Kleiner Nachtrag von voriger Woche. Bei Ernst & Young (kurz EY) hat es mutmaßlich einen veritablen Datenschutz- und Sicherheitsvorfall gegeben. Sicherheitsforscher sind im Internet auf eine Backup-Datei für einen SQL-Server gestoßen, die unverschlüsselt und ungeschützt erreichbar war. Die über 4 Terabyte große Datei soll zahlreiche sensitive Details der EY-Wirtschaftsprüfer enthalten.
Wer ist EY?
Das Kürzel EY steht für Ernst & Young -ein global operierendes Netzwerk rechtlich selbständiger und unabhängiger Unternehmen in den Bereichen Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung, Risk Advisory, Financial Advisory sowie Unternehmens- bzw. Managementberatung und klassische Rechtsberatung. Das Ganze steht unter der Dachorganisation Ernst & Young Global Limited (EY Global). Diese beschäftigte laut Wikipedia im Geschäftsjahr 2020/21 312.250 Mitarbeiter an über 700 Standorten in über 150 Ländern. Der Gesamtumsatz des weltweiten Netzwerks belief sich im Geschäftsjahr 2020/21 auf 40 Mrd. US-Dollar. Ernst & Young ist eine der vier umsatzstärksten Wirtschaftsprüfungsgesellschaften der Welt und zählt zu den sogenannten Big Four.
Datenleck bei EY
Am 29. Oktober 2025 machte das niederländische Sicherheitsunternehmen Neo Security ein Datenleck öffentlich. Nachfolgender Tweet verweist auf den Artikel The 4TB time bomb: when EY's cloud went public (and what it taught us) des Unternehmens.
Neo Security führt regelmäßig Scans im Internet durch, um so etwas wie eine "Karte des Internet mit dessen Inhalten" zu erstellen. Dabei stoßen die Sicherheitsforscher immer wieder auf kurzzeitig exponierte Datenbankdateien. Laut deren Aussagen reicht eine für fünf Minuten im Internet offen erreichbar .BAK-Datei, damit Dritte darauf Zugriff erhalten und die Daten abziehen.
The Register, die den Fund in diesem Artikel aufgegriffen haben, schrieben, dass diese Backup-Datei alles enthalte, was Anwendungen da rein schreiben: API-Schlüssel, zwischengespeicherte Authentifizierungstoken, Sitzungstoken, Dienstkontokennwörter und Benutzeranmeldedaten. Also das, was Angreifer eigentlich zum Eindringen in Systeme benötigen – alles frei Haus in einem Datenbank-Backup unverschlüsselt und ungeschützt gespeichert. Sozusagen der Jack-Pot.
SQL-Datenbank-Backup im Internet
Bei einem dieser Scans stieß der leitende Forscher auf etwas, das ihn innehalten und seine Arbeit doppelt überprüfen ließ. Er war auf ein Datenbank-Backup für eine SQL-Datenbank gestoßen, die mehr als 4 Terabyte groß war. Diese war auf Microsoft Azure in der Cloud gehostet und entstammte wohl dem Live-Betrieb. Nach einiger Recherche, auch in den lesbaren Datensätzen dieses Backups stand fest, dass die SQL-Datenbank zu Ernst & Young (EY) gehören muss.
Problem, den Sicherheitsvorfall zu melden
Als das klar war, zählte im Prinzip jede Minute, in der die Datenbank online erreichbar war. Daher versuchte Neo Security schnellstmöglich einen Sicherheitsverantwortlichen bei EY zu finden, um die BAK-Datei offline nehmen zu lassen. Ein Unterfangen, was recht problematisch war.
Es gab keine security@-Mailbox, kein Programm, um Sicherheitslücken zu melden, und es war Wochenende. Der Sicherheitsforscher setzte darauf hin auf LinkedIn einen Aufruf an einige EY-Mitarbeiter ab, mit der Bitte, einen Kontakt mit dem Sicherheitsteam herzustellen. Nach 15 Versuchen fand er jemanden, der ihn verstand und ihn mit dem Computer Security Incident Response Team (CSIRT) von EY verband.
