Big-Four-Datenpanne: EY verliert Kontrolle über 4-TB-Datenbank

Acronis-Sicherheitschef kritisiert Branchenpraxis – Backup-Sicherheit wird systematisch unterschätzt, Cloud-Fehlkonfigurationen dominieren Breach-Statistiken.

Massive Datenmenge frei verfügbar

Eine rund 4 Terabyte schwere Datenbankkopie von Ernst & Young landete ungefiltert im öffentlichen Internet. Der Datensatz könnte Authentifizierungsinformationen, proprietären Code und geschäftskritische Informationen enthalten. Gerald Beuchelt, Chief Information Security Officer bei Acronis, nutzt den Vorfall für grundsätzliche Kritik an etablierten Backup-Praktiken.

Sicherungskopien als blinder Fleck

Beuchelt diagnostiziert ein systematisches Problem: Organisationen behandeln Datensicherungen als administrativen Nebenaspekt, obwohl diese Kopien sämtliche Systeminhalte spiegeln – von Credentials über API-Tokens bis zu Konfigurationsparametern. Liegt eine solche Sicherung exponiert im Netz, erhält jeder Finder theoretisch Vollzugriff auf die gesamte IT-Umgebung. Der EY-Breach illustriert: Auch Unternehmen mit ausgereiften Security-Programmen können durch simple Konfigurationsfehler kompromittiert werden. Falsch parametrisierte Cloud-Storages – Amazon-S3-Buckets mit Public-Read-Permissions oder versehentlich freigegebene Storage-Snapshots – führen Breach-Statistiken seit Jahren an.

Beuchelt fordert Paradigmenwechsel

Der Acronis-CISO argumentiert für Gleichbehandlung: Backup-Repositories müssen identische Schutzstandards wie Produktivsysteme erhalten – Zero-Trust-Access-Controls, End-to-End-Verschlüsselung, permanentes Monitoring. Niemals dürften Sicherungskopien in shared oder public Storage Accounts residieren. Seine Empfehlung: Implementierung automatisierter Scanning-Tools, die kontinuierlich das gesamte Cloud-Footprint auf exponierte Backups durchsuchen. Ergänzend sollten Configuration-Management-Plattformen für SaaS-Dienste wie Microsoft 365 eingesetzt werden – diese überwachen nicht nur Backup-Security, sondern auch andere risikorelevante Service-Einstellungen und verhindern Drift von Security-Baselines.

Single Point of Failure eliminieren

Beuchelts Fazit: Backup-Security muss vom Nice-to-Have zum strategischen Kernelement werden. Eine einzige exponierte Sicherungskopie neutralisiert jahrelange Security-Investments komplett. Nur durch strukturierte Audits und rigoroses Configuration Lifecycle Management lassen sich solche Vorfälle verhindern.