KI-Update Deep-Dive: Vibecoding als Sicherheitsrisiko – feat. TTT

Hunderte Webseiten mit offenen Datenbanken

Die Erstellung von Webseiten und Apps mittels KI, oft als „Vibecoding“ oder „Webcoding“ bezeichnet, birgt erhebliche Sicherheitsrisiken. Das ergab eine Recherche der IT-Expertin Eva Wolfangel. In dieser Ausgabe des KI-Updates übernehmen daher die Kolleginnnen des c’t-Podcasts „They Talk Tech“ das Ruder. Eva Wolfangel spricht mit Svea Eckert über die weitreichenden Folgen des Vibecodings für das Internet. Gemeinsam mit dem KI-Sicherheitsforscher Christopher Helm hatte Wolfangel hunderte Webseiten mit ungesicherten Datenbanken gefunden, in denen sensible Daten wie Kundendaten, Produktionspläne oder Bewerbungsunterlagen offen im Netz lagen.

Als exemplarisches Beispiel dient der Fall einer jungen Startup-Gründerin, die Wolfangel „Larissa“ nennt, um ihre Identität zu schützen. Sie hatte sich mit einem nachhaltigen Online-Shop selbstständig gemacht. Als Wolfangel sie kontaktierte und über die Sicherheitslücke informierte, war die Gründerin schockiert. „Sie hat gesagt, Mann, ich kann kaum noch schlafen. Ich habe mich ruiniert. Ich bin so dumm“, berichtet Wolfangel im Podcast. Die Daten all ihrer Kunden waren frei zugänglich.

Bequemlichkeit vor Sicherheit

Die Ursache für die Sicherheitslücke liegt oft in der Funktionsweise der eingesetzten Werkzeuge. „Vibecoding“ beschreibt Wolfangel als „Programmieren auf Basis natürlicher Sprache“. Nutzerinnen uns Nutzer müssen also keine Programmiersprache mehr beherrschen, sondern können einer KI in einfachen Worten Anweisungen geben. Dafür werden Plattformen wie „Lovable“ genutzt. Diese greifen wiederum auf sogenannte „Backend-as-a-Service“-Anbieter wie „Supabase“ zurück, um die Datenbanken und die Infrastruktur hinter der Webseite zu organisieren.

Das Problem entsteht durch die Standardeinstellungen dieser Dienste. Supabase stand laut Wolfangel lange in der Kritik, weil der voreingestellte Schutzmechanismus der schwächste war: Die Datenbanken waren standardmäßig offen im Netz. „Am Ende wurde Bequemlichkeit gewählt und nicht Sicherheit“, erklärt Wolfangel. Denn wenn alle die Datenbank sehen können, funktioniert die erstellte Anwendung auf jeden Fall. Komplexere Berechtigungen, die für Laien schwer zu durchschauen sind, werden so umgangen. Das Ergebnis ist eine funktionierende, aber unsichere Webseite.

Auch große Unternehmen sind betroffen

Die Recherche von Wolfangel und Helm zeigte, dass nicht nur kleine Start-ups betroffen sind. Unter den mehr als 600 untersuchten Webseiten fanden sich auch große Namen. So waren etwa bei der VOM-Hochschule, einer der größten privaten Hochschulen Deutschlands, Daten von hunderten Studierenden offen einsehbar. Auch ein deutscher Industrieanlagenbauer legte Produktionsdatensätze offen. Ein besonders drastischer Fall war ein US-Anbieter für IT-Sicherheitsschulungen für Behörden, der die privaten E-Mail-Adressen von FBI-Mitarbeitern ungeschützt im Netz hatte.

Die Behebung der Lücken gestaltete sich oft schwierig. „Auch die VOM-Hochschule hat mehrere Anläufe gebraucht und am Ende hat sie die Datenbank einfach vom Netz genommen“, so Wolfangel. Dies zeige den Teufelskreis: Entwicklerinnen und Entwickler, die KI-Unterstützung nutzen, laufen Gefahr, Fehler zu übersehen, die später nur mit hohem Aufwand zu beheben sind.

Auf die Frage, ob „Vibecoding“ generell unsicher sei, rät Wolfangel zur Vorsicht. Das Versprechen, dass jeder ohne Vorkenntnisse eine App bauen könne, sei trügerisch. Man müsse bereit sein, sich tief mit der Materie zu beschäftigen. Besonders bei kritischen Anwendungen wie einem Webshop mit Kundendaten sei das Risiko hoch. „Genau dieser Use-Case ist tatsächlich, würde ich sagen, einer der sehr gefährlichen und da würde ich die Finger davon lassen“, schließt Wolfangel.

(igr)