Am Freitagvormittag waren es schon 2480 Datenbanken, die von der Katze gefressen wurden: Die "Miau"-Attacke geht um. Ein Bot befällt Datenbanken vom Typ ElasticSearch und MongoDB, die ohne Passwortschutz in Cloud-Umgebungen von Amazon, Google, Microsoft und anderen Anbietern liegen, und überschreibt alles mit Zufallszahlen, an die ein "meow" angehängt wird, Englisch für "Miau". In Deutschland sind bereits mehr als 100 Datenbanken betroffen.

Als einer der ersten entdeckt hat sie der IT-Sicherheitsexperte Volodymyr "Bob" Diachenko am vergangenen Montag . Eigentlich hatte ihn etwas ganz anderes umgetrieben: Diachenko hatte die Datenbank eines VPN-Anbieters aus Hongkong im Netz entdeckt, frei zugänglich und mitsamt sensibler Nutzerdaten wie IP-Adressen und unverschlüsselter Passwörter. Ein Super-GAU für so einen Betreiber, zumal der damit geworben hatte, keine Nutzerdaten aufzubewahren.

Diachenko informierte die Firma, woraufhin die Datenbank abgesichert wurde - nur um wenige Tage später erneut offen zu liegen. Doch als Diachenko noch einmal nachsehen wollte, fand er den Katzenjammer. Man habe es bei der Miau-Attacke mit einem automatisierten Programm zu tun, das die Elastic Search und MongoDB-Datenbanken angreife. "Es verbreitet sich schneller als alle anderen bisher berichteten Bot-Attacken", sagt Diachenko dem SPIEGEL. Die aktuelle Zahl der Angriffe lässt sich mit Hilfe der Suchmaschine Shodan  beobachten.

Wer hinter dem Miau-Bot steckt, ist ungeklärt. Diachenko konnte zumindest feststellen, dass die Angriffe von IP-Adressen kommen, die zum VPN-Programm Proton-VPN gehören. Dabei handelt es sich um ein marktübliches VPN-Programm. Mit solchen Programmen lässt sich die eigene IP-Adresse verschleiern.

Wer einen Zugang zu den Datenbanken findet, könnte damit zum Beispiel eine Ransomware einsetzen, die Daten verschlüsseln und die Datenbankbetreiber damit erpressen. Doch das automatisiert ablaufende Miau-Skript tut nichts dergleichen. Es macht Datenbanken einfach nur unterschiedslos unbrauchbar.

Manche spekulieren , dass es Sicherheitsexperten sind, die Betreiber von Datenbanken auf die schmerzhafte Tour zeigen wollen, dass sie geschlampt haben. Es kommt immer wieder vor, dass jemand seine Daten für alle, die die Serveradresse kennen oder herausfinden, offen zugänglich macht, ohne es selbst zu merken. Schon 2015 hatten Studenten aus Saarbrücken knapp 40.000 falsch konfigurierte und dadurch frei zugängliche MongoDB-Datenbanken im Netz entdeckt.

Mit vermehrter Nutzung von Clouddiensten ist davon auszugehen, dass so etwas auch weiterhin vorkommen wird. Will hier jemand eine Lektion erteilen – und zwar allen, die hinsehen?