Sicherheitslücke bei Tastatur-App: 32 Millionen Nutzer betroffen!

Cybercrime lässt grüßen: Aktuell zieht eine gewaltige Sicherheitslücke ihre Kreise, von der Millionen Personen betroffen sind. In diesem Fall geht es um die israelische Keyboard-App „ai.type“, die von unzähligen Smartphone- und Tablet-Besitzern weltweit genutzt wird. Besonders fatal: Unzählige persönliche und geheime Daten der User waren für jeden x-beliebigen Cyberkriminellen frei im Internet zugänglich! Ein Daten-Debakel, das vor allem ITlern zu denken geben sollte.

Eine Tastatur-App mit Zugriff auf alle Daten  

Die Entwickler von ai.type haben eine virtuelle Tastatur für mobile Endgeräte geschaffen, die es ihren Nutzern ermöglicht, schneller zu tippen und das Tool nach den jeweiligen Wünschen zu personalisieren und anzupassen. Egal, ob Android oder iOS – die beliebte App wurde bereits von über 40 Millionen Personen heruntergeladen. Das Problematische dabei: Wird ai.type installiert, hat es Zugriff auf alle Daten von Smartphone & Co. In der Praxis heißt das, dass die App so gut wie alles auslesen kann, was sich auf dem Gerät befindet.

Fehler der IT sorgt für massive Sicherheitslücke

Und genau das wurde den Gründern von ai.type zum Verhängnis. Sicherheitsforscher des Kromtech Security Centers haben ein massives Datenleck in dem Tastatur-Programm entdeckt. Konkret waren auf der MongoDB-Datenbank von ai.type 577 GB vertrauliche Nutzerdaten gespeichert – ohne jeglichen Passwortschutz! Der Grund für das Desaster: Vermutlich hatte ein IT-Experte die Datenbank fehlerhaft konfiguriert, sodass sie unverschlüsselt auf einem Server im Internet verfügbar war.

So hat ai.type die Namen, E-Mail-Adressen, Telefonnummern, Standorte, Infos aus Social-Media-Profilen und sogar Passwörter von 32 Millionen Nutzern leichtfertig quasi jedem Cyberkriminellen frei zur Verfügung gestellt! Und es kommt noch härter: In der Datenbank ließen sich zudem Statistiken finden, die darüber Auskunft geben, wie viele Nachrichten und Wörter Nutzer pro Tag verwendeten. Tschüss, Datenschutz!

Fahrlässiger Umgang mit Nutzerdaten – jetzt weiß jeder Bescheid!

Das Unternehmen ai.type rund um Mitgründer Eitan Fitusi legte sich zwar ins Zeug, um die Sicherheitslücke schnellstmöglich zu schließen und die MongoDB-Datenbank abzusichern. Doch spätestens seit dem Twitter-Post des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiß zumindest ganz Deutschland Bescheid:

Und die versehentliche Sicherheitslücke bringt noch weitere skandalträchtige Informationen ans Licht, die ai.type wohl lieber geheim gehalten hätte. Mit dem Satz „Wir werden niemals persönliche Informationen nutzen“ versichern die Betreiber der App ihren Nutzern absolute Diskretion. Eine dreiste Lüge? Davon gehen Experten aus! Anderenfalls wäre es nie zu dem Daten-Debakel gekommen.

Ist der Ruf erst ruiniert…? Ein ITler, Millionen Geschädigte!

Und die Betreiber der Keyboard-App? Nach eigenen Angaben soll es trotz des massiven Datenlecks bislang keinerlei unbefugte Zugriffe auf Accounts gegeben haben. Also Glück im Unglück? Nicht ganz! ai.type hat nun mit einem gewaltigen Image-Schaden zu kämpfen, inklusive Verlust von Kunden und höchstwahrscheinlich gewaltigen Umsatzeinbußen.  Außerdem hat der Fall eine folgenreiche Diskussion darüber entfacht, wie sicher Apps sind, die reihenweise vertrauliche Informationen ihrer Nutzer abgreifen. Somit hat sich das Unternehmen durch den IT-Fehltritt gehörig ins Bein geschossen!

Kein Bußgeld, dafür teurer Schadenersatz? Die richtige Versicherung hilft!

Und der zuständige ITler, der das Chaos vermutlich verursachte? Der wäre wahrscheinlich am liebsten über alle Berge! Stattdessen dient er als perfektes Negativbeispiel für alle Selbständigen und Freiberufler in der IT-Branche: Eine Fehlkonfiguration durch einen kurzen Moment der Unaufmerksamkeit oder einen falschen Klick? Das kann teuer werden!

Gerade in Zeiten von Datenschutzgrundverordnung (DSGVO) und ePrivacy Verordnung graut es Freelancern vor hohen Bußgeldern in Millionenhöhe, die die eigene Existenz bedrohen können. Was viele jedoch nicht wissen: Freelancer und Selbständige können sich absichern. Dazu ist eine wichtige Unterscheidung nötig.

Bußgelder nach DSGVO können mehrere Millionen Euro umfassen, die Höhe orientiert sich am Umsatz des Unternehmens. Deshalb sind die Bußgelder, die Freelancer oder auch kleinere Unternehmen bekommen, meist nicht in solch schwindelerregenden Höhen. Was gut ist, denn Bußgelder dürfen von Versicherungen in aller Regel nicht abgesichert werden; der Selbständige muss dieses Risiko also mit einkalkulieren.

Anders hingegen ist die Situation, wenn ein ITler durch seine Arbeit beim Kunden ein Datenschutzverstoß verursacht, wie hier im Fall von ai.type. In diesem Fall würde sich das Bußgeld am weltweiten Umsatz von ai.type orientieren, was bedeutet, dass das Bußgeld schnell in eben jene Millionenhöhe schießen kann. Das Unternehmen wird natürlich versuchen, die Kosten für das Bußgeld vom verursachenden freiberuflichen ITler zurückzuholen. Denn die unverschlüsselte Datenbank – um ein Beispiel zu nennen - wäre als Schlechtleistung zu werten. In diesem Fall müsste der ITler Schadenersatz leisten. Schadenersatz ist im Gegensatz zu Bußgeldern jedoch versicherbar, bedeutet: Der Schadenersatz, für das Bußgeld, also die finanziellen Nachteile des Kunden sind versicherbar. 

In der Praxis bedeutet das: Verhängte Bußgelder der Datenschutzbehörden werden in aller Regel nicht von der Berufshaftpflicht übernommen, weil das dem Gesetzgeber die Möglichkeit rauben würde, uneinsichtige Unternehmen zu bestrafen, die sich partout nicht an Datenschutzgesetze halten wollen. Bußgelder, die jedoch durch eine schlechte Leistung von Dritten (z.B. den IT-Dienstleister oder externen Datenschutzbeauftragten) verursacht wurden, können als Schadenersatz für die schlechte Leistung auf Seiten des Dienstleisters versichert werden!

Mit der IT-Haftpflicht über exali.de sind Sie bestens für den Ernstfall gewappnet, beispielsweise bei fehlerhaften Programmierungen sowie Konfigurierungen oder Datenerfassungen.

Weitere interessante Artikel:

© Sarah Kurz – exali AG