- Was ist passiert?
Der Beratungskonzern Ernst & Young (EY) — einer der „Big Four“ im Bereich Wirtschaftsprüfung und Beratung — ließ offenbar eine 4 Terabyte große Backup-Datei einer Microsoft SQL Server‑Datenbank (.BAK‑Datei) auf der Cloud-Plattform Microsoft Azure frei zugänglich stehen. Entdeckt wurde der Leak von den Sicherheitsexperten von Neo Security(https://www.neosecurity.nl/). Sie stießen bei einer Routineanalyse auf eine Datei, deren Header bereits durch einen einfachen „HEAD‑Request“ verriet: „Content‑Length: 4 TB?!“ – also eine gigantische, unverschlüsselte SQL‑Sicherung, öffentlich erreichbar im Netz.
Das Backup enthielt laut Neo Security mit hoher Wahrscheinlichkeit nicht nur Strukturen und Tabellen, sondern auch Service‑Accounts, Zugangstoken und interne Prozeduren – also alles, was man in einer Datenbank besser nie verlieren sollte. Das Team lud aus rechtlichen Gründen nur die ersten 1000 Bytes herunter und konnte trotzdem eindeutig erkennen, dass es sich um ein Microsoft‑SQL‑Backup handelte.
Übrigens: Neo Security brauchte über 15 Versuche via LinkedIn, um jemanden bei EY zu erreichen, der den Fund ernst nahm. „Responsible Disclosure“ ist manchmal wie eine Hotline mit Warteschleife.
- Warum betrifft das Dich (und nicht nur IT‑Profis)?
– Daten sind wertvoll – Nicht nur große Konzerne speichern Daten. Auch wir als Privatpersonen hinterlassen digitale Spuren (Logins, Cloud‑Backups, Fotos…). Wenn Unternehmen ihre Backups falsch absichern, können daraus echte Risiken entstehen: Identitätsdiebstahl, Phishing, Betrug.
– Cloud heißt nicht automatisch sicher – Fehlkonfigurationen wie diese zeigen: Die Cloud ist kein magischer Sicherheitsraum. Wer nicht prüft, was öffentlich ist, riskiert unfreiwillig Datenspaziergänge.
– Scanner schlafen nie – Laut Neo Security finden automatisierte Systeme solche offenen Speicher oft in Sekunden. Wenn du kurz auf „öffentlich“ klickst und vergisst, das wieder zurückzustellen – ein Bot hat’s längst gefunden.
– Backups sind Gold‑Schätze – Ein Backup enthält alles. Wird es öffentlich, hat ein Angreifer den kompletten Werkzeugkasten.
- Was genau lief schief?
– Vermutlich wurde ein Azure Blob‑Container versehentlich auf „öffentlich lesbar“ gesetzt.
– Die Datei war unverschlüsselt – also wie ein Schließfach ohne Schloss.
– EY verlor den Überblick über Speicherorte und Verantwortlichkeiten – ein Klassiker bei großen Organisationen.
– Die Forscher identifizierten das Backup durch die typischen SQL‑„Magic Bytes“, ohne es herunterzuladen. Ein Beweis, wie leicht so etwas auffindbar ist.
– Der größte Aufwand war nicht die Entdeckung, sondern das Melden – 15 Kontaktversuche sprechen Bände.
- OK – aber: Ist etwas Schlimmes passiert?
EY erklärt, das Backup stamme von einer übernommenen Einheit und es seien keine Kunden- oder Personendaten betroffen. Doch: „kann ausschließen“ heißt nicht „ist sicher“. Sobald eine Datei öffentlich zugänglich ist, bleibt ein Restrisiko – und niemand weiß, ob sie bereits kopiert wurde.
- Meine Humor‑Metapher 📦
Ein 4‑TB‑Backup im Internet ist wie ein Tagebuch, Steuerunterlagen und Hausschlüssel in einem durchsichtigen Container – mitten auf dem Marienplatz.
Und während Du denkst, „ach, das sieht doch keiner“, hat ein automatischer Scanner längst ein Selfie mit Deinem Container gemacht und es ins Darknet‑Album hochgeladen.
- 5 Handlungstipps – was kannst Du als Privatperson oder IT‑Interessierter tun?
- Cloud‑Backups prüfen – Ist Dein Speicher wirklich privat oder versehentlich öffentlich?
- Verschlüsselung aktivieren – Selbst wenn jemand drankommt, bleibt’s wertlos.
- Zugangskontrollen checken – Besonders bei Cloud‑Diensten: „öffentlich“ ist kein Gütesiegel.
- Passwörter und Schlüssel rotieren – Regelmäßiger Wechsel + Zwei‑Faktor‑Authentifizierung.
- Scanne wie ein Angreifer – Nutze Tools zur Attack‑Surface‑Analyse. Was ein Hacker sehen kann, solltest Du zuerst sehen.
FAZIT
Selbst Top‑Unternehmen mit Millionenbudgets stolpern über Basics. Die moderne Cloud ist komplex – zu komplex, um sie ohne Kontrolle laufen zu lassen. Sicherheit ist kein „Set‑and‑Forget“, sondern ein Prozess. Und wenn Du das nächste Mal ein Backup anlegst, denk an Neo Securitys 4‑TB‑Fund: Ein Klick zu viel auf „öffentlich“ kann der teuerste Klick Deines Lebens werden.
Quelle: Neo Security