icon

Wie kann man Daten von virtuellen Maschinen wieder herstellen?

Das weltweite Expertenteam von Ontrack verfügt über jahrelange Erfahrung, eine Vielzahl von proprietären Tools und Spezialwissen, das durch die enge Zusammenarbeit mit Anbietern von Software für virtuelle Maschinen und Hardware-OEMs gewonnen wurde, die u.a. auch die Ontrack Services empfehlen. Lesen Sie hier mehr zur Datenrettung von VMWare. 

Ontrack hilft weltweitem Pharmaunternehmen bei der Wiederherstellung von 400 virtuellen Festplatten nach Cyberangriff durch verärgerten Mitarbeiter.

Feb 14, 2020

Der Kunde

Ein führendes Pharmaunternehmen verlor nach einem böswilligen Cyberangriff durch einen ehemaligen Mitarbeiter den Zugriff auf alle seine Daten.

Die Situation

Der Kunde war gerade dabei, ein anderes Unternehmen zu übernehmen, das die meisten seiner Systeme virtualisiert hatte. Als die Nutzer des Unternehmens am Freitag das Büro verließen, waren alle Systeme betriebsbereit, und als sie am Montagmorgen wiederkamen, konnten die Nutzer nicht auf die virtuellen Maschinen zugreifen.


Der Kunde wandte sich an die Support-Teams von HP und VMware und stellte nach einer ersten Untersuchung fest, dass die virtuellen Maschinen und ihre Snapshots von den Quellvolumes gelöscht worden waren. Die Volumes, die die Backups enthielten, waren initialisiert worden, wodurch die Backup-Dateien überschrieben wurden.


Der Kunde wurde daraufhin zur Datenwiederherstellung an Ontrack verwiesen.

Die Lösung

Das Unternehmen vermutete ein falsches Spiel, so dass das Kroll-Sicherheitsteam zum Standort des Kunden geschickt wurde, um während der Datenwiederherstellung eine Untersuchung einzuleiten. Das Sicherheitsteam sperrte das Rechenzentrum ab, installierte Überwachungssysteme und begann dann mit einer umfassenden Untersuchung des mutmaßlichen Einbruchs. Kroll Background Screening wurde ebenfalls hinzugezogen, um eine Hintergrundüberprüfung der verdächtigen Personen durchzuführen.


Das Team stellte bald fest, dass sich eine Person von außerhalb des Unternehmens in ein System eingeloggt und dann eine Verbindung zu einer Reihe von Systemen hergestellt hatte. Sobald die Person den VMware-Server erreicht hatte, löschte sie absichtlich und böswillig die virtuellen Festplatten und Backups. Die Person konnte auf 27 der 28 logischen Einheitsnummern (LUNs) zugreifen.


Der Kunde hatte ein erstes Beratungsgespräch mit Ontrack und bekam eine Lösung zur Remote-Datenwiederherstellung angeboten. Es wurden mehrere Rechner angeschlossen, und nach der Verbindung wurden Ontrack-Teams beauftragt, eine Bewertung der bereitgestellten LUNs vorzunehmen. Die Ontrack-Techniker bestätigten, dass die Daten auf dem Volume gelöscht worden waren. Anschließend identifizierten sie alle wiederherstellbaren Daten auf jeder LUN und stellten dem Kunden Berichte mit detaillierten Angaben zu den Daten zur Verfügung.


Die Bewertung war eine große Herausforderung, da der Kunde nur über eine begrenzte Dokumentation, unbekannte Namen von virtuellen Maschinen, unbekannte Inhalte auf den virtuellen Festplatten und unbekannte Betriebssysteme verfügte. Außerdem gab es keinen Notfallplan für dieses System, so dass sich die Prioritäten während der Evaluierung änderten.


Nachdem Ontrack das Ausmaß des Problems erkannt hatte, das dazu führte, dass das Unternehmen lebenswichtige Rezepte und andere medizinische Güter nicht ausliefern konnte, stellte das Unternehmen ein virtuelles Team zusammen, das sich aus Ressourcen von acht Datenwiederherstellungszentren auf der ganzen Welt zusammensetzte. Nach der Überprüfung der bereitgestellten Berichte und der Zustimmung des Kunden extrahierten die Ontrack-Teams die gelöschten Daten und extrahierten bei Bedarf den Inhalt der beschädigten virtuellen Festplatten auf einen neuen, vom Kunden bereitgestellten Speicher.

