Die Rente ist sicher? Nicht, wenn sie in der öffentlichen Cloud liegt. Das beweist diesmal Google: Der Konzern hatte das Cloudkonto von „UniSuper“ gelöscht und damit ein 135 Milliarden Dollar schweres Rentenkonto vernichtet. Nur um ein Haar konnte der GAU verhindert werden. Wie kann das passieren, wo die Cloud doch angeblich viel sicherer und sowieso alles besser sein soll, als von den stümperhaften 0815 Admins?
Cloud: Ein sicheres Milliardengeschäft für die Konzerne
Nach Amazon und Microsoft gehört Google zu den weltweit größten Cloudanbietern. Sie vermieten also Computerressourcen (Rechenleistung, Speicher usw) möglichst flexibel. Die Branche setzt gigantische Mengen um, alleine 2022 waren es fast 500 Milliarden US-Dollar.1 Tendenz stark steigend, nachdem verschiedene Unternehmen ihre Kunden zunehmend in Richtung Cloud leiten, manche sogar mehr oder weniger stark drängen.
Eines der Hauptargumente ist nahezu immer die Sicherheit: Microsoft wirbt gar mit 3.500 Fachleuten, die sich angeblich nur um „Cybersicherheit“ kümmern.2 Leider ist ihnen entgangen, dass die hauseigenen Entwickler etliche schwere Sicherheitsmängel in die Azure-Clouddienste eingebaut haben: Beispielsweise BingBang oder der komplette MS365 Hack. Diesen hatte der Konzern sogar versucht, herunter zu spielen. Das musste er später zähneknirschend eingestehen und erntete massive Kritik für sowohl die schweren Mängel, als auch den fragwürdigen Umgang damit.
Bei der Google Cloud muss man nicht lange suchen, bis im ersten Absatz die „Sicherheitsfunktionen“ hervorgehoben werden. Damit sollen „Bedrohungen proaktiv gestoppt werden“.3 Alleine das Wort Sicherheit kommt auf der Seite zur Vorteile der Google Cloud satte 13 Mal vor. Während dieses Unternehmen bislang weitaus weniger oft mit schweren (Sicherheits-) Mängeln aufgefallen ist, scheint Google langsam zu Microsoft aufholen zu wollen.
Die Daten in fremden Händen – Was soll da schon schief gehen?
Mit diesen blumigen Werbeversprechen hat sich UniSuper, ein australischer Pensionsfonds (UniSuper) überzeugen lassen, auf Googles Clouddienste zu setzen. UniSuper existiert seit 2000 durch eine Fusion. Und dieser Fonds ist keineswegs klein: Für 620.000 Mitglieder wurde eine Plattform geschaffen, um den Mitgliedern digitalen Zugang zu den Informationen ihrer Altersvorsorge zu bieten. Ähnliches bieten z.B. Banken bei Bausparverträgen: Man meldet sich bei einem Portal der Bank an und sieht, wie viel Geld bereits eingezahlt wurde, kann Abrechnungsdaten aus der Vergangenheit einsehen, usw.4
Doch statt wolkiger Träume wurde die Cloud für UniSuper zum Albtraum: Plötzlich konnten Mitglieder nicht mehr auf ihre Konten zugreifen, niemand wusste wieso. Wie sich herausstellte, hat Google kurzerhand deren Cloud-Abonnement gelöscht – und damit anscheinend sämtliche UniSuper Systeme. Sie sprechen in ihrer Erklärung von „hunderten virtueller Maschinen, Datenbanken und Anwendungen“.5
Eine Private Cloud ist nicht für Private Kunden
Im übrigen wurde dafür keine für Privatkunden vorgesehene Google Cloud Instanz verwendet, wie es von manchen Berichten (möglicherweise ungewollt) suggeriert wird. Mit öffentlichen und privaten Clouds ist der Nutzerkreis gemeint: Eine öffentliche Cloud kann von jedem genutzt werden, beispielsweise Dropbox, Google Drive usw. Eure Daten liegen auf den Servern zusammen mit allen anderen, die sich z.B. bei Google Drive ein Konto angelegt haben. Private Clouds sind dagegen eigene, isolierte Instanzen, auf denen nur der jeweilige Kunde arbeitet. Anders ausgedrückt: Wenn ihr euch in der Google Cloud eine VM anlegt, landet ihr nicht auf den gleichen Servern, wie z.B. UniSuper. In diesem Grundlagenbeitrag zu Cloud Computing habe ich u.a. auch die Nutzerkreise (es gibt noch weitere) erklärt.
Private Clouds sind in der Regel größere Umgebungen, die zudem noch mal deutlich mehr kosten, als öffentliche. Grob Vergleichbar mit einem Privatkonzert im Vergleich zu öffentlichen: Das Private ist auf euren Wunsch zugeschnitten, ihr bestimmt wer kommen darf und wo. Beim Öffentlichen habt ihr diesen Komfort nicht und feiert mit tausenden anderen. Dafür kostet die Karte zu einem öffentlichen Konzert mit ~50-80€ deutlich weniger, als eine private Veranstaltung.
Über eine Woche Ausfall
Es dauerte mehr als eine Woche, bis die Systeme von UniSuper wieder liefen: Am 02.05.2024 begann der Ausfall und die vollständige Wiederherstellung war erst am 15.05.2024 abgeschlossen.67 In der offiziellen Erklärung wird von einem „Konfigurationsfehler“ bei der Google Cloud gesprochen.8 Die habe zur Löschung des Abonnements geführt, was wiederum die gesamte Umgebung von UniSuper zerstört hatte. Davon war auch die Duplizierung in zwei geografische Regionen betroffen. Die Systeme lagen also nicht nur z.B. auf Servern in Frankfurt, sondern wurden zusätzlich an einem zweiten physischen Standort kopiert. Das soll vor Verlusten durch örtliche Vorfälle schützen: Überspannung, Kurzschluss, Naturkatastrophen usw.
Es geht in Richtung der bei Backups geläufigen 3-2-1 Regel.9 Sie sagt: Lege drei Kopien deiner Daten auf zwei verschiedenen Medien an und lagere eine davon extern. An sich ist das sinnvoll, weil z.B. Sicherungsmedien kaputt gehen können: Abnutzung, Serienfehler, etc. Unabhängig davon gibt es Risiken, bei denen die Sicherung ebenfalls zerstört werden kann – etwa bei einem Wasserrohrbruch im Gebäude. Das kostet natürlich immer extra, sowohl in fremden Clouds, als auch in den eigenen. Dennoch ist es grundsätzlich sinnvoll, weil derartige Szenarien vorkommen können. Bei mehreren Cloudanbietern kam es schon zu Bränden, die Datenverlust zur Folge hatten. 10 Bei OVHcloud beispielsweise wurde ein Rechenzentrum komplett zerstört und zwei weitere beschädigt. Dadurch gingen 3,6 Millionen Webseiten auf über 460.000 Domains unfreiwillig offline.11 Dummerweise hat UniSuper das nichts gebracht, weil Google alle Abos auf dem Konto gelöscht hat – damit auch die replizierten Instanzen, eben so weitere Backups.
UniSuper kann froh sein, sich nicht zu 100% auf den Cloudanbieter verlassen zu haben: Es gab lokale Sicherungen, mit denen die Wiederherstellung eines Großteils der Daten überhaupt erst möglich war. Nur deswegen sind sie mit lediglich gut einer Woche Ausfall noch vergleichsweise glimpflich mit einem blauen Auge davon gekommen. Hätten sie keine eigenen Backups angelegt, wäre der Rentenfond am Ende gewesen – die Schocknachricht für über 600.000 indirekt betroffene. Dennoch ist neben dem langen Ausfall ein Teil der Daten sogar verloren gegangen. Wahrscheinlich waren die lokalen Sicherungen nicht topaktuell und es handelt sich um die Diskrepanz seit der letzten Sicherung.
Wie konnte das nur passieren?
Laut Google soll es sich um eine „beispiellose Abfolge von Ereignissen“ handeln, die zur Löschung des Abonnements mit allen daran hängenden Diensten führte. Es sei ein „einmaliges Ereignis“, welches noch „nie zuvor bei einem Kunde von Google Cloud weltweit aufgetreten“ sei. Das ist eine spannende, steile These wenn man nur ein paar Monate zurück blickt: Google Drive Nutzer haben Ende 2023 aufgrund eines Fehlers bei Google ihre Daten verloren, teils größere Mengen und irreparabel. Sogar zahlende Nutzer beklagen Verluste von über einem Terrabyte.12
Im April 2023 kam es zu einem Wasserschaden in einem Google Rechenzentrum, wahrscheinlich aufgrund eines Brandes.13 Die Aussage ist also mindestens irreführend, wenn der Konzern das auf exakt diesen Vorgang bezieht. Natürlich ist jeder Schaden ein Einzelfall. Für die geschädigten hingegen ist es am Ende egal, ob Wasser, eine kaputte KI oder ein schlampiger Mitarbeiter ihre Daten und Systeme zerstört.
Auch das ist übrigens nicht auf Google beschränkt, sondern gilt für die gesamte Branche. Atlassian hat ebenfalls mal aus Versehen die Daten ihrer Cloud-Kunden genutzt und dabei gemerkt, dass ihr Backup-Prozess kaputt ist. Als Folge kam es zu Wochenlangen Ausfallzeiten. Dabei mussten die Kunden mit Atlassian zusammen in Handarbeit ihre Datenreste zusammen puzzeln.14 Die Liste ließe sich noch weiter fortsetzen.
Aber jetzt wird alles besser! Wirklich!
