SAP-Datenleck: Vier Rechenzentrums-SSDs gestohlen; Sicherheitsuntersuchung nach Vorfall

Sicherheit (Pexels, allgemeine Nutzung)Bei SAP in Walldorf scheint es in Punkto Datensicherheit etwas "laxer" zuzugehen. Bei SAP wurden wohl vor einiger Zeit vier SSDs, die aus deren Rechenzentrum stammen, gestohlen. Eine SSD tauchte bei eBay auf und wurde von einem SAP-Mitarbeiter gekauft. Die SSD enthielt persönliche Daten von Angestellten. Eine Untersuchung zeigte, dass Mitarbeiter ohne Kontrolle das Rechenzentrum verlassen und SSDs mitnehmen konnten. Verschlüsselt waren die SSDs auch nicht. Es ist nicht der erste Vorfall.


Anzeige

The Register hat die Geschichte wohl exklusiv von einer Quelle erfahren und berichtet hier über den Vorfall. SAP in Walldorf vermisst seit November 2022 insgesamt vier SSDs aus seinem Rechenzentrum. Es wird angenommen, dass die Datenspeicher schlicht gestohlen wurden.

Vermisste SSD taucht bei eBay auf

Eine dieser SSDs ist dann auf eBay aufgetaucht und ein SAP-Mitarbeiter hat den Speicher gekauft. Bei der Untersuchung des auf dem Medium befindlichen Inhalts wurde festgestellt, dass dieser Speicher zu den vier vermissten SSDs gehört. Der Speicher enthielt persönliche Dateien von 100 oder mehr SAP-Mitarbeitern (wobei das irgenwie unklar bleibt, waren es Dateien von Mitarbeitern, oder enthielten die persönlichen Daten von Mitarbeitern – letzteres wird von SAP bestritten).

Es ist schon erstaunlich, dass SAP die Datenträger, auf denen potentiell persönliche Dateien oder andere sensitive Informationen gespeichert werden, nicht verschlüsseln lässt. Dann wäre ein Diebstahl kein Problem in Bezug auf Datenschutz und Sicherheit gegen Datenabfluss mehr.

Untersuchung legt Mängel auf

Eine interne Untersuchung des Vorfalls ergab, dass die SSDs wohl gestohlen worden sind. Es ist aber auch die Rede davon, dass menschliches Versagen und Prozessfehler zum beitrugen. So wurde nun bekannt, dass Mitarbeiter, die im Rechenzentrum von SAP arbeiten, nicht beim Verlassen kontrolliert wurden. Das SAP-Rechenzentrum ist ein gesicherter Ort – aber die SSDs wurden in ein ungesichertes Gebäude des Hauptquartier gebracht. Dort müssen die SSDs dann gestohlen worden sein.

Der Verbleib der drei weiteren vermissten SSDs ist derzeit nicht bekannt. The Register schreibt, dass es sich um den fünften Vorfall innerhalb von zwei Jahren handelte, bei dem Datenträger (Festplatten) aus den europäischen Rechenzentren von SAP verschwinden. Ob man SAP mal das Grundschutzkompendium des BSI schicken soll?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu SAP-Datenleck: Vier Rechenzentrums-SSDs gestohlen; Sicherheitsuntersuchung nach Vorfall

  1. Pau1 sagt:

    Die haben beim Rechenzentrums-Ausgang bestimmt einen großen Entmagnetisierer, der die Daten auf den evtl. mitgeführten Festplatten unlesbar gemacht hat. Hat früher doch immer prima funktioniert, auch mit Qic Bändern…

    Und der der die Platten aus dem Rechenzentrum gebracht hatte, hat das wohl aus gutem Grund getan, aber nicht um die Platten stehlen zu lassen.
    Zumal das ja nun nicht soo viel bringt.

    Sry. Es ist nicht zu verstehen, warum die Verschlüsselung auf den Laufwerken nicht aktiviert wurde. Es hat inzwischen keinen Performance-Nachteil mehr, nur das Handling benötigt minmal mehr Aufwand und Sorgfalt…
    Bei tausenden von Platten läppert sich das natürlich..
    Die alte Schere Kosten vs. Sicherheit.

    Wie groß waren die Platten eigentlich so in etwa?

