![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Kleiner Nachtrag von voriger Woche. Bei Ernst & Young (kurz EY) hat es mutma\u00dflich einen veritablen Datenschutz- und Sicherheitsvorfall gegeben. Sicherheitsforscher sind im Internet auf eine Backup-Datei f\u00fcr einen SQL-Server gesto\u00dfen, die unverschl\u00fcsselt und ungesch\u00fctzt erreichbar war. Die \u00fcber 4 Terabyte gro\u00dfe Datei soll zahlreiche sensitive Details der EY-Wirtschaftspr\u00fcfer enthalten.<\/p>\n
<\/p>\n
Am 29. Oktober 2025 machte das niederl\u00e4ndische Sicherheitsunternehmen Neo Security ein Datenleck \u00f6ffentlich. Nachfolgender Tweet<\/a> verweist auf den Artikel The 4TB time bomb: when EY's cloud went public (and what it taught us)<\/a> des Unternehmens.<\/p>\n Neo Security f\u00fchrt regelm\u00e4\u00dfig Scans im Internet durch, um so etwas wie eine \"Karte des Internet mit dessen Inhalten\" zu erstellen. Dabei sto\u00dfen die Sicherheitsforscher immer wieder auf kurzzeitig exponierte Datenbankdateien. Laut deren Aussagen reicht eine f\u00fcr f\u00fcnf Minuten im Internet offen erreichbar .BAK-Datei, damit Dritte darauf Zugriff erhalten und die Daten abziehen.<\/p>\n The Register, die den Fund in diesem Artikel<\/a> aufgegriffen haben, schrieben, dass diese Backup-Datei alles enthalte, was Anwendungen da rein schreiben: API-Schl\u00fcssel, zwischengespeicherte Authentifizierungstoken, Sitzungstoken, Dienstkontokennw\u00f6rter und Benutzeranmeldedaten. Also das, was Angreifer eigentlich zum Eindringen in Systeme ben\u00f6tigen – alles frei Haus in einem Datenbank-Backup unverschl\u00fcsselt und ungesch\u00fctzt gespeichert. Sozusagen der Jack-Pot.<\/p>\n Bei einem dieser Scans stie\u00df der leitende Forscher auf etwas, das ihn innehalten und seine Arbeit doppelt \u00fcberpr\u00fcfen lie\u00df. Er war auf ein Datenbank-Backup f\u00fcr eine SQL-Datenbank gesto\u00dfen, die mehr als 4 Terabyte gro\u00df war. Diese war auf Microsoft Azure in der Cloud gehostet und entstammte wohl dem Live-Betrieb. Nach einiger Recherche, auch in den lesbaren Datens\u00e4tzen dieses Backups stand fest, dass die SQL-Datenbank zu Ernst & Young (EY) geh\u00f6ren muss.<\/p>\n Als das klar war, z\u00e4hlte im Prinzip jede Minute, in der die Datenbank online erreichbar war. Daher versuchte Neo Security schnellstm\u00f6glich einen Sicherheitsverantwortlichen bei EY zu finden, um die BAK-Datei offline nehmen zu lassen. Ein Unterfangen, was recht problematisch war.<\/p>\n Es gab keine security@-Mailbox, kein Programm, um Sicherheitsl\u00fccken zu melden, und es war Wochenende. Der Sicherheitsforscher setzte darauf hin auf LinkedIn einen Aufruf an einige EY-Mitarbeiter ab, mit der Bitte, einen Kontakt mit dem Sicherheitsteam herzustellen. Nach 15 Versuchen fand er jemanden, der ihn verstand und ihn mit dem\u00a0Computer Security Incident Response Team (CSIRT) von EY verband.<\/p>\n Das EY CSIRT-Team handelte wohl professionell und k\u00fcmmerte sich sofort um diesen Sachverhalt. Und binnen einer Woche war das Problem beseitigt, lobt Neo Security in seinem Artikel. Gleichzeitig erw\u00e4hnt Neo Security etwas, was mir arg bekannt vorkommt. Diese professionelle Reaktion sei selten. Die Sicherheitsforscher stie\u00dfen beim Melden von Sicherheitsl\u00fccken schon auf Unternehmen, die mit Klagen drohten, weil ihnen mitgeteilt wurde, dass deren Datenbank \u00f6ffentlich zug\u00e4nglich sei. Es gab Unternehmen, die die Meldungen der Sicherheitsforscher monatelang ignoriert haben. Es gab Unternehmen, die behauptet haben: \"Das ist kein Fehler, das ist ein Feature.\" Der Vorgang zeigt erneut die Risiken der Cloud bzw. des \u00f6ffentlichen Internets auf.<\/p>\n","protected":false},"excerpt":{"rendered":" Kleiner Nachtrag von voriger Woche. Bei Ernst & Young (kurz EY) hat es mutma\u00dflich einen veritablen Datenschutz- und Sicherheitsvorfall gegeben. Sicherheitsforscher sind im Internet auf eine Backup-Datei f\u00fcr einen SQL-Server gesto\u00dfen, die unverschl\u00fcsselt und ungesch\u00fctzt erreichbar war. Die \u00fcber 4 … Weiterlesen Das K\u00fcrzel EY steht f\u00fcr Ernst & Young -ein global operierendes Netzwerk rechtlich selbst\u00e4ndiger und unabh\u00e4ngiger Unternehmen in den Bereichen Wirtschaftspr\u00fcfung, Steuerberatung, Transaktionsberatung, Risk Advisory, Financial Advisory sowie Unternehmens- bzw. Managementberatung und klassische Rechtsberatung. Das Ganze steht unter der Dachorganisation Ernst & Young Global Limited (EY Global). Diese besch\u00e4ftigte laut Wikipedia<\/a> im Gesch\u00e4ftsjahr 2020\/21 312.250 Mitarbeiter an \u00fcber 700 Standorten in \u00fcber 150 L\u00e4ndern. Der Gesamtumsatz des weltweiten Netzwerks belief sich im Gesch\u00e4ftsjahr 2020\/21 auf 40 Mrd. US-Dollar. Ernst & Young ist eine der vier umsatzst\u00e4rksten Wirtschaftspr\u00fcfungsgesellschaften der Welt und z\u00e4hlt zu den sogenannten Big Four.<\/p>\n
Datenleck bei EY<\/h2>\n
![\"Datenleck](\"https:\/\/i.postimg.cc\/X7qF444L\/image.png\")
<\/a><\/p>\nSQL-Datenbank-Backup im Internet<\/h3>\n
Problem, den Sicherheitsvorfall zu melden<\/h3>\n
CSIRT-Team handelt professionell<\/h3>\n