Man habe die Ursachen identifiziert und behoben, heißt es weiter. Beide Seiten nennen allerdings keinerlei Informationen, was konkret die Ursache gewesen ist. Auch die unternommenen Schritte, um derartige Vorfälle zu verhindern, bleiben im dunklen. Kunden haben keinerlei Informationen, um irgendetwas beurteilen zu können. Sie können nur blind darauf vertrauen, dass der Cloudanbieter spätestens jetzt wirklich alles besser macht, wie versprochen.
Dass dies keine gute Idee ist, beweist Google weniger als eine Woche später selbst: Am 17.05.2024 hat eine Automatisierung „um die 40“ weitere Cloud-Instanzen gelöscht. 33 Google Cloud Dienste waren für mehrere Stunden gestört. Besonders vertrauenerweckend: Der Fehler wurde durch einen Neustart der betroffenen Komponente behoben.15 Da möchte man Transaktionen zu einem Vermögen rund rund 135 Milliarden australischer Dollar (entspricht etwa 83 Milliarden Euro16) ablegen und kann nachts ruhig schlafen!
Fazit: Der normale Cloud-Wahnsinn
135 Milliarden Dollar von weit über 600.000 Kunden waren in der Google Cloud alles andere als sicher aufgehoben. Ein weiterer Fall, der bestätigt: Cloudanbieter sind weder automatisch sicher, noch transparent. Im Gegenteil: Die PR-Abteilung liefert keine Informationen und wirft mit Nebelkerzen um sich, dass nun wirklich alles total sicher sei. Wie glaubhaft das ist, konnte jeder nur wenige Tage später beim nächsten Ausfall sehen.
Wieder zeigt sich, dass Kunden auch in der Cloud nicht davon befreit sind, sich um die Sicherheit ihrer Daten selbst zu kümmern. Selbst wenn der Anbieter verspricht, sich darum zu kümmern: Man verlässt sich zu 100% auf einen großen Konzern. Ein externes Unternehmen, für das man nur eine Nummer unter vielen in der Buchhaltung ist. Eine derartige Abhängigkeit halte ich grundsätzlich für eine schlechte Idee. Geht dort etwas schief (und das tut es), sind eure Daten weg. Der Pressesprecher äußert sein Bedauern, wie furchtbar dieser angeblich super einmalige Fall doch gewesen sei, ganz großes Beileid. Aber euer Projekt ist dann halt trotzdem im Eimer, weil toll klingendes PR-Gesülze deine Daten nicht wiederherstellt.
Anscheinend hat UniSuper den Anspruch schon gar nicht mehr. In den ersten beiden häufig gestellten Fragen wird betont, dass alles sicher sei, weil es keine Cyber-Attacke gegeben habe. Auf dem Niveau sind wir also angekommen: Hauptsache, es war keiner von den alltäglichen Ransomware-Angriffen, alles andere ist halb so wild.
Quellen
- https://t3n.de/news/azure-aws-google-cloud-provider-ranking-1558923/ ↩︎
- https://azure.microsoft.com/de-de/explore/security ↩︎
- https://cloud.google.com/why-google-cloud/?hl=de ↩︎
- https://www.borncity.com/blog/2024/05/13/google-cloud-sorry-wir-haben-das-online-konto-eines-pensionsfonds-gelscht/ ↩︎
- https://www.unisuper.com.au/contact-us/outage-update#outagecause ↩︎
- https://arstechnica.com/gadgets/2024/05/google-cloud-accidentally-nukes-customer-account-causes-two-weeks-of-downtime/ ↩︎
- https://www.theguardian.com/australia-news/article/2024/may/09/unisuper-google-cloud-issue-account-access ↩︎
- https://www.unisuper.com.au/about-us/media-centre/2024/a-joint-statement-from-unisuper-and-google-cloud ↩︎
- https://www.acronis.com/de-de/blog/posts/backup-rule/ ↩︎
- https://www.heise.de/news/Feuer-in-Rechenzentrum-legt-Hoster-und-deren-Kunden-lahm-9667385.html ↩︎
- https://www.datacenter-insider.de/der-feuerwehrbericht-zum-brand-im-strassburger-ovhcloud-rechenzentrum-beklagt-maengel-a-1105122/ ↩︎
- https://www.computerbase.de/2023-11/cloudspeicher-google-untersucht-datenverluste-bei-drive/ ↩︎
- https://www.golem.de/news/paris-google-rechenzentrum-nach-wasserschaden-und-brand-offline-2304-173764.html ↩︎
- https://www.heise.de/news/Atlassian-Ausfall-der-Cloud-Dienste-Jira-Confluence-dauert-noch-zwei-Wochen-6669601.html ↩︎
- https://www.borncity.com/blog/2024/05/20/google-hat-schon-wieder-cloud-instanzen-unbeabsichtigt-ausgeknipst/ ↩︎
- https://www.hardwareluxx.de/index.php/news/allgemein/netzpolitik/63580-mg-cloud-google-loescht-unabsichtlich-daten-eines-rentenfonds.html ↩︎