  2. Pau1 sagt:

    Hat man denn schon Mal versucht die Platten offiziell zurück zu kaufen?
    Vielleicht war das Angebot der einen Platte bei eBay keine Dummheit, sondern eine Aufforderung zur Abgabe eines Angebotes?
    In Internet-Kleinanzeigen östlicher Staaten fanden sich die regelmäßig Angebote in denen Katzenhalter ihre Lieblinge freikaufen wollen( Ich weis nicht ob das etwas hilft oder nur eine Verzweiflungstat ist oder gar Kontra produktiv.)

  3. Christian sagt:

    Ehrlich gesagt frage ich mich was für "Rechenzentrum-SSDs" das gewesen sein sollen.
    Im Normalfall werden in dort größere SANs oder NAS eingesetzt die aufgrund des Verfügbarkeitsbedarf mit bestimmten RAID-Systemen laufen.
    Das scheint ja hier nicht der Fall gewesen zu sein. Eine einzelne SSD aus einem RAID-Verbund wäre schon aufgrund der "Datenverschiebung" unlesbar – mal davon abgesehen, dass diese großen System oft eigene Dateisysteme einsetzen.

    • Chris sagt:

      SSDs werden oft nur im Raid 1 genutzt, da ein Raid 5/6 die Platten über Gebühr belastet. Eine entwendete Raid 1 Platte enthält logischerweise 1:1 die Daten der anderen Platte.

      Ich kann mir aber nicht vorstellen, das jemand eine SSD aus dem Verbund genommen hat, das müsste im laufenden Betrieb auffallen.

      Viel eher klingt es danach das entweder Server außer Betrieb genommen wurden, und die SSDs aus diesem Gerät entnommen wurden, oder es sich regulär ausgetauschte SSDs handelt die dann bis zur Löschung außerhalb des RZ gelagert wurden.

      • enrgy sagt:

        je nachdem, welche Kapazität die Dinger haben und wie schnell sie laut Datenblatt sind, kann ich mir schon vorstellen, daß man die nicht wegen der Daten, sondern zur "Versilberung" im Web oder gleich zum Einbau ins eigene NAS eingesteckt hat.

        Interessant ist halt der Aspekt, daß sie im Web angeboten und von einem SAP Mitarbeiter gefunden wurden. Das würde ich dann in die Ecke "Erpressung" schieben wollen.

        • R.S. sagt:

          Warum erstattet SAP dann nicht gegen den Ebay-Verkäufer der gestohlenen SSD Anzeige wegen Hehlerei?

          Bei den dann folgenden Ermittlungen wird man schon feststellen können, wer die SSD gestohlen hat.

          • Günter Born sagt:

            Da werden wir hier keine Antwort liefern können – die Frage ist als rhetorischer Art. Ich gehe davon aus, dass SAP da Anzeige erstattet und den Fall ggf. auch der Datenschutzaufsicht gemeldet hat.

      • Joerg sagt:

        Nein, bei RZ Betrieb ist es unwahrscheinlich das ein bereitgestelltes LUN oder Share auf einer(!) Festplatte erfolgte die im Raid 1 lief, dass sind alles SAN SSD und die werden je nach Anforderung (read intens / mixed / write intes) eingesetzt und sind für eine Dauernutzung von mindestens 5 Jahre ausgelegt, da spielt das Triming fast keine Rolle mehr.

        Write Intense SSDs mit bspw. 1TB Kapazität sind "real" mindestens doppelt so groß. Wir setzen bei uns seit Jahren auf SSDs auch im SQL Serverbereich und alles läuft in unterschiedlichsten Raid-Leveln (10, 5, 6), uns ist noch keine SSD aufgrund von nicht mehr vorhandener Kapazität ausgefallen.

        Ich bezweifle auch, dass die aus einem RZ kommen, evtl. wurden die da gelagert, aber ich bezweifle aus den o.g. Gründen, dass diese aus einem Server kommen. Auch weil im Serverbereich kein SATA sondern SAS verwendet wird, was bei den meisten schon ein Problem sein wird, auch funktionieren Server SSD oft in Clients nicht weil die Hersteller da spezielle Firmware einsetzen und man auch die passenden Controller benötigt.

        Wir wipen alle HDDs bevor diese durch den Dienstleister abgeholt und geschreddert werden. Alle HDDs werden mit Seriennummer und Ursprungsgerät festgehalten, wenn davon was auftauchen sollte sind die Daten zwar "weg" aber der Dienstleister hat dann ein Problem und ist direkt alle Zertifizierungen los und geht von sich aus Pleite – wenn die Anzeige das nicht schon erledigt.

