Lieber Chef, ich hab deine Daten gelöscht

27. März 2012, 16:03
    image

    Und das kam so... Reale "Datenunfälle" in virtualisierten Umgebungen.

    Und das kam so... Reale "Datenunfälle" in virtualisierten Umgebungen.
    Uups! Heieiei! Sorry, sorry, sorry! Bitte schmeisst mich nicht raus, denkt an meine sieben Kinder! – So oder ähnlich tönt es wohl meistens, wenn Daten in virtualisierten Umgebungen verloren gehen. Laut Zahlen des Datenrettungsunternehmens Kroll Ontrack waren 2011 in virtuellen Umgebungen in knapp zwei Dritteln der Fälle menschliche Fehler das Problem, nur ein Drittel hatte rein technische Ursachen. In traditionellen Systemen sind dagegen 74 Prozent der Datenverluste auf technische Probleme zurückzuführen.
    Das mit dem Rausschmeissen ist übrigens durchaus ernst gemeint: Wie der Datenrettungsexperte Holger Engelland von Kroll Ontrack heute an einer Presseveranstaltung in Zürich sagte, sind öfter mal die Verantwortlichen schon gefeuert worden, bevor er und seine Leute von Unternehmen zu Hilfe gerufen wurden. Das erschwert den Datenwiederherstellern die Arbeit, da es noch schwieriger wird, zu rekonstruieren, was genau passiert ist.
    Crash bei Migration
    Engelland und Giusi Liistro, die Chefin von Kroll Ontrack in der Schweiz, schilderten an der Veranstaltung einige Fälle von Datenverlusten in virtualisierten Umgebungen. Zum Thema menschliche Fehler gehört es beispielsweise, wenn virtuelle Maschinen "ohne Netz", beziehungsweise unter ungenügenden Vorsichtsmassnahmen migriert werden. So wollte ein Systemhaus für ein Liechtensteiner Treuhandunternehmen ein VMware VMFS (Virtual Machine File System) von einem alten auf einen neuen ESX-Server von VMware migrieren. Auf dem Volume liefen vier Server, darunter einer, der für das gesamte Rechnungswesen einiger Kunden des Treuhänders aus dem Finanzsektor zuständig war.
    Die Migration, sie ahnen es schon, ging schief: Der neue ESX-Server konnte die alten Volumes nicht starten. Ein Zurückspielen auf den alten Server war anscheinend auch nicht mehr möglich. Und das Backup? Die Tapes enthielten zum Zeitpunkt des Crashs dummerweise nur drei der vier virtuellen Server, genau der wichtigste Server mit den Bankkundendaten fehlte. Die Mitarbeiter des Systemhauses versuchten ohne Erfolg, die Situation mit im ESX-Server vorhandenen Tools zu retten. Auch eine Umformatierung des alten Volumes brachte nichts. VMware selbst konnte ebenfalls nicht helfen und riet dazu, die Leute von Kroll Ontrack zu rufen. Diese bauten schliesslich die betroffenen Festplatten aus der SAN-Umgebung aus und konnten zuerst die RAID-5-Konfiguration und danach die VMFS-Strukturen wieder herstellen. So konnten schliesslich doch noch alle vier Server gerettet werden.
    Wartungsarbeiten und ein "gespiegelter" Crash
    Bei der Luxemburger Filiale einer internationalen Bank wurde bei normalen Wartungsarbeiten ein VMFS-Volume beschädigt, das unter anderem die Transaktionsdatenbank enthielt. Bei den Arbeiten hatte man vergessen, die Verbindung zur Disaster-Recovery-Site zu unterbrechen, wo die Daten gespiegelt wurden. Diese wurden damit auch beschädigt. Und das Backup für die wichtigste virtuelle Maschine war zwei Monate alt.
    Die Kroll-Ingenieure mussten hier zuerst einige überschriebene Sektoren wiederherstellen, bevor sie das Dateisystem zumindest mounten konnten. Dieses war schwer beschädigt und wies diverse Überschreibungen auf, die nur in zeitaufwändiger Kleinstarbeit wieder korrigiert werden konnten. Nach einem Wochenende Arbeit gelang es aber, neue, intakte Datenbanken zu generieren und die virtuellen Maschinen wieder zu starten, darunter vor allem auch die Oracle-Kunden- und Transaktionsdatenbanken.
    Datenrettung möglich, aber aufwändig
    Wenn eine virtuelle Maschine einfach aus Versehen gelöscht wird – der häufigste Grund für Datenverluste – kann sie im Prinzip relativ einfach wiederhergestellt werden. Zumindest, wenn die Daten noch nicht überschrieben wurden oder weitere Missgeschicke passiert sind. Beim Löschen werden zurest nur gewisse Metadaten gelöscht, die rekonstruiert werden können.
