225.000 Datensätze offen im Netz — Was ein IT-Sicherheitsaudit verhindert hätte

Es war ein ganz normaler Dienstag. Unser Monitoring-Team führte ein routinemäßiges IT-Sicherheitsaudit für einen unserer Kunden durch — ein mittelständisches Gesundheitsunternehmen, das eine branchenübliche Verwaltungssoftware einsetzt. Was wir fanden, war alles andere als Routine.

225.000 personenbezogene Datensätze lagen praktisch offen im Netz.

Namen. Adressen. Geburtsdaten. Bankverbindungen. Fotos. Sogar Bewegungsprofile — wann welche Person wo eingecheckt hatte. Und Gesundheitsdaten, die nach Art. 9 DSGVO besonderen Schutz genießen.

Das Erschreckende: Die Schwachstelle existierte vermutlich seit Jahren. Und niemand hatte hingeschaut.

Was genau passiert ist

Wir nennen bewusst keine Namen — das Verfahren läuft noch im Rahmen einer sogenannten Responsible Disclosure, bei der der Hersteller und das Bundesamt für Sicherheit in der Informationstechnik (BSI) koordiniert informiert werden. Aber die technischen Fakten dürfen Sie kennen, denn sie sind exemplarisch für ein Problem, das in Tausenden deutschen Unternehmen schlummert.

Der Softwareanbieter betreibt zentrale Datenbankserver für seine Kunden. Auf einem einzigen Server lagen die Daten von über 20 Unternehmen — sauber getrennt in eigene Datenbanken. Soweit die Theorie.

In der Praxis hatte jeder einzelne Kunde Administratorrechte auf dem gesamten Server. Nicht nur auf seine eigene Datenbank, sondern auf alle. Jeder konnte die Daten aller anderen Kunden lesen, verändern oder löschen. Ohne Protokollierung. Ohne dass es jemand bemerkt hätte.

Dazu kamen weitere Befunde, die jeder für sich schon kritisch wären:

• Veraltete Software: Die eingesetzte Datenbankversion hatte ihr offizielles Supportende bereits vor über einem Jahr erreicht — keine Sicherheitsupdates mehr.
• Offener Zugang aus dem Internet: Der Datenbankport war von jeder IP-Adresse weltweit erreichbar. Keine Firewall, keine IP-Beschränkung.
• Keine Verschlüsselung: Die Zugangsdaten waren lediglich mit einer trivialen Kodierung gespeichert, die sich in Sekunden umkehren lässt.
• Keine Zugriffsprotokollierung: Selbst wenn jemand unbefugt zugegriffen hätte — es gäbe keinen Nachweis.

Wir haben vier weitere Server desselben Anbieters mit identischem Setup identifiziert. Hochgerechnet sind potenziell 500.000 bis eine Million Datensätze betroffen.

Warum das nicht nur ein IT-Problem ist

Wenn Sie jetzt denken "Das betrifft mich nicht, ich bin kein Softwareanbieter" — dann ist genau das der Denkfehler, der Unternehmen in diese Lage bringt.

Denn verantwortlich im Sinne der DSGVO ist nicht der Softwareanbieter. Verantwortlich sind Sie — als Unternehmen, das die Daten Ihrer Kunden erhebt und verarbeitet. Artikel 4 Nr. 7 DSGVO ist da unmissverständlich.

Das bedeutet konkret:

1. Bußgelder, die wehtun

Die DSGVO sieht bei Verstößen gegen die Datensicherheit Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor — je nachdem, was höher ist. Das klingt nach Großkonzern-Problemen? Die deutschen Datenschutzaufsichtsbehörden verhängen regelmäßig Bußgelder auch gegen mittelständische Unternehmen. 2023 lag das durchschnittliche DSGVO-Bußgeld in Deutschland bei rund 170.000 Euro.

2. Meldepflichten mit 72-Stunden-Frist

Wird eine Datenpanne bekannt, müssen Sie als Verantwortlicher die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO). Bei hohem Risiko für die Betroffenen — und bei Bankdaten und Gesundheitsdaten ist das praktisch immer der Fall — müssen Sie zusätzlich jeden einzelnen Betroffenen persönlich benachrichtigen (Art. 34 DSGVO).

Stellen Sie sich vor, Sie müssten 225.000 Menschen schreiben: "Ihre Bankdaten lagen möglicherweise offen im Internet. Wir wissen nicht, ob jemand darauf zugegriffen hat — weil wir keine Protokolle geführt haben."

3. Betriebsausfall, wenn der Anbieter abschaltet

In unserem Fall besteht die realistische Möglichkeit, dass der Softwareanbieter seinen Server kurzfristig abschalten muss — auf eigene Initiative oder auf Anordnung des BSI. Für die betroffenen Unternehmen würde das bedeuten: Kein Zugriff auf Kundendaten. Keine Vertragsverwaltung. Keine Zahlungsabwicklung. Von einem Tag auf den anderen.

Haben Sie einen Notfallplan für dieses Szenario? Die wenigsten KMU haben einen.

4. Reputationsschaden

Datenpannen werden öffentlich. Die Aufsichtsbehörden veröffentlichen ihre Tätigkeitsberichte. Medien berichten. Kunden lesen. Und Kunden, deren Bankdaten exponiert waren, vergessen nicht.

