[English]Es ist ein Sicherheitsvorfall mit Ansage, war nur die Frage, wie schnell es eintritt. Der KI-Anbieter localmind.ai hat momentan alle Dienste abgeschaltet. Über eine "leicht zu vermeidende Sicherheitslücke" hätten Dritte sensible Daten von Kunden abziehen können. Ein Leser hat mich per Mail informiert, nachdem er entsprechende Benachrichtigungen erhielt.
Wer ist localmind.ai?
Bei localmind.ai handelt es sich um ein AI-Start-up aus Österreich (Tirol), welches von Ivan Dukic und Jerimias Fuchs am 15.02.2024 gegründet wurde und in Innsbruck beheimatet ist. Das AI-Start-up wirbt damit dass Kunden ihre "eigene Daten mit einer eigenen KI-Anwendung" auswerten können. Damit soll sich die Produktivität eines Unternehmens, z.B. durch Optimierung von Standard-Arbeitsabläufen, steigern und die vorhandenen Mitarbeiter-Ressourcen optimal unterstützt werden.
Die AI-Lösung sei 100% DSGVO-konform und komme mit dem persönlichen deutschsprachigen Support des Herstellers, heißt es auf der Webseite. Und in diesem Artikel wirbt localmind.ai mit der vermeintlich sicheren, local gehosteten AI-Lösung.
Sicherheitsvorfall bei localmind.ai
Die localmind.ai hat zum 5. Oktober 2025 eine Meldung veröffentlicht, die mir im Original vorliegt (siehe Screenshot).
Das Unternehmen informiert, dass man am gestrigen Sonntag, den 05.10.2025 um 5:43 Uhr, einen Sicherheitsvorfall festgestellt habe. Aus Vorsicht und zur weiteren Untersuchung haben man alle betroffenen Systeme, einschließlich interner Plattformen wie Serverdienste, vorübergehend offline genommen.
Es folgt der übliche Hinweis, dass man unverzüglich umfassende Sofortmaßnahmen zur Eindämmung und Analyse eingeleitet habe. Es werde derzeit mit höchster Priorität geprüft, welche Systeme und Daten betroffen sein könnten und Erstmaßnahmen eingeleitet. Man führt die Untersuchungen fort und will im Laufe des Tages weitere Updates veröffentlichen, sobald verifizierte Informationen vorliegen.
Ein Leserhinweis mit Insides
Die obige Mitteilung erreichte mich über einen Leser, der mir weitere Insights zukommen ließ (danke dafür). Der Leser informierte mich, dass seinem Unternehmen, welches kein Kunde von localmind.ai sei, aber schon mal Gespräche geführt habe, eine alarmierende Information per Mail zugegangen sei.
Ein "Interessent" stößt auf eine fette Sicherheitslücke
Die "Quelle" (ein Interessent, der sich die Lösung anschauen wollte) ist vor sieben Monaten ein Video auf LinkedIn aufgefallen, in dem ein Link zur öffentlichen team.localmind.io-Instanz von Localmind enthalten war. Die Person dachte, dass es sich um eine öffentliche Demo handele und hat sich registriert, um sich die Funktionen anzusehen.
Zur Überraschung der Person gab es keine E-Mail-Bestätigung oder irgendeine Art von Überprüfung. Die Person wurde laut redigiertem Incident-Report, der mir vorliegt, sofort angemeldet und er stellte fest, dass dieses Konto die Rolle Admin hatte. Es habe Hunderte anderer Konten in diesem System gegeben, hauptsächlich Kunden von Localmind, heißt es. Der Betreffende war dann laut Aussage in der Lage, auf deren Konten zuzugreifen.
Bei dem System solle es sich um eine speziell "für Vibe" entwickelte Abwandlung von OpenWebUI handeln, schrieb die Quelle (ich interpretiere es als "mit Vibe Coding entwickelte Anwendung). Das verleitete die Quelle zu der Annahme, dass es sich um das localmind.io Demo-System handele, welches das Unternehmen potentiellen Kunden bereitstelle.