    Eine vollständige Rettung ist aber nicht immer möglich. Zudem ist die Datenwiederherstellung, auch wenn keine Hardware beschädigt wurde, oft mit viel Handarbeit verbunden und damit teuer. Bei der Wiederherstellung von Backups müssen laut Engelland beispielsweise machmal hunderte bis tausende von "Snapshots", die inkrementelle Änderungen enthalten, manuell identifiziert und den richtigen Ursprungsfiles zugeordnet werden.
    Der Kunde muss daher Kosten und Nutzen abwägen, wie Engelland ausführte, und oft werden nur die wichtigsten Daten wiederhergestellt.
    Weitere Crashes
    Hier noch einige weitere Unfälle in virtuellen Umgebungen im vergangenen Jahr. Bei einem Kroll-Kunden hatte beispielsweise eine Urlaubsvertretung auf einen System "freien" Platz entdeckt und diesen formatiert. Dadurch wurden 32 Harddisks mit einigen Terabyte Daten und 50 virtuellen Maschinen teilweise überschrieben. Anderswo wurden zwei virtuelle Maschinen gleich benannt. So lange sie auf unterschiedlichen logischen Spechereinheiten (LUNs) liefen, war das auch kein Problem. Als ein LUN voll war, wurde eine Maschine aber auf den LUN der anderem kopiert, und überschrieb diese teilweise.
    Ein Kroll-Kunde beschädigte seine VMFS-Strukturen, als er mit dem RAID-System der dazugehörigen Harddisks "spielte". Bei einem weiteren Kunden führte das "Volllaufen" einer virtuellen Maschine auf einem Speichersystem mit "Thin Provisioning" – bei dem mehr Speicherplatz zugeteilt werden kann, als tatsächlich physisch vorhanden ist – dazu, dass andere VMs gelöscht wurden.
    Ein ungewöhnlicher Fall ereignete sich zudem kürzlich in einem Seniorenheim in Italien. Hier führte nicht menschliches Versagen, sondern menschlicher Erfolg – der von Hackern – zum Datenverlust. Den Hackern gelang es auf bisher noch unbekannten Weise, so tief ins System einzudringen, dass sie ESX-Server mit mehr als 50 virtuellen Maschinen neu formatieren konnten. Zudem gab es eine weitere Komplikation: Die Polizei, die befürchtete, dass Spuren verwischt werden könnten, verweigerte den Datenrettern rund drei Monate lang den Zugriff auf die Server.
    Vorsichtsmassnahmen
    Kroll Ontrack hat auch Ratschläge im Falle von Datenverlusten in virtuellen Systemen auf Lager. So sollte man eine Sicherungskopie immer zuerst auf einem anderen Laufwerk, nicht dem ursprünglich betroffenen Laufwerk, wiederherstellen. Das gilt auch für RAID-Laufwerke. So kann man zuerst testen, ob die Kopie funktioniert, bevor man FSCK- oder CHKDSK-Reparaturprogramme auf eine virtuelle Festplatte anwendet.
    Auf einem Laufwerk, auf dem etwas wiederhergestellt werden soll, sollte man keine neuen Daten erstellen und alle virtuelle Maschinen stoppen, bis alles abgeschlossen ist.
    Eine Datenrettungssoftware sollte nur verwendet werden, wenn man sicher ist, dass sie keine der zu rettenden Daten ändert. Wenn sich auf physischen Festplatten, auf der eine korrupte virtuelle Festplatte läuft, auch andere virtuelle Festplatten oder Maschinen befinden, die man nicht schliessen kann, sollte man diese zuerst auf eine andere physische Festplatte kopieren oder migrieren. (Hans Jörg Maron)

    Loading

    Mehr zum Thema

    image

    IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

    Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

    image

    Weltweite M365-Störung – alle wichtigen Dienste stundenlang offline

    Betroffen waren unter anderem Azure, Teams, Exchange, Outlook und Sharepoint. Weltweit waren die Dienste für einen halben Tag offline.

    publiziert am 25.1.2023 4
    image

    "Zoogler" sorgen sich um ihre Jobs

    Wie viele Schweizer Arbeitsplätze vom weltweiten Stellenabbau bei Google betroffen sind, ist noch nicht klar.

    publiziert am 25.1.2023
    image

    Datenleck bei der Fremdsprach-App Duolingo?

    In einem Darkweb-Forum werden die Daten von 2,6 Millionen Accounts zum Verkauf angeboten. Doch das Unternehmen bestreitet eine Sicherheitsverletzung.

    publiziert am 25.1.2023