In einer Branche, in der Vertrauen das Fundament der Kundenbeziehung ist — egal ob Fitnessstudio, Arztpraxis, Handwerksbetrieb oder Steuerberater — kann ein einziger Sicherheitsvorfall Jahre an aufgebautem Vertrauen zerstören.

Die unbequeme Wahrheit: Ihr Softwareanbieter ist nicht Ihre Sicherheitsabteilung

Die meisten KMU verlassen sich darauf, dass ihre Softwareanbieter "das schon richtig machen". Das ist menschlich. Und gefährlich.

Denn Softwareanbieter sind Unternehmen mit eigenen Prioritäten: neue Features, neue Kunden, Wachstum. Sicherheit kostet Geld und bringt keinen sichtbaren Umsatz — bis etwas passiert. Der Anbieter in unserem Fall setzt eine Datenbankversion ein, die seit November 2024 keine Sicherheitsupdates mehr erhält. Kein Unternehmen, das IT-Sicherheit ernst nimmt, würde das tun.

Sie können die Verantwortung für die Sicherheit Ihrer Kundendaten nicht outsourcen. Sie können Aufgaben delegieren — aber die Verantwortung bleibt bei Ihnen. Und die einzige Möglichkeit, dieser Verantwortung gerecht zu werden, ist zu prüfen.

Was ein IT-Sicherheitsaudit konkret prüft

Ein professionelles IT-Sicherheitsaudit ist kein Hexenwerk und kein Millionenprojekt. Es ist eine systematische Überprüfung Ihrer IT-Infrastruktur auf bekannte Schwachstellen. Für ein typisches KMU umfasst das:

• Netzwerksicherheit: Welche Ports sind offen? Wer hat Zugriff von außen? Gibt es eine Firewall — und ist sie korrekt konfiguriert?
• Zugriffsrechte: Wer hat Zugang zu welchen Daten? Gibt es Administratorrechte, die niemand braucht? Wird der Zugriff protokolliert?
• Softwareaktualität: Laufen Ihre Systeme auf unterstützten Versionen? Werden Sicherheitsupdates zeitnah eingespielt?
• Datenverschlüsselung: Sind Ihre Daten im Ruhezustand und bei der Übertragung verschlüsselt? Werden Passwörter sicher gespeichert?
• Backup & Notfallplan: Gibt es regelmäßige Backups? Sind sie getestet? Gibt es einen Plan B, wenn ein kritisches System ausfällt?
• Anbieterprüfung: Was steht in Ihrem Auftragsverarbeitungsvertrag (AVV)? Hält Ihr Anbieter sich daran?

In unserem Fall hätte jeder einzelne dieser Prüfpunkte die Schwachstelle aufgedeckt. Es hätte nicht einmal ein tiefes technisches Verständnis gebraucht. Ein strukturierter Blick von außen hätte genügt.

Warum "irgendwann" zu spät ist

Wir hören diesen Satz ständig: "IT-Sicherheit steht auf der Liste. Machen wir, wenn wir Zeit haben."

Das Problem ist: Sicherheitslücken warten nicht auf Ihren Terminkalender. Die Schwachstelle, die wir gefunden haben, existierte vermutlich so lange, wie die Software im Einsatz ist. Jeder Tag ohne Prüfung war ein Tag, an dem die Daten von Hunderttausenden Menschen ungeschützt im Netz standen.

Die gute Nachricht: Der erste Schritt ist kleiner, als die meisten denken.

Was Sie jetzt tun können

1. Fragen Sie Ihren Softwareanbieter. Welche Datenbankversion wird eingesetzt? Wo stehen die Server? Wer hat Zugriff? Wie sind die Daten verschlüsselt? Wenn die Antworten vage ausfallen oder ausbleiben — wissen Sie, wo Sie stehen.
2. Prüfen Sie Ihren Auftragsverarbeitungsvertrag. Haben Sie überhaupt einen? Regelt er die technischen und organisatorischen Maßnahmen? Haben Sie ein Recht auf Audits beim Anbieter?
3. Lassen Sie ein IT-Sicherheitsaudit durchführen. Nicht irgendwann. Jetzt. Ein externer Blick findet, was man selbst übersieht — weil man es jeden Tag sieht, ohne es zu hinterfragen.

Wir bei Baltic iHub führen IT-Sicherheitsaudits und Website-Audits für kleine und mittelständische Unternehmen durch. Wir reden nicht nur über Sicherheit — wir finden die Lücken. Wie in diesem Fall. Und wir helfen Ihnen, sie zu schließen, bevor jemand anderes sie findet.

Quellen & Hinweise:

• Art. 4 Nr. 7, Art. 32, Art. 33, Art. 34 DSGVO — Verantwortlichkeit, Sicherheit der Verarbeitung, Melde- und Benachrichtigungspflichten
• BSI: Leitlinie zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure), Stand 2024
• EDPB Guidelines 01/2021 on Examples regarding Personal Data Breach Notification
• PostgreSQL: End-of-Life Policy — Version 12 seit 14. November 2024 nicht mehr unterstützt (postgresql.org/support/versioning)
• Enforcementtracker.com: DSGVO-Bußgeldstatistiken Deutschland 2023/2024