Sicherheitslücke bei Militär-Trainingsplattform: API-Fehler enthüllte sensible Daten

Ein Technologieunternehmen, das im Auftrag des US-Verteidigungsministeriums tätig ist, hat durch eine unzureichend gesicherte API sensible Nutzerdaten und militärische Schulungsunterlagen offengelegt. Dies geht aus einem Bericht des Open-Source-Sicherheitsprojekts Strix hervor, das autonome Sicherheitstests durchführt.

Betroffen war die KI-gestützte Trainingsplattform Schemata, die in militärischen und behördlichen Umgebungen eingesetzt wird. Laut Strix konnte ein einfacher Nutzeraccount mit niedrigen Berechtigungen auf Daten mehrerer Mandanten zugreifen – darunter Nutzerlisten, Organisationsdaten, Kursinformationen, Metadaten sowie direkte Links zu Dokumenten, die auf den Amazon-Web-Services-Servern von Schemata gespeichert waren.

Sensible Militärdaten ungeschützt

Zu den exponierten Daten gehörten unter anderem:

• Ein 3D-Trainingskurs für Marine-Wartungspersonal mit als vertraulich und proprietär gekennzeichneten Dokumenten
• Ein Kurs mit Feldhandbüchern der US-Armee zur Handhabung von Sprengstoffen und taktischen Einsätzen
• Hunderte Nutzerdatensätze mit Verknüpfungen zu Militärbasen und Einschreibungen in Schulungen
• Namen, E-Mail-Adressen, Einschreibedetails sowie Standorte von US-Soldaten

Schemata bestätigte, dass die betroffenen Endpunkte seit dem 1. Mai öffentlich zugänglich waren. Strix hatte den Vorfall bereits 150 Tage zuvor gemeldet. Das Unternehmen erklärte, die Schwachstelle vor der Veröffentlichung behoben zu haben. Der Bericht von Strix erschien 152 Tage nach der ersten Kontaktaufnahme.

Kein komplexer Angriff nötig – einfache Browseranalyse reichte

Laut Strix war für den Zugriff auf die Daten kein technisch anspruchsvoller Angriff erforderlich. Die Sicherheitsforscher nutzten einen Account mit niedrigen Berechtigungen, beobachteten den normalen Browserverkehr und identifizierten so exponierte API-Endpunkte. Anschließend konnten sie mit derselben Sitzung hochsensible Daten abrufen – selbst aus anderen Mandantenbereichen. Dies deutet darauf hin, dass die API keine ausreichenden Zugriffsbeschränkungen implementierte und Mandantengrenzen sowie Nutzerrechte nicht korrekt durchsetzte.

Besonders kritisch: Einige der exponierten Routen erlaubten sogar Schreibzugriffe. Theoretisch hätte ein Angreifer damit Kurse modifizieren oder löschen können. Ob Strix solche Tests durchgeführt hat, bleibt unklar. Auf Anfrage von CyberScoop äußerte sich das Unternehmen nicht.

Risiken durch exponierte Ausbildungsdaten

Die Plattform von Schemata wird in militärischen und behördlichen Schulungsumgebungen eingesetzt. Selbst wenn die Daten nicht als klassifiziert eingestuft sind, können Informationen über Standorte, Ausbildungsinhalte und Zugangsberechtigungen von Soldaten sensible Rückschlüsse auf militärische Operationen zulassen. Ein Missbrauch dieser Daten könnte erhebliche Sicherheitsrisiken bergen.

In einer Stellungnahme auf der Unternehmenswebsite betonte Schemata, dass es keine Hinweise darauf gebe, dass Dritte die Schwachstelle ausgenutzt hätten, um Kundendaten abzugreifen. Dennoch wirft der Vorfall Fragen über den Umgang mit Sicherheitsmeldungen bei Unternehmen auf, die mit sensiblen Regierungsdaten arbeiten.

Verzögerte Reaktion und unklare Kommunikation

Strix kontaktierte Schemata erstmals am 2. Dezember 2025. Laut dem Bericht antwortete der CEO des Unternehmens zunächst:

"Ich würde gerne hören, was die Schwachstelle ist, aber ich nehme an, Sie wollen dafür bezahlt werden. Ist das der Plan?"

Strix klärte noch am selben Tag auf, dass keine Bezahlung erforderlich sei und der Fokus auf der Sicherheit der Nutzer liege. Anschließend folgten mehrere Nachfassaktionen zwischen dem 8. und 29. Dezember, in denen Strix auf die Dringlichkeit hinwies. Die genauen Details der weiteren Kommunikation wurden nicht veröffentlicht.

Der Fall unterstreicht die Bedeutung einer schnellen und transparenten Reaktion auf Sicherheitsmeldungen – insbesondere bei Systemen, die für militärische oder behördliche Zwecke genutzt werden.