Da die Person über sein Testkonto aber bereits Administrator war, konnte er alle Chats aller anderen Benutzer lesen und ihre hochgeladenen Dateien einsehen (etwas mehr Details finden sich in Teil 2). Über die Funktionen Automatisierung (im Wesentlichen n8n, ein Open Source Automation-Tool) und Fähigkeiten konnte man auf viele API-Schlüssel (OpenAI, Elevenlabs, blackforestlabs, Google) von Localmind selbst zugreifen, heißt es.
Diese Informationen waren angeblich oft im Klartext gespeichert und konnten von jedem eingesehen werden, der ein Konto erstellt hatte, war die Aussage. Über crt.sh fand die Quelle weitere Subdomains, auf denen sie sich ohne weitere Bestätigung als Administrator registrieren konnte.
Der Entdecker der Sicherheitslücke warnt Nutzer
Wenn ich es auf die Schnelle und aus den bruchstückhaften Informationen im redigierten Incident-Report richtig verstanden habe, konnte sich die Quelle über das initiale Test-Konto, wegen dessen Administratorberechtigungen, lateral im gesamten Localmind-IT-Kosmos bewegen und auch auf Konten von Kunden sowie deren vermeintlich "unter Kontrolle stehende" Daten zugreifen.
Die Person hatte meiner Interpretation nach Zugriff auf die Kronjuwelen. Das reicht von Kundenlisten, über Auflistungen, wer noch nicht bezahlt hat über Chats, bis hin zum Zugriff auf WordPress-Instanzen, Root-Server-Zugriffe, Rechnungen, E-Mail und weiter. Mit dem vermeintlichen Testkonto war der Entdecker in der Lage, auf alles, was irgendwie zu Localmind gehört, zuzugreifen. Über Jump-Hosts war er auch in der Lage, auf Kundensysteme zuzugreifen – und da finden sich durchaus bekanntere Namen darunter.
Ich habe im redigierten Incident-Report Chats einsehen können, die tief in das Mind-Set der Köpfe hinter Localmind blicken lassen, und wo ich für mich ad hoc beschließen würde "mach schnell, dass Du vom Acker kommst".
Die Person, die auf den – sofern es zutrifft – unglaublichen Pfusch gestoßen ist, hat dann wohl verschiedenen Kunden und potentiellen Interessenten eine Mail mit Informationen geschickt (an die Adressen kam er mutmaßlich über deren Mail-System heran, denn mit dem Testkonto, was Administrator-Rechte besaß, war er auch Microsoft 365-Admin). In der Mail heißt es, dass man den jeweiligen Empfänger warne, weil er aktiver oder potentieller Kunde von Localmind sei. Vom Hersteller sei ein lokales und sicheres KI-System versprochen worden, aber hinter der Fassade lauere ein Sicherheitsdesaster. Hier die weitergeleitete, aber von mir anonymisierte Mail des Blog-Lesers, die dessen Unternehmen heute zuging:
diese Email stammt nicht von Localmind; sie ist eine Warnung an alle Kunden, die ihr Vertrauen und ihre Daten in die Hände dieses Unternehmens gegeben haben.
Ich kontaktiere Sie, da Sie potentieller oder aktiver Kunde von Localmind sind oder waren. Localmind hat Ihnen ein angeblich lokales und sicheres KI-System versprochen, doch wie Sie in dieser E-Mail erfahren werden, ist Localmind alles andere als sicher.
Localmind haben ihre komplette Infrastruktur mit KI generiert (Vibe Coding) und somit eine Vielzahl an leicht zu vermeidenden Sicherheitslücken geschaffen, die Localminds Systeme für Angreifer zu einer offenen Tür machen. Localmind verstehen ihren eigenen Code nicht, daher ist es ihnen nicht möglich, solche offensichtlichen Lücken zu erkennen und zu beheben.
Durch diese grobe Fahrlässigkeit sind nun auch die Daten und System aller ihrer Kunden gefährdet, darunter potentiell auch Ihre.