Das Ergebnis

Der leitende Systemadministrator des kleineren Unternehmens verließ seinen Arbeitsplatz, bevor die Fusionsgespräche geführt wurden, und nahm alle Systeminformationen mit. Das Unternehmen war gezwungen, ihn als Auftragnehmer wieder einzustellen, um einen Wissensaustausch mit den verbleibenden Mitarbeitern durchzuführen.


Während seiner Zeit als Vertragsangestellter richtete der leitende Administrator ohne Wissen der anderen Mitarbeiter ein abtrünniges vCenter im Netzwerk des Unternehmens ein. Danach beendete er seinen Vertrag und verließ das Unternehmen ohne Zwischenfälle. Kurz nachdem er das Unternehmen zum zweiten Mal verlassen hatte, kam es zu einer Fusion mit einem größeren Pharmaunternehmen. Im Zuge dieser Fusion wurden einige Mitarbeiter entlassen, darunter auch der Freund des leitenden Verwalters.


Während der Sicherheitsuntersuchung von Kroll fanden die Ermittler in einem der Routerprotokolle einen nicht autorisierten Eintrag von außerhalb des Netzwerks. Der Eintrag führte sie zu dem betrügerischen vCenter, und nach Rücksprache mit dem VMware-Support stellten sie fest, dass es sich um das System handelte, das zum Löschen aller virtuellen Festplatten und ihrer Snapshots verwendet wurde.


Das Kroll-Team kontaktierte daraufhin das FBI und konnte in Zusammenarbeit mit dessen Team feststellen, dass die externe IP-Adresse zu AT&T gehörte. Das FBI setzte sich mit AT&T in Verbindung und erfuhr, dass die IP-Adresse auf ein McDonalds-Unternehmen registriert war. Das FBI schickte Außendienstmitarbeiter zu McDonalds und fand Beweise dafür, dass einer der Verdächtigen am Tag des Vorfalls dort gewesen war. Als die Agenten die Beweise hatten, konfrontierten sie den Verdächtigen und er gestand die Tat.


Aus schriftlichen Berichten und Gerichtsakten erfuhr das Team, dass der leitende Verwalter beschloss, sich für die Entlassung seines Freundes zu rächen und dem kleineren Unternehmen eine Lektion zu erteilen. An einem Sonntagmorgen setzte er sich in sein Auto, fuhr zu dem fraglichen McDonalds, kaufte mit seiner Kreditkarte ein Frühstück und loggte sich dann in das öffentliche WLAN ein. Von dort aus stellte er eine Verbindung zu dem bösartigen vCenter her und löschte alle virtuellen Maschinen sowie die Backups.


icon

 Blogartikel zu Datenrettung bei virtuellen Maschinen

Donnerstag, 23. April 2020 von Tilly Holland

Die virtuelle Umgebung ist mittlerweile ein großer Teil der Mainstream-Technologie geworden. Aber wie schützen Sie Ihre virtuellen Umgebungen und Maschinen vor Datenverlusten?

Weiterlesen


Donnerstag, 30. April 2020 von Tilly Holland

Virtuelle Umgebungen haben ihre Vorteile, aber Datenverlust ist immer noch ein potenzielles Risiko. Lesen Sie, wie Daten aus einer virtualisierten Umgebung wiederhergestellt werden können.

Weiterlesen


Dienstag, 22. August 2017 von Shira Caldie

Eine Regierungsbehörde erlebte eine bedrohliche Situation, als ein Synchronisierungsfehler mehrerer Festplatten eines vSAN 6 Cluster Drives, die Hosts wiederholt zum Absturz brachten.

Weiterlesen


Dienstag, 8. Mai 2018 von Ontrack Datenrettung

Wenn Sie gerade vor einer Migration oder Konsolidierung von Microsoft® Exchange Server stehen, liefert dieser Blogpost wertvolle Tipps.