CSIRT-Team handelt professionell
Das EY CSIRT-Team handelte wohl professionell und kümmerte sich sofort um diesen Sachverhalt. Und binnen einer Woche war das Problem beseitigt, lobt Neo Security in seinem Artikel. Gleichzeitig erwähnt Neo Security etwas, was mir arg bekannt vorkommt. Diese professionelle Reaktion sei selten. Die Sicherheitsforscher stießen beim Melden von Sicherheitslücken schon auf Unternehmen, die mit Klagen drohten, weil ihnen mitgeteilt wurde, dass deren Datenbank öffentlich zugänglich sei. Es gab Unternehmen, die die Meldungen der Sicherheitsforscher monatelang ignoriert haben. Es gab Unternehmen, die behauptet haben: "Das ist kein Fehler, das ist ein Feature." Der Vorgang zeigt erneut die Risiken der Cloud bzw. des öffentlichen Internets auf.
MVP: 2013 – 2016
"zählte im Prinzip jede Minute"
"binnen einer Woche war das Problem beseitigt"
okeeee…
ging mir beim lesen auch so
Wollte ich auch gerade sagen….kann jemand das in Konrad-Zuse-Gedenksekunden, Saarländer oder Fußballfelder umrechnen?
Andererseits: "Die Sicherheitsforscher stießen beim Melden von Sicherheitslücken schon auf Unternehmen, die mit Klagen drohten, weil ihnen mitgeteilt wurde, dass deren Datenbank öffentlich zugänglich sei. Es gab Unternehmen, die die Meldungen der Sicherheitsforscher monatelang ignoriert haben."
…Vielleich sollte man Unternehmen, die so ein "Benehmen" an den Tag legen auf einer Art Blacklist führen. Wenn bei so einem Unternehmen etwas auftaucht, scheiß auf "responsible disclosure" und gleich mal das Darknet informieren. Da können sich die Verantwortlichen dann selbst über Ihre Fehltritte informieren.
Ist zwar ein Widerspruch – die Leute haben erklärt, warum es auf Minuten ankommen kann. Aber die Bandbreite reicht von "wir haben nie wieder was von gehört", bis "die drohen mit Klage". Da ist die 1 Woche gut.
Ich erinnere mich an einen Fall, wo ich ein Sicherheitsproblem, was von einem Leser an mich herangetragen wurde, bei VW gemeldet habe. Ich wusste nicht, wer bei VW zuständig ist und habe es zentral am späten Nachmittag gemeldet. Am nächsten Morgen hatte ich den Head of Cybersecurity für die betreffende Sparte am Telefon, der mir Abhilfe versprach. Die hatten binnen Stunden die Verantwortlichkeiten geklärt. War erinnerungsmäßig nach drei Monaten gepatcht.
EY ist nun wirklich kein "Verein" mit dem man auch nur den Hauch von Mitleid haben müsste … die hätten mal lieber, zb. im Fall WireCard "professionell" ihren Job erledigen sollen ! Kann man vielleicht noch hoffen, das die Backup-Daten ihren Weg in die richtigen Hände bei Investigativ-Journalisten finden, da findet sich bestimmt so einiges an Interessantem, das bislang nicht öffentlich wurde.
4 Terrorbyte ist ne verdammt große Datenbank.
Anstatt Probleme zu lösen werden die Leute verklagt, die darauf hinweisen.
Sind wir alle mittlerweile so in uns selbst verliebt, dass wir nicht mehr fähig sind Informationen und konstruktive Kritik aushalten zu können?
Dinge sind komplex und da hilft es nicht, Leute die darüber diskutieren zu attackieren.
Dir ist der Fall Modern Solutions, ausgiebig hier im Blog thematisiert, geläufig? Der Melder der Sicherheitslücke durfte 3.000 Euro Strafe, sowie die Gerichtskosten tragen und ist vorbestraft.
Seit der Entscheidung bewundere ich Sicherheitsforscher noch mehr, die ihre Funde wirklich noch den zuständigen Stellen melden und nicht direkt gewinnbringend im Darknet verhökern.
Aber scheint ja auch vom Gesetzgeber so gewollt, ist ja nicht so dass im Vorfeld vom CCC und Co genau davor gewarnt wurde. Anderswo gibt es Bug Bounty Programme, bei uns die Vorstrafe.
E&Y verwaltet die Gesundheitsdaten der AOK als Dienstleister. Diesen Vertrag haben sie 2 Tage vor ihrer Verurteilung im Zusammenhang des Strafprozesses gegen Wireguard abgeschlossen. Man sollte bemerken, dass das betreffende Datum an einem Samstag war.
Das ist einer der Gründe, warum ich keine digitale Patientenakte bei der AOK haben will, da ich diesen Laden gar nicht traue.
Hätte wenigstens ein Gutes, wenn in den Daten zumindest noch selbst-belastendes Material rund um den Wirecard-Skandal zum Vorschein käme.