Localmind und die Grenzen europäischer Datensouveränität

Ein Kom­men­tar zum Sicher­heitsvor­fall vom Okto­ber 2025

Wenn ein Unternehmen, das sich selb­st als „daten­sou­veräne, DSG­VO-kon­forme Alter­na­tive“ zu US-KI-Plat­tfor­men posi­tion­iert, durch einen fun­da­men­tal­en Sicher­heits­fehler erschüt­tert wird, ist das mehr als ein tech­nis­ch­er Vor­fall – es ist ein Ver­trauens­bruch. Genau das ist im Okto­ber 2025 bei Local­mind geschehen.

Was passiert ist

Am 5. Okto­ber ent­deck­te Local­mind einen Angriff über eine öffentliche Tes­tumge­bung. Die Schwach­stelle: Eine reg­uläre Reg­istrierung reichte aus, um Admin­is­tra­tor­rechte zu erhal­ten. Der Angreifer kon­nte dadurch auf interne Sys­teme, Klar­text-Pass­wörter und Infra­struk­tur-Doku­men­ta­tio­nen zugreifen.

Betrof­fen waren über 150 Organ­i­sa­tio­nen, vor allem Testin­stanzen von Unternehmen und Behör­den aus Öster­re­ich und Deutsch­land. Das Kern­sys­tem blieb laut Foren­sik unange­tastet – doch der Schaden für das Ver­trauen war bere­its angerichtet.

Tech­nis­che und organ­isatorische Fehlleis­tun­gen

Die Liste der Ver­säum­nisse liest sich wie ein Hand­buch klas­sis­ch­er Anfänger­fehler:

• Pass­wörter im Klar­text gespe­ichert,
• fehlende Seg­men­tierung zwis­chen Test‑, Entwick­lungs- und Pro­duk­tivsys­te­men,
• wiederver­wen­dete Cre­den­tials,
• und über Jump-Hosts erre­ich­bare Kun­den­sys­teme, die eigentlich isoliert sein soll­ten.

Solche Prob­leme hätte jed­er halb­wegs gründliche Pen­e­tra­tionstest aufgedeckt. Dass sie über Monate beste­hen kon­nten, legt nahe: Secu­ri­ty war nicht gelebte Prax­is, son­dern Zer­ti­fikats­deko­ra­tion.

Wider­spruch zwis­chen Anspruch und Real­ität

Local­mind warb offen­siv mit europäis­ch­er Daten­sou­veränität, DSG­VO-Kon­for­mität und sicheren KI-Lösun­gen „made in Europe“. Genau dieses Ver­sprechen zieht jet­zt die meiste Kri­tik auf sich.

Denn wer Daten­schutz als Markenkern verkauft, darf sich keine Sicher­heit­slück­en erlauben, die im ersten Semes­ter IT-Secu­ri­ty the­ma­tisiert wer­den.

Die Diskrepanz zwis­chen Mar­ket­ing und Real­ität ist das, was den Vor­fall so gravierend macht – nicht allein der tech­nis­che Fehler, son­dern der Bruch des zen­tralen Marken­ver­sprechens.

Reak­tion und Schadens­be­gren­zung

Das Krisen­man­age­ment war schnell und tech­nisch solide: Sys­teme wur­den isoliert, neue Rechen­zen­tren nach Tier-IV- und ISO-Stan­dards aufge­baut, Pass­wörter und API-Keys zurück­ge­set­zt, 2‑Fak­tor-Authen­tifizierung einge­führt.

Auch die Kom­mu­nika­tion ver­lief ver­gle­ich­sweise trans­par­ent – inklu­sive ein­er eige­nen Secu­ri­ty-Seite, regelmäßiger Updates und der Mel­dung an die Daten­schutzbe­hör­den.

Aber: All diese Schritte sind reak­tive Maß­nah­men. Sie repari­eren, was längst hätte ver­hin­dert wer­den müssen.

Ein Weck­ruf für die europäis­che KI-Branche

Der Fall Local­mind zeigt ein struk­turelles Prob­lem viel­er europäis­ch­er KI-Start-ups: Der Fokus liegt auf Skalierung, Zer­ti­fizierung und Mar­ket­ing – nicht auf echter Sicher­heit­sar­chitek­tur.

„Daten­sou­veränität“ bedeutet jedoch nicht, dass Serv­er physisch in der EU ste­hen. Sie bedeutet, dass Prozesse, Soft­ware und Organ­i­sa­tion­sstruk­turen durchge­hend sich­er, über­prüf­bar und resilient sind.

Solange Sicher­heit­skul­tur nur ein Schlag­wort bleibt, wird jedes Ver­sprechen von „europäis­ch­er Ver­trauenswürdigkeit“ auf tön­er­nen Füßen ste­hen.