Weiterlesen


Donnerstag, 5. Dezember 2019 von The Data Experts

Wenn ein Datenverlust bei etwas so Wertvollem wie einem Server auftritt, ist es für Ihr Unternehmen lebenswichtig, so schnell wie möglich wieder einsatzbereit zu sein. In diesem Blog ermitteln wir, ob eine Datenwiederherstellung von einem Server möglich ist.

Weiterlesen


Montag, 21. Oktober 2019 von Ontrack Datenrettung

Proaktiv handeln und rechtzeitig einen Server Data Recovery Business Continuity Plan erstellen zahlt sich oft aus. Lesen Sie mehr hier im Blog, wie Sie einen Business Continuity Plan für Server Datenrettung planen sollten.

Weiterlesen



 

Beauftragen Sie Ihre kostenlose* Datenrettungsanalyse

Sie erhalten eine kostenlose Abholung Ihres Speichermediums und eine Einschätzung, welche Daten wiederherstellbar sind sowie ein Festpreisangebot. Erst dann entscheiden Sie, ob Sie Ontrack mit der Datenrettung Ihres Mediums beauftragen möchten.

Die Dauer der Analyse beträgt ca. 4 Stunden für Einzelfestplatten (HDD, SSD) und RAID-Systeme, für Smartphones & Tablets können bis zu 4 Arbeitstage benötigt werden. Dieser Zeitrahmen gilt innerhalb unserer üblichen Geschäftszeiten (Mo bis Fr 9.00-17.00 Uhr). Außerhalb unserer Geschäftszeiten steht Ihnen für den Notfall-Service die kostenlose 24-h Hotline zur Verfügung.

*Bei gelöschten Daten/formatierten Medien/ Wasser- und Brandschäden ist eine kostenpflichtige Diagnose notwendig.


 

Schritt 1

Medium / Datenträger
Schritt 2

Grund für den Datenverlust
Schritt 3

Details & Evaluierung

Für welche Art von Datenträger benötigen Sie eine Datenrettung?

Was ist der Hauptgrund für Ihren Datenverlust?

Welche Daten sind für Sie am wichtigsten? Weitere Kommentare?

* Die kostenlose Evaluierung ist eventuell nicht möglich. Bitte kontaktieren Sie uns oder geben Sie Ihre Daten ein und wir werden Sie so schnell wie möglich kontaktieren. Wenn Sie Hilfe benötigen, rufen Sie uns bitte an: 0800 10 12 13 14

1. Kontaktdaten

2. Versanddaten

Möchten Sie Ihre KOSTENLOSE Analyse starten?:
Kostenloser Versand ist in Ihrem Land nicht möglich.
Mit dem Absenden dieses Formulars erkennen Sie folgendes an:
  • Die kostenlose Analyse wird von der KLDiscovery Ontrack GmbH, Hanns-Klemm-Str. 5, 71034 Böblingen durchgeführt.
  • Wenn die Datenrettung nicht möglich ist, oder Sie das Datenrettungsangebot nicht annehmen, können wir ihren Datenträger sicher löschen und entsorgen. Sollten Sie die Rücksendung ihres Datenträgers wünschen, berechnen wir ihnen 14,90€ inkl. MwSt. für Österreich und Deutschland sowie 16,90 CHF inkl. MwSt. für die Schweiz.
  • Dieses Formular berechtigt Ontrack, sofort mit dem FreeVal-Service zu beginnen. Als Verbraucher haben Sie die Möglichkeit die Bestellung innerhalb einer Frist von 14 Tagen zu stornieren, aber Sie erkennen an, dass Ihr Widerrufsrecht verloren geht, wenn Ontrack den FreeVal-Service vor dem Erhalt Ihrer Kündigung abgeschlossen hat. Alle Einzelheiten zur Stornierung und Ihre Rechte sind in unseren Allgemeinen Geschäftsbedingungen für die Datenwiederherstellung festgelegt. Um zu stornieren, senden Sie eine E-Mail oder rufen Sie Ontrack unter Verwendung der angegebenen Kontaktdaten an oder verwenden Sie das Widerrufsformular auf unserer Website.
  • Informationen darüber, wie wir personenbezogene Daten erheben, verarbeiten und speichern, entnehmen Sie bitte unserer Datenschutzerklärung.