31 Millionen Nutzer von ai.type Keyboard haben ihre Daten dem App-Anbieter anvertraut. Eine schlechte Idee, wie sich jetzt herausstellte. Eine riesige Sicherheitslücke servierte Hackern, Spammern und Cyberkriminellen die Nutzerdaten – also Name, E-Mail-Adresse, IMEI- und Telefon-Nummer sowie Kontakte aus Telefonbüchern – auf dem Silbertablett.

Man kann nur den Kopf schütteln über Meldungen wie das Datenleak der Keyboard-App ai.type Keyboard. Da vergisst der Entwickler eine 577 GByte umfassende MongoDB-Datenbank abzusichern und öffnet damit Datendieben Tür und Tor. Zugegeben, Fehler unterlaufen jedem mal. Umso schwerwiegender das zweite Versäumnis: Offensichtlich hat der App-Anbieter keinerlei Sicherheitsmaßnahmen oder Prüfmechanismen vorgesehen, um derartige Schwachstellen zu erkennen – und zwar, bevor sie Angreifer ausnutzen können.

Dabei gehört es längst zum Standard, das eigene Netzwerk nicht nur mit reaktiven, sondern auch mit präventiven Security Tools zu schützen. Zu letzteren gehört ein umfassendes Vulnerability Management: Es überprüft die eigene Infrastruktur kontinuierlich auf Schwachstellen und meldet diese den Verantwortlichen. Eine offene Datenbank wäre hier schnell aufgefallen. Bleibt nur zu hoffen, dass andere Anbieter verantwortungsvoller mit den Daten umgehen, die ihre Kunden ihnen anvertrauen. Spätestens wenn im Mai kommenden Jahres die Europäische Datenschutzverordnung GDPR in Kraft tritt und hohe Strafen drohen, gibt es noch mehr gute Gründe dafür.