereits verschlüsselt sein. Ohne regelmäßige Tests der Bänder fällt das also nicht auf. Sinnvoller sind spezielle Backupsysteme mit Retention Locks und Analyse-Engines, die einen Angriff auf die Daten erkennen. Gibt es schon seit einigen Jahren, aber ist halt teurer als Band.

 

[mTw|Marco]

Gerade bei dem Thema E-Mail: Kein Enterprise würde auf die Idee kommen seine O365 Mailboxen und OneDrive Daten lokal zu sichern oder in einer anderen Cloud zu speichern (wenn überhaupt möglich). Glücklich sind die, die einen E-Mail Fat Client mit Offline Cache nutzen.

Das ist eine absolute übliche Praxis bei Enterprise-Unternehmen.

 

[noxcivi]

Das kommt dabei heraus, wenn man im Alltagsstress des kapitaligetriebenen Wettbewerbs ein "secondary Backupserver" aufsetzt
"unglücklicherweise verkabelt" ist nur die Ausrede für "Zugriffe auf den zweiten Backupserver waren ohne 2FA möglich" oder "ein Standardadminkonto hatte darauf Schreibrechte". Auf den hinteren Server in der Backup-Strategie muss man normalerweise selten drauf. Schreibrechte hat nur root und der service und dann läuft ein zeitgesteuertes Skript, das die Daten pulled!

Klar sind sie die Opfer einer Straftat. Nur sie haben auch dilettantisch gehandelt. Beides muss benannt werden, damit Kunden ohne tiefe Kenntnisse nachfragen können: "Was habt ihr gelernt? Wie verhindert ihr GAU 2.0?"

 

[ComputerJunge]

Das ganze ist nicht nur MS der Fall, mann sollte sich genau anschauen, was die einzelnen Anbieter in Sachen Backup anbieten.

Vor allem sollte das Kleingedruckte gelesen werden. Da enthalten bei den (großen) Anbietern gleichartige Vorbehalte im Sinne "Keine Haftung bei höherer Gewalt".
Auf eine entsprechende Klage kann man es natürlich, insbesondere bei vorhandener und den Fall abdeckender Rechtschutzversicherung oder gar "unendlich Geld", ankommen lassen. Aber selbst bei Gewinn sind die Daten halt weg.

Glückskekssprüche: Ein Backup ist kein Backup, zwei sind immer noch zu wenig usw. usf.

Manchmal hat der Glückskeksspruchschreiber (oder "Bauer") einfach und immer Recht - bestätigt durch die Evidenz.

 

[Arcturus128]

Bei vielen ist Cloud nutzen gleichbedeutend mit Backupstrategie.

Na wenn die Cloud nur das Backup ist, dann sind die Daten ja immer noch vorhanden.

 

[lokked]

Ich hab da immer noch nen Knoten im Kopf:


[..]
Ich denke was hier passiert ist, kann man nicht nur auf Hyperscaler umlegen, das kann in jedem Unternehmen passieren, da habe ich nichts für Häme übrig, viel lieber würde ich das detaillierter verstehen.

MfG Drizz

Wirst du vermutlich nie, weil sie aus Gründen des juristischen Überlebens nicht transparent sein können.
So etwas wie standardmässige Dienste, die auf allen Servicecontainern laufen müssen und dort root zugriff haben, für Metriken, Abrechnung etc.

Auf jeden Fall ist es keine gute Strategie für Backups vom gleichen Provider zu bezahlen bzw sich allein darauf zu verlassen; das sollte man lieber tunlichst selber in die Hand nehmen. Also das woran ein großer Teil der KMU regelmässig scheitern

 

[S.Kara]

Naja, Verfügbarkeitsversprechen von mehr als 99% sind durchaus üblich.
99.9% oder 99.95% oder auch 99.99999% habe ich durchaus schonmal gesehen, sogar bei billigen Serveranbietern. Wenn die jetzt länger als einen Tag down sind (sind sie) und du mehr als 100 Tage Kunde warst, dann erfüllen die schon nicht mehr den Vertrag. Dann kannst du wegen nichterfüllung Klagen.

Ohne konkreten Vertrag sind die eher als Richtwerte zu verstehen. Kannst zwar klagen, aber bis auf vielleicht den gezahlten Preis für das Angebot wirst du da nichts bekommen.

Es kann Verträge geben dass der Anbieter den Schaden für den Ausfall übernimmt. Im B2C habe ich das aber noch nie gesehen.

 

[nubi80]

Den Angreifern gelang es, alle Server-Disks sowie das primäre und sekundäre Backup-System zu verschlüsseln

Immutability wie es bei mehrstufigen Onlinesicherungen heute üblich ist, hätte dem ganzen einen Riegel vorgeschoben.

Und auch Tape Backups und alle anderen Arten der Offlinesicherung werden damit Überflüssig.

 

[jemand84]

Auch die großen Anbieter haften nicht. Dann wird das bei so einem kleinen ebenfalls ausgeschlossen sein.

 

[HeidBen]

Wo bleibt die T-Shirt Fraktion mit: Kein Backup kein Mitleid?

Das würde hier nur leider nicht zutreffen, da es ja eins gab, bis alles vernetzt wurde.

Nicht gelesen wa?

 

[Unnu]

Also nein, wenn den Cloudanbietern da nicht ganz schnell was einfällt, wie sowas in Zukunft verhindert werden kann, dann machen die sich selbst kaput.

Das was die da fabriziert haben ist KEINE Cloud. Die haben das nur so genannt, weil halt eben.
Das ist die eine Seite. Die andere ist natürlich, warum die ihre Kunden bzgl. deren "Kein Backup" Strategie komplett im Dunkeln gelassen haben.
Ich denke, die folgenden Prozesse werden spannende Fragen beantworten.

Ergänzung (24. August 2023)

da es ja eins gab

Alles in einem RZ != Backup. Das hat sich woanders zu befinden. Auch physikalisch.