Das Angebot des Münchner Start-ups Zapptales ist simpel: Aus privaten Unterhaltungen in Apps wie iMessage, WhatsApp, Instagram, Facebook, Telegram oder Threema macht das Unternehmen gebundene Bücher. »Eure Lovestory, der Chat mit deiner besten Freundin, ein modernes Babybuch oder ein ganzes Jahr mit deiner Familie«, heißt es auf der Website des Unternehmens. »Es gibt viele Momente, die es verdienen, festgehalten zu werden.« Das Ergebnis dürfte vor allem als Geschenk gekauft werden und ähnelt im weitesten Sinne einem Fotobuch – nur dass neben Bildern auch die gesamte Konversation aus den privaten Chats abgedruckt wird.

Im September dieses Jahres allerdings haben die IT-Sicherheitsexperten der Gruppe Zerforschung eine grobe Schwachstelle in der App gefunden und den verantwortlichen Behörden gemeldet. Wie aus einem dem SPIEGEL vorliegenden Bericht hervorgeht, hätten Hacker durch die Sicherheitslücke zahlreiche private Daten einsehen können. »Dazu gehören unter anderem die Chatlogs, Medien aus den Chats und PDFs der Chat-Bücher«, heißt es in dem Bericht, der an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige bayerische Landesdatenschutzaufsicht gerichtet war.

Weil in die Chat-Bücher auch QR-Codes gedruckt werden können, die zu Videos und Sprachnachrichten aus den privaten Unterhaltungen führen, hätten Angreifer auch diese einsehen können. Außerdem waren E-Mail-Adressen und Anschriften von Kundinnen und Kunden abrufbar. Insgesamt 69.000 Accounts seien betroffen gewesen, heißt es von Zerforschung.

Der weitreichende Zugriff war wegen eines kleinen Fehlers der App-Entwickler möglich: Sie hatten die Zugangsschlüssel zu den Datenbanken, in denen die privaten Daten gespeichert waren, versehentlich mit in ihre Webanwendung geschrieben. Die Lücke bestand knapp ein Jahr.

Schwachstelle wurde nicht ausgenutzt

Das Unternehmen bestätigt die Sicherheitslücke. Allerdings sei die Schwachstelle nie ausgenutzt worden. Das habe eine Prüfung der Logfiles zusammen mit der bayerischen Landesdatenschutzaufsicht und dem BSI ergeben, erklärte die Geschäftsführerin Anna Kimmerle-Hürlimann.

»Das hätte nicht passieren dürfen, aber wir haben die Lücke innerhalb von zwei Stunden nach Erhalt der Meldung geschlossen und bereits am nächsten Tag eine neue Version der Software veröffentlicht, die das Problem vollständig behoben hat«, so Kimmerle-Hürlimann. Den Sicherheitsexperten von Zerforschung sei man dankbar, dass sie die Lücke gefunden hätten und man sie so schnell habe schließen können. Zerforschung bestätigte, dass das Problem nach einem Tag behoben wurde.

»Bei WhatsApp, iMessage oder Threema sind die Daten Ende-zu-Ende-verschlüsselt, sodass nicht einmal die Unternehmen sie lesen können«, erklärte ein Mitglied von Zerforschung. Wenn jedoch Unternehmen Menschen dazu motivierten, ihre Daten dann unverschlüsselt für ein Buch hochzuladen, dann untergrabe das den ganzen Sinn der Ende-zu-Ende-Verschlüsselung.

»Sofort ein schlechtes Bauchgefühl«

Auf Zapptales sei man im persönlichen Umfeld gestoßen, erklärte der Sicherheitsforscher: »Wir haben von Bekannten gehört, dass das bei Ihren Eltern gerade voll das Ding sei, Bücher mit Chats auszudrucken.« Da habe man sofort ein schlechtes Bauchgefühl gehabt. Schließlich seien Chatverläufe sehr sensible und persönliche Daten – gerade wenn es sich um Chats mit Freundinnen oder dem Partner handelt. »Ich will auch gar nicht wissen, wie viele Nacktbilder in diesem Datensatz sind«, so der IT-Sicherheitsexperte.