Ich haben eine Anleitung angehängt, wie jeder an diese Daten gelangen kann, um zu verdeutlichen, wie einfach es war. Diese Lücke ist seit mindestens 7 Monaten offen und es ist davon auszugehen, dass schon jemand vor mir Zugriff auf diese Daten hatte.
Seien Sie Gewiss, dass auch Ihre Daten bei Localmind nicht sicher sein werden.
Dies ist weder eine Erpressung noch möchte ich in irgendeiner Weise Schaden anrichten. Ich werde diese Lücken dem CCC und diversen News-Portalen melden und alle Betroffenen Kunden selbst informieren. Ergreifen Sie bitte entsprechende Maßnahmen und sichern Sie Ihre Systeme ab.
Ich möchte noch einmal betonen, wie leicht es war, durch die schlechte Sicherheit von Localmind auf Ihre Systeme oder Dateien zuzugreifen, bitte nehmen Sie diese Warnung ernst.
Wenn ich es richtig sehe, ging den Empfängern auch der vollständige, aber redigierte, "Incidenz-Report" des Entdeckers mit einigen Details zu. Inzwischen habe ich die Bestätigung von mehreren Empfängern dieser "Warnung". Und dass die Sicherheitsprobleme seit mindestens sieben Monaten bestehen, macht es nicht besser.
Das Ganze ist in meinen Augen ein einziges Desaster, zusammen gebraut aus den Zutaten, die in hippen AI Start-ups lauern und uns um Kopf und Kragen bringen: Große Pläne, im Rennen um die AI-Zukunft vorne mit zu segeln. Dann wird das Ganze mit Vibe Coding irgendwie zusammen gestoppelt und produktiv auf Kunden losgelassen, die Null Ahnung davon haben und irgend etwas mit KI machen wollen. Und die Entwickler dieser Lösungen wissen oft auch nicht, was sie gerade tun. Aktuell kann man nur hoffen, dass die Kunden lediglich Testdaten in ihre KI-Instanzen hochgeladen hatten und dass kein Dritter Zugriff auf diese Instanzen hatte.
Welche Dramen sich mit Vibe Coding eröffnen, hatte ich ja kürzlich im Blog-Beitrag Vibe Coding-Fail: Drama in Brasilien, Dating-App für Lesben legt Daten offen offen gelegt. Obiger Fall zeigt erneut, welche Büchse der Pandora da gerade geöffnet worden ist.
Ergänzung: Mir sind vom Entdecker der gravierenden Sicherheitslücke anonym weitere Details zugegangen. Ich habe diese Informationen und Ergänzungen in einen separaten Blog-Beitrag Ergänzung KI-Desaster bei Localmind GmbH und Morgendigital GmbH herausgezogen. Das Ganze weitet sich in meinen Augen zu einem veritablen DSGVO-Skandal aus.
Artikelliste:
Desaster: Sicherheitsvorfall KI-Anbieter localmind.ai – Teil 1
Ergänzung KI-Desaster bei Localmind GmbH und Morgendigital GmbH – Teil 2
localmind.ai: KI-Sicherheitsvorfall, es ist noch nicht vorbei – Teil 3
Ähnliche Artikel:
Vibe Coding-Fail: Drama in Brasilien, Dating-App für Lesben legt Daten offen
Vibe Coding war gestern, Microsoft macht "Vibe working" in Office
MVP: 2013 – 2016
Vibe Coding ist die Zukunft, sagten sie…
So "neu" war Vibe-Coding in dem Sinne nicht, als das Software- und Webentwickler:innen u. a. Bibliotheken, Scripts und Co. von anderen übernahmen, deren Quellcode sie nicht lasen (und verstanden), sodass sich Sicherheitslücken im Rekordtempo verbreiten konnten.
Vibe-Coding ist quasi die "konsequente Weiterentwicklung der Verantwortungslosigkeit", wie mir mal eine Softwareentwicklerin im Gespräch sagte.