    • Fritz sagt:

      In Rechenzentren werden natürlich speziell qualifizierte SSDs eingesetzt, die auch mit entsprechenden Controllern überwacht werden.

      Dabei wird auch die Abnutzung (Wear Gauge) mit überwacht und eine SSD auch schon mal proaktiv ersetzt.

      Je nach Vertrag mit dem Hersteller sind dann Ersatz-SSDs kostenlos, ebenfalls kann im Vertrag (Preis) gewählt werden, ob man die getauschten SSDs zurückschicken muß oder eigenverantwortlich vernichtet (Defective Media Retention).

      bei uns landen die (zusammen mit abgenutzten Bändern etc.) in einem speziellen Safe und werden (wenn der Datenvernichter mal wieder da ist) physisch geschreddert.

  4. Pete sagt:

    Also "oft in RAID 1" entspricht sicherlich nicht den Tatsachen bei Enterprise NAS/SAN/DAS.
    Da ist es wie der Vorposter schon geschrieben hat eher RAID DP, RAID 6 oder RAID Mit Erasure Coding. Oder ein JBOD mit Erasure Coding und vielen Platten im Raid (12-30). Bei gestripten Daten auf der Platte ist daher eher nix mit Datenextraktion bei einer vorhandenen Platte.
    Raid 1 ist sinnvoll bei Servern als Systemplatte. Eventuell noch ein RAID 10 für ne lokale DB oder eine ähnlich fordernde Applikation.
    Vermutlich wurde ein System ausgemustert und jmd. wollte ein paar Euro rausholen.
    Eine Serverplatte von einem Testsystem halte ich noch für am wahrscheinlichsten, aber lesbare Daten da zu extrahieren eher nicht. Da frag ich mich halt was das für Daten seien sollen. Aus einem ERP System eher nicht, Excel oder etwas anderes einfach lesbares wohl eher.
    Lustiges Raten ohne genügend Daten ;D

  5. Frank Carius sagt:

    Auch in Datacentern gibt es "normale PCs" und "Büroarbeitsplätze. Und die werden auch alle paar Jahre "durchgetauscht". Ich vermute, dass es einfach eine Desktop SSD eines alten DesktopPCs war, mit einigen Excel, Word, Access, CSV-Dateien.
    Insofern muss sich SAP vermutlich nur fragen lassen, warum sie kein Bitlocker generell aktiv haben.
    Für alle Leser "Aus Fehlern anderer Lernen:" Habt ihr sicher auf allen Computern Bitlocker aktiv?. Wer ohne …. werfe den ersten Stein.

    • Joerg sagt:

      Jap, es gibt keine unverschlüsselten Endgeräte, das gilt auch für alle Terminals die hier überall an den Wänden hängen (Info, Zeiterfassungen usw.).

      Was viel vergessen: gemietete Drucker, die Geräte haben auch Festplatten und oft liegen die Dokumente dort unverschlüsselt drauf, da sollte man auch drauf achten wenn solche Geräte getauscht werden ;-).

  6. Norddeutsch sagt:

    schlimmer geht immer – sellbes Prinzip: CCC und Biometriedaten auf Ebay, allerdings gleich "mit Gerät" … Da ist viel mehr Kritikalität: Militär, organisatoriches Versagen, Datenabfluss von Biometriedaten der Bevölkerung.
    Ich werde ob der Titel mit "Sicherheits-News" von Günter langsam verzweifelt und müde – eigentlich müsste fast jeder zweite Post "Risiko und Schadens"-News heissen.

  7. topas sagt:

    Naive Frage: Sollte das RAID-Monitoring nicht meckern, wenn eine SSD fehlt (unabhängig der hier diskutierten RAID-Level)?
    Hatte es im KMU-Umfeld nie aktiv probiert, aber schon allein wenn eine SSD Probleme kriegt meckert die Anwendung rum (IKEA-Smaland-Style: "die kleine SSD möchte auf Bay 4 abgeholt werden"). Ein mutwilliger Ausbau dürfte doch erst Recht Alarm geben und zudem auf die Sekunde genau den Diebstahl zeitlich einschränkbar machen, oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.