Totalverlust durch Ransomware: CloudNordic und seine Kunden verlieren alle Daten

Bei einem Ransomware-Angriff am vergangenen Freitag wurde der dänische Cloud-Anbieter CloudNordic komplett lahmgelegt. Die Angreifer hatten einfach alle Daten verschlüsselt, also sowohl die Webseite und Systeme des Anbieters als auch die Nameserver, E-Mail-Server, die Kundensysteme und die Webseiten der Kunden. Da keine Wiederherstellung möglich ist und die Lösegeldforderungen zu hoch sind, gibt CloudNordic seine Rettungsversuche nach einer Woche auf und meldet den Totalverlust.

Die Domains lassen sich retten, sonst aber nichts
CloudNordic bietet seinen Kunden an, leere Systeme bereitzustellen, womit zumindest der Umzug der Domains entfällt. Das ist zwar nicht viel, doch ein Domain-Umzug bedeutet für weitere Tage gar nicht erreichbar zu sein. Ansonsten müssen der Anbieter und seine Kunden wieder bei Null anfangen. Auf einer provisorischen Webseite erklärt CloudNordic, wie die Wiedereinrichtung der Domains funktioniert: Man schreibt eine Mail mit dem Betreff RESTORE an support@azero.dk und teilt dem Kundendienst eine funktionierende E-Mail-Adresse, die eigene Telefonnummer und die wiederherzustellende Domain mit. Nach der Prüfung dieser Daten meldet sich dann der Kundendienst bei den betroffenen Kunden.

Backups sind Verantwortung des Kunden
Mit Backups kann CloudNordic nicht dienen, da auch diese verschlüsselt wurden. Es wäre daher von Vorteil, wenn die Kunden eigene Backups hätten. Ansonsten solle man im Internetarchiv nachsehen, ob dort eventuell eine Version der verlorenen Webseite gespeichert wurde. Wer lokale Kopien seiner E-Mails hat, kann diese nach der Wiederherstellung des E-Mail-Servers zurückkopieren. Wer keine hat, hat Pech gehabt. Dies zeigt einmal mehr, dass in der Cloud oder auf anderen Servern im Internet gespeicherte Daten zusätzlich lokal gesichert werden sollten. Idealerweise redundant auf Systemen oder Datenträgern, die nur zum Zwecke der Sicherung mit den lokalen PCs verbunden werden.

Verkabelt, was nicht hätte verkabelt werden dürfen
CloudNordic liefert eine recht spezielle Erklärung für seinen Cloud-GAU: Man sei in ein neues Rechenzentrum umgezogen und habe dabei vermutlich bereits zuvor infizierte Rechner mit umgezogen. Da die Infektion der bis dahin nicht aktiv genutzten Systeme unbekannt war, wurden sie mit allen anderen Systemen verkabelt und dabei auch die Trennung zweier vormals isolierter Netzwerke aufgehoben. In die Freiheit entlassen, verteilten sich die Schädlinge im gesamten Netzwerk und befielen auch die primären und sekundären Backup-Systeme. Als die Verschlüsselung dann am Morgen des 18. August 2023 entdeckt wurde, waren bereits alle Daten und Sicherungen verloren.

Das wichtigste an der Cloud: Verantwortung klären!
Die Cloud bietet für viele Unternehmen klare Vorteile. Insbesondere kann man die eigene IT verschlanken, so dass komplexe Lösungen am Ende nur noch ein monatlicher Kostenpunkt sind und die Suche nach qualifizierten Mitarbeitern entfällt. Doch es reicht nicht aus, nur die Technik einzukaufen. Man muss zugleich auch Kundendienst und Verantwortung mieten, denn nur wenn der Cloud-Anbieter auch die Verantwortung für die Sicherheit der ihm anvertrauten Daten übernimmt, bleibt das finanzielle und rechtliche Risiko für die Kunden kalkulierbar. Wenn ein Unternehmen seine IT weitgehend in die Cloud auslagert und dann von einem derartigen Totalverlust betroffen ist, kann dies katastrophale Konsequenzen haben, deren Absicherung oft mehr kostet, als die eigentlichen Cloud-Dienste. Zumindest gibt es in diesem Fall anscheinend keine Probleme mit dem Datenschutz: Laut CloudNordic wurden die Daten nur zerstört und nicht zuvor noch gestohlen.