ComputerBase Hauptmenü
Registrieren
Suche
TeamViewer Motive 3
  2. News
  3. Apps

Hunderte Datenbanken offen im Netz: KI-Agenten übernehmen unsichere Voreinstellungen ohne Kontrolle

Andreas Frischholz
25 Kommentare
Hunderte Datenbanken offen im Netz: KI-Agenten übernehmen unsichere Voreinstellungen ohne Kontrolle
Bild: madartzgraphics

Hunderte Webseiten von Unternehmen und kleinen Startups stehen mit offenen Datenbanken im Netz, berichtet die Zeit. Auslöser ist der Recherche zufolge mit KI-Agenten erstellter Code, bei dem oftmals die Datenbank-Software Supabase verwendet wurde, ohne die unsicheren Standardeinstellungen zu ändern.

In Kooperation mit der Zeit hat der IT-Sicherheitsforscher Christopher Helm 670 Webseiten im deutschsprachigen Raum untersucht, die Supabase als Backend nutzen. Fast die Hälfte der Datenbanken war offen zugänglich. Offen im Netz standen etwa Gesundheitsdaten, Passwörter, Kundendaten oder Informationen von kritischer Infrastruktur, die Zeit konnte diese teilweise einsehen. In manchen Fällen war es sogar möglich, Inhalte auf den jeweiligen Webseiten zu verändern.

Konkret betroffen war etwa ein deutscher Mittelständer, bei dem standen 564 Tabellen und 700.000 Datensätze über die Produktion offen im Netz. Betroffene gibt es auch über Deutschland hinaus. Bei einem amerikanischen Anbieter von IT-Sicherheitsschulungen für Behörden standen Hunderte Kundennamen im Netz – dazu zählten auch die privaten Mail-Adressen von FBI-Mitarbeitern.

Unsichere Standardeinstellungen werden von Agenten fraglos übernommen

Supabase ist eine der Lösungen, die Coding-Agenten laut dem Bericht der Zeit oft nutzen, um Webseiten zu erstellen. Der Haken ist demnach: Von Haus aus ist Supabase mit laxen Sicherheitseinstellungen konfiguriert. Wer diese Lösung standardmäßig konfiguriert hatte, ließ Daten offen im Netz stehen.

Für dieses Vorgehen ist Supabase schon länger umstritten. Bis dato hat sich der Anbieter immer mit der Aussage gerechtfertigt, Kunden würden diese Vorgehensweise begrüßen. Anwender wüssten, welche Konsequenzen das hätte.

Mit den KI-Agenten ändert sich das aber. Nun sind auch Laien in der Lage, mit wenigen Befehlen komplette Webseiten zu erstellen. Die Zeit berichtet etwa von einer jungen Unternehmerin, die auf diese Weise einen Webshop erstellt hat. Betroffen sind aber auch etablierte Unternehmen.

Im Fall von Supabase haben die Coding-Agenten nun die unsicheren Voreinstellungen übernommen. Wer keine technische Expertise hat, bemerkt so etwas nicht – und hat auch kein Gespür für die Konsequenzen. Daten von Kunden stehen offen im Netz.

Supabase lenkt ein

Supabase wollte auf Anfrage der Zeit keinen Fehler einräumen. Erst im Rahmen eines ausführlichen Austausches erklärte der Anbieter, dass Anpassungen erforderlich sind. Sicherheitslücken wurden nach Hinweisen des IT-Sicherheitsexperten Helm nach und nach geschlossen. Teilweise entstanden unterwegs noch neue, Helm bezeichnete den Prozess in der Zeitwie Mühle spielen in 3D“.

Für reguläre Entwickler hat man schon im Januar 2026 – nach viel Kritik – die Einstellungen angepasst, bei KI-Agenten folgt dieser Schritt nun ebenfalls. Das Unternehmen spricht laut Zeit von einer „sich veränderten Welt“, die neue Maßnahmen erforderlich macht. Bei bestehenden Supabase-Datenbanken will man die Sicherheitseinstellungen aber nicht anpassen, weil dann laut Supabase die Gefahr bestehe, dass es zu „echten Ausfällen bei echten Nutzern“ käme.

Die Zeit hat den Austausch detailliert dokumentiert.

Agenten können Sicherheitslücken zigfach reproduzieren

Dass KI-Agenten ein trügerisches Sicherheitsgefühl vermitteln können, hat ComputerBase bereits im Langzeittest von Claude Code beschrieben. Anwender ohne nennenswerte Programmierkenntnisse können mit solchen Tools komplexe Projekte umsetzen. Ohne Detailverständnis und ein Gespür für potenzielle Baustellen lässt sich aber kaum abschätzen, wo Risiken für gravierende Sicherheitsleck liegen.

Was die Angriffsfläche dem Zeit-Bericht nach zudem noch erhöht: KI-Agenten neigen dazu, bestimmte Vorgehensweisen zu reproduzieren. Während Entwickler individuelle Fehler begehen, können Schwachstellen wie die fehlerhaft konfigurierten Supabase-Datenbanken in Hunderten bis Tausenden Projekten auftauchen. Angreifer bietet sich damit die Option, in diesem Fall etwa Webseiten mit Supabase-Datenbank automatisiert zu analysieren.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz