Ende September 2025 erlebte Suedkorea einen seltenen doppelten Infrastruktur-Schock: Innerhalb einer Woche brannten zwei Rechenzentren in derselben Stadt Daejeon. Zeitweise waren 647 staatliche IT-Systeme gleichzeitig nicht erreichbar – vom E‑Government‑Portal ueber Steuer- bis hin zu Postdiensten. Regierungsstellen sprachen von einem digitalen Laehmungszustand.
Chronologie und Auswirkungen: Was in Daejeon geschah
Am 26. September brach im Rechenzentrum der National Information Resources Service (NIRS) ein Feuer aus, das ueber 22 Stunden andauerte. Nach Berichten von CNN und Korea Herald nahm der Brand in Lithium‑Ionen‑Akkus der unterbrechungsfreien Stromversorgung (UPS) seinen Anfang, die gerade in den Keller verlagert wurden. Der thermische Durchgehvorgang loeste eine Kettenreaktion aus; 170 Einsatzkraefte und 63 Fahrzeuge waren vor Ort.
NIRS ist die tragende Plattform des E‑Government und konsolidiert die IT‑Infrastruktur von Ministerien und Kommunalbehoerden. Der Brand legte 96 kritische Systeme unmittelbar lahm, weitere 551 Dienste wurden vorsorglich abgeschaltet. Die Wirkung war systemisch, weil mehr als ein Drittel der rund 1.600 Regierungssysteme in diesem Rechenzentrum betrieben wurde.
Single Point of Failure: G‑Drive ohne externe Backups
Besonders hart getroffen wurde die staatliche Cloud‑Plattform G‑Drive, das zentrale Dokumenten‑Repository. Seit 2018 muessen etwa 750.000 Behoerdenmitarbeitende ihre Arbeitsdateien dort ablegen (rund 30 GB pro Person). Die kritische Architekturschwaeche: keine geographisch getrennten Sicherungen. Backups lagen im selben Gebaeude und wurden zusammen mit Primardaten zerstoert. Laut Korea Herald koennte der unwiederbringliche Datenverlust bis zu 858 TB betragen. Besonders betroffen ist das Personalministerium, das nun versucht, Inhalte aus lokalen Kopien, E‑Mails und Papierarchiven zu rekonstruieren.
Zweiter Zwischenfall und systemische Risiken
Nur eine Woche spaeter, am 3. Oktober, kam es auch im Rechenzentrum von Lotte Innovate in Daejeon zu einem Brand. Nach Angaben von DataCenter Dynamics war das Feuer in weniger als einer Stunde geloescht; als vorlaeufige Ursache gilt ebenfalls ein Akku. Die zwei Incidents in kurzer Folge verweisen auf strukturelle Verwundbarkeiten, die bereits nach einer Stoerung im November 2023 diskutiert wurden: Empfohlen wurden twin server/aktiv‑aktiv‑Designs mit Realtime‑Spiegelung. Ein Audit 2024 meldete zudem Verzoegerungen bei Hardware‑Erneuerungen und auffaellig hohe Ausfallraten.
Wiederanlauf und Ermittlungen
Bis zum 3. Oktober waren erst 115 von 647 Systemen wieder online (rund 18%). Die urspruenglich angekuendigte Zwei‑Wochen‑Frist duerfte kaum zu halten sein. Die Polizei durchsuchte die NIRS‑Zentrale sowie UPS‑Lieferanten; vier Personen wurden wegen Verdachts auf berufliche Fahrlaessigkeit festgenommen. Unabhaengig davon wird der Tod eines 56‑jaehrigen ranghohen Beamten untersucht, der die Wiederherstellung koordinierte; laut Behoerden war er nicht in die Brandursachenermittlung eingebunden.
Cyberbezug und offene Fragen
In der Fachszene kursiert eine Analyse in Phrack (Juni 2025) mit dem Titel „APT Down: The North Korea Files“. Die Autoren berichten von einem kompromittierten Akteur der Gruppe Kimsuky (APT43/Thallium) und behaupten Zugriffe auf Regierungsnetze, inklusive Onnara, gestohlene GPKI‑Zertifikate und Angriffslogs; seit dem 16. Juni 2025 sollen Hinweise an Behoerden gegangen sein. Darauf aufbauende Spekulationen ueber einen moeglichen Zusammenhang der Braende mit einer Beweisvernichtung bleiben jedoch unbelegt. Offiziell werden technische Defekte und Fahrlaessigkeit als Hauptursachen geprueft.
Lehren fuer Staat und kritische Infrastruktur
Der Vorfall zeigt die Kosten technischer und organisatorischer Schulden. Entscheidend sind: eine 3‑2‑1‑ bzw. 3‑2‑1‑1‑0‑Backup‑Strategie mit Offsite‑Speicherung und regelmaessigen Restore‑Tests; aktiv‑aktiv oder aktiv‑passiv ausgelegte Zweitstandorte mit klaren RPO/RTO; Sektorierung und Isolation von Storage und Stromversorgung; geeignete Brandbekaempfung fuer Lithium‑Ionen‑Batterien sowie Off‑Gas‑Monitoring. Ebenso wichtig: PKI‑Hygiene (Schluesselrotation, rasche Zertifikatsruecknahme, Ausgabe‑Kontrollen) und ein leistungsfaehiger SOC mit Playbooks und regelmaessigen Tabletop‑Uebungen. Diese Praktiken entsprechen gaengigen Empfehlungen aus Rahmenwerken wie NIST SP 800‑34 und ISO 22301.
Organisationen sollten jetzt einen ausserplanmaessigen Audit zur Betriebsfortfuehrung und Notfallwiederherstellung ansetzen, verifizieren, dass Offsite‑Restores realistisch innerhalb der Ziel‑RTO liegen, und in Architekturen ohne Single Point of Failure investieren. Die Kosten fuer Resilienz sind niedriger als der Preis eines „digitalen Laehmungszustands“.
