Vibecoding öffnet Datenbanken: Über 600 Fälle ungesicherter Web-Apps

13.06.2026 | Allgemein, KI

Vibecoding öffnet Datenbanken Über 600 Fälle ungesicherter Web-Apps

KI-erstellte Websites legen häufig Datenbanken offen.

In Kürze

  • Über 600 ungesicherte Datenbanken
  • Supabase-Defaults erlauben offenen Zugriff
  • Behebung ist oft aufwändig

Wenn du eine Website oder App per Chat prompt erstellen lässt, könnte im schlimmsten Fall eine ganze Datenbank offen im Netz landen. Das zeigt eine Recherche der IT-Expertin Eva Wolfangel zusammen mit dem KI-Sicherheitsforscher Christopher Helm: Bei der Überprüfung von Hunderten von mit KI erstellten Webseiten stießen sie in mehr als 600 Fällen immer wieder auf ungesicherte Datenbanken mit sensiblen Informationen.

Was ist Vibecoding?

Vibecoding, auch Webcoding genannt, bedeutet: Du gibst einer KI Anweisungen in normaler Sprache, und sie erzeugt Code für Webseiten oder Apps. Ohne Programmierkenntnisse lassen sich so Anwendungen bauen — sehr praktisch. Genau diese Einfachheit birgt aber ein erhebliches Risiko, weil viele Nutzer:innen technische Sicherheitsfragen schlicht übersehen.

Wo liegt das Sicherheitsproblem?

Viele Vibecoding-Tools setzen auf sogenannte Backend-as-a-Service-Anbieter, die Datenbanken und Server-Infrastruktur bereitstellen. Ein häufig genutzter Anbieter, Supabase, hatte lange eine Standardeinstellung, die Datenbanken per Default öffentlich machte. Das sorgt dafür, dass eine Anwendung sofort funktioniert — aber auch dafür, dass Zugriffsrechte oder Authentifizierungsregeln nicht korrekt umgesetzt werden und sensible Daten frei zugänglich sind.

Konkrete Fälle

  • Eine Gründerin, die in dem Gespräch als „Larissa“ genannt wird, fand ihre Kundendatenbank offen im Netz und war danach psychisch und beruflich stark belastet.
  • Bei einer der größten privaten Hochschulen Deutschlands, der VOM-Hochschule, waren Daten von hunderten Studierenden einsehbar.
  • Ein deutscher Anlagenbauer veröffentlichte Produktionsdaten.
  • Ein US-Anbieter für IT-Sicherheitstraining hatte private E-Mail-Adressen von FBI-Mitarbeitern ungeschützt liegen.

Warum sich die Lücken oft nur schwer schließen lassen

Das Schließen der Lücken erwies sich in vielen Fällen als aufwändig. Die Hochschule musste mehrere Schritte durchführen und letztlich eine Datenbank komplett abschalten, um den Zugriff zu stoppen. Ein Problem dabei: Entwickler:innen, die stark auf KI-Unterstützung setzen, neigen dazu, Fehlkonfigurationen zu übersehen — und das rächt sich später mit hohem Aufwand bei der Nacharbeit.

Was die Expertin empfiehlt

Wolfangel betont, dass Vibecoding an sich nicht automatisch unsicher ist. Die einfache Bedienbarkeit verschleiert aber Gefahren. Ihre Empfehlung: Wer ohne tieferes Sicherheitswissen arbeitet, sollte bei kritischen Anwendungen — etwa Shops mit Kundendaten oder sonstigen vertraulichen Informationen — vorsichtig sein.

  • Entweder man verzichtet auf Vibecoding in solchen Fällen.
  • Oder man stellt sicher, dass Sicherheitsfragen von Anfang an gründlich bearbeitet werden, statt sie der Default-Konfiguration zu überlassen.

Die Ergebnisse der Recherche wurden im c’t-Podcast „They Talk Tech“ in einem Gespräch zwischen Wolfangel und Svea Eckert vorgestellt.

Quellen

  • Quelle: Supabase / Lovable
  • Der ursprüngliche Artikel wurde hier veröffentlicht
  • Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.

💡Über das Projekt KI News Daily

Dieser Artikel wurde vollständig mit KI generiert und ist Teil des Projektes KI News Daily der Pickert GmbH.

Wir arbeiten an der ständigen Verbesserung der Mechanismen, können aber leider Fehler und Irrtümer nicht ausschließen. Sollte dir etwas auffallen, wende dich bitte umgehend an unseren Support und feedback[at]pickert.io

Vielen Dank! 🙏

Das könnte dich auch interessieren…