- Tausende Docker-Images geben sensible Zugangsdaten preis
Eine aktuelle Sicherheitsuntersuchung hat ein ernsthaftes Problem auf Docker Hub, dem weltweit größten öffentlichen Container-Register, aufgedeckt. Forschende des Cybersecurity-Unternehmens Flare fanden 10.456 öffentliche Container-Images, in denen sensible Geheimnisse wie API-Schlüssel, Cloud-Zugangsdaten, CI/CD-Tokens, Datenbank-Logins und Zugangsschlüssel für KI-Modelle offen zugänglich waren. Da die Images öffentlich waren, konnte jede*r die offengelegten Daten ohne Authentifizierung einsehen.
Die geleakten Zugangsdaten standen im Zusammenhang mit mehr als 100 Organisationen aus den Bereichen Technologie, Finanzen und professionelle Dienstleistungen. Flare bestätigte, dass unter den betroffenen Unternehmen auch ein Fortune-500-Konzern sowie eine nationale Bank waren, nannte jedoch keine Namen.
Umfang und Art der Offenlegung
Die Analyse von Flare zeigte, dass 42 Prozent der betroffenen Images fünf oder mehr Geheimnisse enthielten – was die Wahrscheinlichkeit eines Missbrauchs deutlich erhöht. Am häufigsten offengelegt wurden Zugangsdaten für KI- und Large-Language-Modelle, Cloud-Provider-Schlüssel, CI/CD-Geheimnisse sowie Application-Access-Tokens. Rund 4.000 der geleakten Schlüssel waren KI-Diensten zugeordnet, was den schnellen Einsatz von KI-Tools in modernen Entwicklungsprozessen widerspiegelt. Viele der anfälligen Images stammten aus persönlichen oder von externen Dienstleistern verwalteten Docker-Hub-Repositories und nicht von offiziellen Unternehmenskonten. Diese Repositories entziehen sich oft der regulären Sicherheitsüberwachung, automatisierten Scans und formalen Code-Reviews. Dadurch blieben sensible Zugangsdaten teils über längere Zeiträume öffentlich sichtbar, ohne dass sie entdeckt wurden.
Flare fand auch ein wiederkehrendes Muster, bei dem Unternehmenszugänge in Images auftauchten, die von persönlichen Accounts veröffentlicht wurden – ohne ersichtliche organisatorische Verantwortlichkeit.
Zugangsdaten bleiben oft auch nach Offenlegung aktiv
Die Untersuchung deckte eine zentrale Schwachstelle im Umgang nach einer Entdeckung auf: In rund 75 Prozent der Fälle entfernten Entwickler*innen die exponierten Geheimnisse zwar aus den Container-Images, versäumten es aber, die zugrunde liegenden Zugangsdaten zu sperren oder auszutauschen. Die Schlüssel blieben oft weiterhin gültig, selbst nachdem die öffentlichen Images bereinigt waren. Das bedeutet: Systeme bleiben auch nach den Aufräumarbeiten noch verwundbar. Wer vor der Entfernung Zugriff auf die Daten hatte, kann diese Zugänge weiter nutzen, bis die Schlüssel gezielt deaktiviert werden.
Empfohlene Sicherheitsmaßnahmen
Sicherheitsexpert*innen raten dringend davon ab, Geheimnisse direkt bei der Erstellung in Container-Images einzubetten. Stattdessen sollten Teams Zugangsdaten zur Laufzeit über Secret-Management-Tools, kurzlebige Tokens oder Umgebungsvariablen einbinden. Auch automatisierte Sicherheits-Scans vor dem Veröffentlichen in öffentlichen Registern sind unerlässlich. Die Ergebnisse unterstreichen ein dauerhaftes Problem in modernen Entwicklungsabläufen: Schwere Sicherheitsrisiken entstehen oft durch alltägliche Unachtsamkeiten – und nicht durch komplexe Angriffe. Werden solche versehentlichen Zugangslecks nicht zeitnah behoben, öffnen sie vermeidbare Angriffspfade in kritische Systeme.