Wurde mir soeben sinngemäß von einer Informatikerin bestätigt.
Mir schwant Böses …
da hilft nur abfackeln… zusammen mit allen Daten…. so wie in Südkorea ;-)
https://www.golem.de/news/back-up-fehlt-feuer-zerstoert-ungesicherte-cloud-der-koreanischen-regierung-2510-200813.html
Strasbourg ist überall ;-)
Wenn ich mir so einige Chats aus dem Incident Report des Entdeckers ansehe, gehe ich davon aus, dass das Start-up Geschichte sein dürfte – es sei denn, die Kunden bekommen es nicht mit oder können mit dem Incident Report nichts anfangen. Es ist der absolute Alptraum, was da mutmaßlich offen gelegt wurde. Meine Befürchtung ist nur, dass da viele dieser Fälle hinter der nächsten Ecke lauern, weil die AI-Blase arg befeuert wurde.
Was stand denn in den Chats drin?
Möchte ich so nicht im Detail offen legen. Aber wenn ich frühpuberitär als noob bezeichnet werde, auf der anderen Seite Rechnungen über 10k – 40 kEuro aufschlagen, würde ich mich nicht als Kunde ernst genommen fühlen.
Nett ist das nicht, aber wo werden denn Kunden generell ernst genommen?
Mache das IT Geschäft jetzt auch schon seit immerhin 20 Jahren (im Bereich Systemintegration mit Schwerpunkt Datev) und vielleicht kommuniziert man nicht überall intern derart "pubertär", aber schlussendlich bestimmen die Vertriebsabteilungen und die versprechen dir als Kunde das Blaue vom Himmel, bekommen tust du dann aber nur einen teuren Vertrag mit minimaler Gegenleistung. Ernst nehmen würde ich das nicht nennen, nur evtl. freundlicher verpackt.
"… bekommen tust du dann aber nur einen teuren Vertrag mit minimaler Gegenleistung."
Bis man auf die Gegenseite wechselt und dem früheren Kunden die Augen öffnet. ;)
Wenn ich sehe, wie viele IT-Systemhäuser und IT-Dienstleister ihre Kunden wie die Weihnachtsgans ausnehmen, wundert es mich nicht, dass viele Unternehmen dann ausgerechnet bei der IT den Rotstift ansetzen.
Bei einem ehemaligen Arbeitgeber galt es so viele Infrastrukturprojekte wie möglich zu verkaufen, aber das Personal, dass die teils hochkomplexen Infrastrukturen auch administrieren und supporten kann, dass fehlte einfach. Wie fahrlässig da bei manchen Kunden gearbeitet wurde…
Mein bisheriges Highlight: Der wichtigste aller Server war seit dem Einbau (nach Migration) fast zwei Jahre ohne Sicherung, sprich, kein einziges Backup. Darauf liefen ERP-System, CRM und Datenbanken. Aber natürlich hat der Kunde Monat für Monat selbstredend die Wartungs- und Supportkosten bezahlt. Nur hat halt keiner genauer hingesehen.
"Mein bisheriges Highlight: Der wichtigste aller Server war seit dem Einbau (nach Migration) fast zwei Jahre ohne Sicherung, "
Kann ich bestätigen. Ein Kunde, der zurückgekommen ist, war zugekleistert mit Sophos, Remote Management Agents und Monitoring hier und da, alles schön teuer abgerechnet… das Backup interessierte aber niemanden und lief dann auch tatsächlich seit Jahren nicht.
Und das sind wirklich keine extremen Beispiele, sondern eher üblich.
