Veeam-Backups
Veeam-.VBK-Dateien auf einem Synology-NAS gelöscht
Wir wurden kürzlich von einem in Deutschland ansässigen IT-Partner wegen eines kritischen Vorfalls kontaktiert, der einen Datenverlust infolge eines Ransomware-Angriffs betraf. Das betroffene Unternehmen ging davon aus, über zwei separate Backups zu verfügen, die eine schnelle Wiederaufnahme des Betriebs ermöglichen würden, doch die Ereignisse offenbarten mehrere unvorhergesehene Schwierigkeiten.
Erstes Backup: eine externe Festplatte, die während der Krise beschädigt wurde
Der Dienstleister verfügte über ein erstes Backup, das auf einer externen Toshiba-Festplatte mit 20 TB gespeichert war. Dieses vollständig vom Internet getrennte Medium hätte normalerweise die ideale Wiederherstellungslösung darstellen sollen – isoliert, zugänglich und vor der Ausbreitung des Ransomware geschützt. In der durch den Vorfall ausgelösten Panik wurde die Festplatte jedoch versehentlich fallen gelassen. Dieser Sturz verursachte einen schweren mechanischen Defekt, der das Speichermedium unlesbar machte.
In der Dringlichkeit entschied sich der Dienstleister, ein Datenrettungsunternehmen zu beauftragen, das als in Deutschland präsent dargestellt wurde, dessen Hauptlabor sich jedoch im Vereinigten Königreich befand. Trotz des Hinweises „kostenlose Diagnose“ auf der deutschen Website wurde sofort ein Kostenvoranschlag über 1.340 € allein für die Diagnose verlangt, zu dem im Falle einer erfolgreichen Wiederherstellung zusätzliche 450 € hinzukamen.
Nicht eingehaltene Marketingversprechen! Eine nicht erklärte Erfolgsquote! Außerhalb der EU!
Abgesehen vom fragwürdigen Charakter dieser Vorgehensweisen wurden auch die angekündigten Fristen nicht eingehalten. Der Partner sah sich mit einem vollständigen Mangel an Kommunikation konfrontiert, was das Vertrauen in den externen Dienstleister erheblich beeinträchtigte. Nach mehr als fünfzehn Tagen Wartezeit ohne greifbares Ergebnis wurde deutlich, dass dieser Weg keine konkrete Lösung bringen würde.
Diese Situation verdeutlicht die Bedeutung, ein anerkanntes und transparentes Datenrettungslabor zu wählen.
Zweites Backup: ein Synology-NAS mit gelöschten Veeam-Backups
Die zweite Sicherung betraf ein 4-Bay-Synology-NAS, Modell DS425+. Die Backups wurden mit der Software Veeam Backup & Replication (VBR) Version 12.3 durchgeführt, wodurch VBK- und VIB-Dateien erzeugt wurden. Um das Sicherheitsniveau zu erhöhen, hatte der Endkunde passwortgeschützte Backups aktiviert, die durch die native AES-256-Verschlüsselung von Veeam gesichert waren.
Als der Dienstleister versuchte, die Daten wiederherzustellen, stieß er schnell auf eine Reihe von Problemen. Mehr als ein Dutzend Datenrettungssoftwarelösungen wurden getestet – jedoch ohne Erfolg. Die extrahierten Dateien erschienen entweder unvollständig, beschädigt oder vollständig unlesbar. Lediglich zwei kleine VIB-Dateien konnten wiederhergestellt werden, erwiesen sich jedoch letztlich als unbrauchbar für eine vollständige Wiederherstellung. Angesichts dieser Sackgasse übergab uns der Dienstleister schließlich das gesamte NAS sowie die vier internen Festplatten.
Im Anschluss stellten wir fest, dass zwischen dem Dienstleister und seinem Endkunden ein Rechtsstreit bestand. Der Dienstleister wollte daher zunächst alle internen Lösungsansätze ausschöpfen, bevor er einräumte, dass die Situation eine weitergehende Expertise erforderte. Diese Dynamik erklärt teilweise die zahlreichen vorangegangenen Tests sowie die Verzögerung beim Versand der Hardware.
Technische Analyse: ein Btrfs-System mit Löschung
Die vier Festplatten des NAS wurden uns zur Analyse übergeben. Das Volume war mit Btrfs formatiert, einem fortschrittlichen Dateisystem, das jedoch im Falle von Löschungen besonders komplex ist.
In diesem konkreten Fall fehlten mehrere kritische Komponenten des Dateisystems, was eine Standard-Datenwiederherstellung unmöglich machte.
Unsere Teams führten daraufhin eine Reihe manueller Reparaturen an der Btrfs-Struktur durch, Schritt für Schritt. Dank der jüngsten Verbesserungen unserer proprietären Analyse-Engine ScanX — die in der Lage ist, Dateisysteme wie Btrfs, ReFS, Ext4 oder NTFS effizient zu verarbeiten — konnten wir eine kohärente partielle Rekonstruktion des Volumes durchführen.
Nach mehreren Durchläufen tiefgehender Analysen identifizierten wir fünf VBK-Dateien mit potenziellem Wiederherstellungspotenzial. Davon erwiesen sich vier Dateien als vollständig gültig, einschließlich der aktuellsten Sicherung.
Dieses Ergebnis stellte einen entscheidenden Fortschritt in diesem Fall dar. Auch wenn unsere Teams scherzhaft dazu neigen, solche Erfolge dem Glück zuzuschreiben, beruht die Realität auf einer Kombination aus strikten Methodologien, hochentwickelten Werkzeugen und einer über zahlreiche komplexe Fälle hinweg aufgebauten Expertise. Die Wiederherstellung einer gültigen VBK-Datei aus einem Btrfs-System — nach zahlreichen Manipulationen und erfolglosen externen Versuchen — verdeutlicht eindrucksvoll den Mehrwert einer spezialisierten Intervention.
Fazit: Nicht in Panik geraten und die richtigen Entscheidungen treffen
Er macht einen wesentlichen Punkt deutlich: In Krisensituationen kann Panik zu zusätzlichen Fehlern führen, und der Rückgriff auf unprofessionelle Dienstleister kann die Situation verschärfen oder verzögern. Die Wahl eines Datenrettungslabors sollte daher mit großer Sorgfalt erfolgen.
Dank unseres Eingreifens konnten die kritischen Daten aus der gültigen, aus dem NAS extrahierten VBK-Datei wiederhergestellt werden. Dieses Ergebnis ermöglichte es dem deutschen Partner, die Servicekontinuität für seinen Endkunden sicherzustellen.