Die Sicherheit persönlicher Daten ist im digitalen Zeitalter wichtiger denn je. Unternehmen, die Software entwickeln, sind besonders gefordert, um sensible Nutzerinformationen bestmöglich zu schützen. Kürzlich wurde bekannt, dass die Design-Software Sketch eine Sicherheitslücke hatte, durch die Nutzerdaten wie Passwörter in internen Crash-Logs unerwartet sichtbar wurden. Dieser Vorfall wirft wichtige Fragen über den Umgang mit Crash-Reports und die Sicherheit von Benutzeranmeldedaten auf. Im Folgenden wird die Situation ausführlich beleuchtet.
Am 9. Mai 2025 informierte Sketch seine Nutzer darüber, dass in seltenen Fällen Passwörter von Anwendern in den Crash-Berichten gelandet waren, die automatisch zur Fehleranalyse gesendet werden. Das Unternehmen erklärte, dass der Fehler innerhalb der Versionen 96 bis 101.8 der Mac-App bestand und durch ein Update auf Version 101.9 behoben wurde.
Insgesamt waren innerhalb der letzten drei Monate vor Bekanntwerden 81 Nutzer von diesem Leak betroffen. Aufgrund der automatisierten Löschung von Crash-Daten nach drei Monaten ist nicht auszuschließen, dass weitere Daten früher ebenfalls betroffen gewesen sein könnten. Die Ursache des Problems lag darin, dass Sketch eine lokale Aufzeichnung der letzten 100 Aktionen eines Nutzers im Programm führte. Diese Funktion dient dazu, bei einem Programmabsturz möglichst viele Informationen zu sammeln, damit Entwickler den Fehler nachvollziehen und beheben können. In der betroffenen Softwareversion wurde dabei versehentlich auch der eingegebene Text in sämtlichen Feldern gespeichert – ungeachtet dessen, ob es sich um normale Eingabefelder oder sichere Eingaben wie Passwortfelder handelte.
Trifft also ein Absturz kurz nach der Eingabe von Login-Daten ein, waren diese potenziell im Log enthalten und wurden an das Crash-Reporte-Tool BugSnag gesendet, auf welches nur eine begrenzte Anzahl von Sketch-Mitarbeitern Zugriff hatte. Wichtig zu verstehen ist, dass diese sensiblen Daten niemals an Dritte außerhalb von Sketch weitergeleitet wurden. Das Unternehmen versicherte, dass keinerlei externe Verbreitung stattgefunden hat. Die Crash-Berichte wurden ausschließlich intern zur Fehlerbehebung eingesetzt. Zudem speichert Sketch die Nutzereingaben nur lokal auf dem Computer des Anwenders in der aktiven Sitzung.
Selbst dort wird die Protokollierung bei jedem Neustart der Software gelöscht. Dennoch können Daten von bis zu 100 Handlungen festgehalten und im Falle eines Absturzes übertragen werden. Die fehlerhafte Protokollierung betrifft ausschließlich die Eingaben innerhalb der Sketch-Mac-App. Nutzer, die Sketch per Lizenzschlüssel oder per Single Sign-On (SSO) im Browser verwenden, waren von diesem Problem nicht betroffen. Das SSO-Verfahren findet außerhalb der App statt und ist daher von diesem spezifischen Bug nicht berührt.
Nach Entdeckung der Sicherheitslücke reagierte Sketch umgehend. Bereits unmittelbar nach der Mitteilung an die Öffentlichkeit wurden alle Crash-Reports, die sensible Daten enthielten, aus dem BugSnag-System gelöscht. Zudem wurde der Empfang von Crash-Reports aus den betroffenen Versionen serverseitig deaktiviert. Mit dem Update auf Version 101.9 wurde die fehlerhafte Anfertigung des Aktionslogs mit Benutzereingaben komplett beseitigt.
In dieser Version werden keine Texteingaben mehr im Crash-Log erfasst, um eine Wiederholung des Problems auszuschließen. Aus Sicherheitsgründen empfiehlt Sketch allen Nutzern, die eine der betroffenen Versionen verwenden, das Programm neu zu starten. Dies löst das lokale Löschen des Aktionslogs aus und verhindert, dass sensible Daten auf der eigenen Maschine länger als notwendig gespeichert bleiben. Anschließend sollten sie auf die neueste Version 101.9 oder höher aktualisieren, um den Schutz gegen dieses Problem dauerhaft zu gewährleisten.
Obwohl die Wahrscheinlichkeit eines Missbrauchs durch Dritte äußerst gering ist, rät Sketch vorsorglich zum Zurücksetzen des eigenen Sketch-Passworts. Nutzer, die dasselbe Passwort auch bei anderen Diensten verwenden, sollten diese ebenfalls ändern, um das Risiko eines möglichen Missbrauchs weiter zu minimieren. Der Vorfall zeigt, wie komplex die Sicherstellung von Datenschutz in Softwareprodukten ist. Zwar ist die Erfassung von Absturz- und Fehlerdaten ein wichtiges Werkzeug für Entwickler, doch müssen dabei hohe Sicherheitsstandards eingehalten werden, um versehentliche Datenlecks zu verhindern. Sketch kündigte an, seine Sicherheitspraktiken umfassend zu überprüfen und auszubauen, um vergleichbare Zwischenfälle zukünftig auszuschließen.
Für Anwender von Softwareprodukten generell bietet dieser Fall eine wichtige Lektion. Softwarehersteller sollten transparent über Sicherheitsvorfälle informieren und schnell reagieren, um Vertrauen zu erhalten. Als Nutzer ist es ratsam, Programme immer aktuell zu halten und Sicherheitswarnungen ernst zu nehmen. Außerdem ist es empfehlenswert, unterschiedliche Passwörter für verschiedene Dienste zu verwenden, damit im Falle eines Lecks nur ein Konto betroffen ist. Insgesamt untermauert der Vorfall bei Sketch die Bedeutung von Datenschutz in der modernen Softwareentwicklung.
Unternehmen müssen sowohl bei der Implementierung von Funktionen als auch bei der Analyse von Fehlerproblemen auf Datensicherheit achten. Das Ziel ist es, Nutzerdaten bestmöglich zu schützen, ohne die Qualität und Zuverlässigkeit der eigenen Produkte zu beeinträchtigen. Die schnelle Reaktion von Sketch und die umfassende Kommunikation zeigen den verantwortungsvollen Umgang mit IT-Sicherheitsfragen. Für die Nutzer ist es wichtig, den Anweisungen Folge zu leisten und bei Unsicherheiten den Kundensupport zu kontaktieren. Sketch bietet hierfür eine direkte Kontaktmöglichkeit per Mail an.
Abschließend lässt sich festhalten, dass auch aus solchen Vorfällen wichtige Lehren gezogen werden und der Schutz der Privatsphäre im Mittelpunkt steht. So können Entwickler und Anwender gemeinsam für mehr Sicherheit sorgen und das Vertrauen in digitale Tools stärken.