Ich als käuflicher IT Mensch konzentriere mich auf die von mir betreuten Netze/Kunden… meine kleine Scholle sozusagen. Alle anderen mögen bitte brennen… Schumpeters schöpferische Zerstörung und so. Denn viele lernen wirklich nur durch erlittene Schmerzen,
S.S.K.M. (selbst Schuld, kein Mitleid)
Das hat was… Fange an, die
philosophische Seite an Dir
zu entdecken. Ich denke, der
Begriff "Schöpferische Zerstörung" ist bei vielen, die IT betreffenden Dingen, wie etwa KI, durchaus zutreffend. Auch der Typus des Unternehmers, wie Schumpeter ihn sich vorstellt. Als in USA lebender Mensch mit österreichisch-
mährischen Wurzeln konnte er das ja schon vor hundert
Jahren besichtigen. Hat sich
bis heute nicht viel geändert.
Anbei, weniger für Dich, als
für die (hoffentlich) Mitlesenden ein Link dazu:
http://www.joseph-schumpeter.de/ Wg. des fehlenden "s" wird sich der Browser zwar beschweren, aber dann wird's gehen…
… Das ist natuerlich mega bitter.
Aber ob das der richtige Umgang mit so einer hoch-seniblen Luecke ist?
Definiere/präzisiere "das".
Ich finde s es gut, dass die Kunden gewarnt werden.
Wenn die Dienste, wie GB schreibt, abgeschaltet wurden, kann die Lücke nicht mehr ausgenutzt werden.
Wenn das Ganze ordentlich Wellen schlägt, bewirkt es hoffentlich mehr Achtsamkeit bei den Anbietern und Nutzern.
Persönlich würde ich nie auf die Idee kommen, meine Daten in eine KI zu füttern, weder privat noch geschäftlich (sagt einer, der kein Geschäft hat). Es sei denn, die wäre garantiert lokal und offline.
Da fällt mir ein: Ich sollte mal wieder mein Windows durchleuchten, ob sich nicht irgendwo nach dem Update wieder eine Copilot-Recall-AI-Cloud-Funktion eingenistet hat.
Ja, ist es. Also es wäre toll wenn es nicht so wäre, aber mach dem Modern Solutions Urteil wäre ja jeder mit mehr als zwei Gehirnzellen selten dämlich eine Sicherheitslücke dieser Art auf offiziellem Wege zu melden.
Das haben wir und unsere Gerichte uns 100% selbst zuzuschreiben. Und es ist traurig. Es scheint ja gewollt zu sein, dass man Sicherheitslücken besser misbraucht oder einfach ruhig bleibt, anstatt diese zu Melden und ggf. verklagt zu werden.
Österreich?
Je mehr selbsternannte KI-Hype "Entwickler" hart und öffentlichkeitswirksam auf die Nase fallen, desto besser, für sie selbst, und ebenso für andere.
Die Öffentlichkeitswirksamkeit wird größer, Heise hat es gemeldet:
https://www.heise.de/news/Sensible-Unternehmensdaten-ueber-Sicherheitsprobleme-bei-KI-Firma-kompromittiert-10731728.html
Klingt im Vergleich zu Born sehr weichgespült: Der "böse Hacker" und der "vorbildliche Anbieter "…
Wundert mich nicht. Die zwei Typen sind für ihre "dicke Hose" bekannt.
Schöne neue KI Welt …. bad vibes.
Die Jungs wurden falsch beraten und deren Investor fährt ws bei IT auf Minimalbetrieb, sonst würde niemand in so ein Chaos investieren.
Security war hier keine Priorität, was in einem NIS2 Fall hier zu grober Fahrlässigkeit führen wird, sie sind ja Cloud Service Provider.
An X: bitte um Kontaktaufnahme über lmh25-at-proton-dot-me. Anonymität ist garantiert.
> Anonymität ist garantiert.
Was soll denn **dann** noch schief gehen? :smirk
Hallo,
ein kurzer Hinweis. Es gab/gibt eine Kollaborationsplattform namens Vibe .. die war zuletzt bei Novell wenn ich mich recht entsinne. Vllt ist ja auch eine Erweiterung dieser Plattform durch ein OpenWebUI Fork gemeint.
lg M.
Kann sein – die Quelle hatte mich jedenfalls nicht auf diesen Sachverhalt hingewiesen – war ihr auch nicht so wichtig.