10 Cloud-Debakel, 4 Backup-Lektionen

17.06.2024
Von  und
W. Curtis Preston ist Experte in Sachen Backup, Storage und Recovery und schreibt unter anderem für unsere US-Schwesterpublikation Network World.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Nur eines dieser zehn Unternehmen hat sein Cloud-Ausfallfiasko einigermaßen unbeschadet überstanden.
Ziehen Sie die richtigen Lehren aus den Cloud-Fehltritten Anderer.
Ziehen Sie die richtigen Lehren aus den Cloud-Fehltritten Anderer.
Foto: Leremy | shutterstock.com

Backups sind essenziell - egal, ob es dabei um On-Premises-Rechenzentren, IaaS- oder SaaS-Instanzen geht. Einige Anwender sind allerdings der Meinung, man solle den Cloud-Anbietern ruhig vertrauen - sie werden schon dafür sorgen, dass alles seine Ordnung hat. Und was kann schon passieren?

Die folgenden zehn (chronologisch geordneten) Cloud-Ausfälle aus den vergangenen 15 Jahren vermitteln eine umfassende Antwort auf diese Frage. Eine ausführliche (englischsprachige) Diskussion in Podcast-Form zu sämtlichen Outage-Kapriolen gibt's inklusive.

10 kritische Cloud-Desaster

  • Carbonite (2009): Mangelnde Redundanz und Storage Arrays aus dem Consumer-Segment bescherten dem Backup-Anbieter Carbonite (lange vor der Übernahme durch Opentext im Jahr 2019) eine nachhaltige Datenkatastrophe, bei der die Backup-Daten Tausender Kunden verlorengingen. Das Unternehmen machte dafür in erster Linie seinen Storage-Anbieter verantwortlich.

  • Code Spaces (2014): Cyberkriminelle konnten sich Zugang zu den Systemen des Hosting-Anbieters Code Spaces verschaffen und löschten im Anschluss sämtliche Kundendaten und -backups aus der AWS-Umgebung des Unternehmens. Das führte letztlich dazu, dass Code Spaces sein Geschäft aufgeben musste.

  • Dedoose (2014): Ein Serviceausfall sorgte dafür, dass beim Analytics-Anbieter Dedoose sowohl die primäre Research-Datenbank als auch die zugehörigen Backups, die einmal pro Monat erstellt worden waren, lahmgelegt wurden. Im Ergebnis hatten einige Kunden mit umfassenden Datenverlusten zu kämpfen.

  • Salesforce (2019): Dank eines fehlerhaftes Skript wúrden sämtlichen Salesforce-Benutzern zeitweise volle Änderungsrechte verliehen. Die Backups des Unternehmens ermöglichten keine schnelle Wiederherstellung, was verdeutlicht, wie wichtig unabhängige Datensicherungen sind, wenn es um Software as a Service geht.

  • Musey/Mosss (2019): Das US-Startup Musey hatte einst eine vielversprechende App für Interior Design in der Mache. Bis ein Administrator versehentlich den gesamten Google-Workspace-Account des Jungunternehmens - und damit Daten und geistiges Eigentum im Wert von rund einer Million Dollar - löschte. Weil kein unabhängiges Backup angefertigt worden war, konnten die Daten auch nicht wiederhergestellt werden. Das inzwischen in Mosss umfirmierte Startup versuchte zwar noch gerichtlich gegen Google vorzugehen - scheiterte jedoch (absehbarerweise) am Shared-Responsibility-Grundsatz und musste daraufhin die Schotten dichtmachen.

  • KPMG (2020): Auch bei den Wirtschaftsprüfern von KPMG hieß es Mitte 2020 "upsi". Ein Admin hatte versehentlich eine Retention-Richtlinie in Microsoft Teams geändert, wodurch die Chatdaten von mehr als 145.000 Benutzern dauerhaft verlorengingen.

  • OVH (2021): Ein Großfeuer zerstörte Anfang 2021 ein Datacenter des Hostingdienstleisters OVH in Straßburg. Dabei erlitten viele Kunden Datenverluste, weil die zugehörigen Backups im selben Rechenzentrum lagen.

  • StorageCraft (2022): Nur einige Monate nach der Übernahme durch Arcserve ereilte den Datensicherungsspezialisten StorageCraft im Rahmen einer Cloud-Migration ein Outage-Desaster: Ein Server, der Metadaten von Kunden-Backups beinhaltete, wurde versehentlich vorzeitig dekommissioniert, die Datensicherungen unbrauchbar. Der damalige Arcserve-CEO Brannon Lacey übernahm die volle Verantwortung für den Vorfall - letztlich konnten die Backups wiederhergestellt werden.

  • Rackspace (2022): Die gehostete Exchange-Umgebung des IT-Dienstleisters Rackspace wurde Ende 2022 durch Ransomware kompromittiert. Möglich wurde das in erster Linie durch eine laxe Patching-"Strategie". Die Wiederherstellung der Daten dauerte - trotz integrierter Backups - Monate und führte letztlich dazu, dass das Unternehmen sein Hosted-Exchange-Geschäft einstampfte.

  • UniSuper (2024): Ein Konfigurationsfehler in Google Cloud löste einen Bug aus, der dazu führte, dass die gesamte Cloud-Umgebung des australischen Bildungsfonds UniSuper gelöscht wurde - und zwar regionenübergreifend. Glücklicherweise gab es (getestete) Drittanbieter-Backups, die es ermöglichten, die verlorenen Daten innerhalb einer Woche wiederherzustellen.

Sie suchen weitere interessante Beiträge zu diversen Themen aus der IT-Welt? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten, direkt in Ihre Inbox.

Jetzt CW-Newsletter sichern

4 essenzielle Backup-Lektionen

So desaströs diese Cloud Outages auch waren: Sie verdeutlichen, dass Datenschutz in der Cloud kein Selbstläufer ist. Ihre Daten sind nur sicher, wenn Sie und Ihr Cloud-Anbieter entsprechende Vorkehrungen treffen. Um Ihr Unternehmen vor Katastrophen wie den oben aufgeführten zu bewahren, sollten Sie folgende Backup-Lektionen (noch einmal) verinnerlichen:

  • Sichern Sie Ihre Cloud-Daten und verlassen Sie sich dabei nicht nur auf die integrierten Security Services der Cloud-Anbieter. Setzen Sie dabei auf die "3-2-1-Regel": Bewahren Sie mindestens drei Kopien Ihrer Daten auf zwei verschiedenen Ausfalldomänen auf - eine davon an einem sicheren Ort außerhalb der Cloud-Umgebung des Unternehmens.

  • Dabei kommt es nicht nur darauf ein, eine Datensicherung zu haben, sondern auch auf die richtige Art von Backup. Es gilt, nicht nur die Primärdaten zu sichern, sondern auch die Integrität und Wiederherstellbarkeit der Datensicherung selbst zu gewährleisten.

  • Auch SaaS-Anbieter sind nicht vor Datenverlusten gefeit. Deshalb ist es essenziell, auch diese Daten unabhängig zu sichern. Idealerweise mit Unterstützung eines Drittanbieters.

  • Menschliches Versagen spielt bei Datenverlusten immer wieder eine tragende Rolle. Dagegen helfen nur zielführende Schulungsmaßnahmen, Data-Access-Richtlinien sowie ein nachweislich funktionaler Incident-Response-Plan.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.