Verbrauchersicherheit: Mieterauskünfte unter fremdem Namen abrufbar
Am Montagnachmittag war der Schufa-Service über die App nicht zu erreichen.
Foto: dpaBerlin. Deutschlands größte Auskunftei, die Schufa, stellte vergangene Woche gemeinsam mit ihrer Tochter Bonify einen neuen Service vor. Verbraucherinnen und Verbraucher haben ab sofort gratis digitalen Zugang zu ihrem Score-Wert. Der Score-Wert ist ein Gradmesser für die Bonität des Kunden. Alleinige Voraussetzung: Sie müssen die Bonify-App herunterladen.
Wenige Tage später kehrte jedoch Ernüchterung ein. Grund dafür ist eine Sicherheitslücke, die die IT-Expertin und Aktivistin Lilith Wittmann ausfindig gemacht hat. Sie hat im Rahmen des Kontoident-Verfahrens zwischen Bonify und der Auskunftei Boniversum eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen.
Konkret identifizierte sich Wittmann über das Bankident-Verfahren als Kundin bei Bonify. Die Daten lassen sich für eine Sekunde über eine Programmierschnittstelle aktualisieren, schrieb sie auf dem Blogging-Dienst Mastodon.
Darauf hatte sie sich vorbereitet und gab mittels einer Software gesammelte Daten des CDU-Politikers und ehemaligen Gesundheitsministers Jens Spahn ein. Auf Basis dieser Daten erhielt Wittmann einen Score von Spahn.
Die Bonify-Mutter Schufa sah sich gezwungen klarzustellen, dass „Schufa-Daten zu keiner Zeit von dem Vorfall betroffen gewesen“ seien. Obwohl Bonify und die Schufa nach der Übernahme zwei getrennt voneinander operierende Unternehmen bleiben, „haben wir selbstverständlich ein großes Interesse daran, die hohen Sicherheits- und Qualitätsstandards der Schufa auf Bonify zu übertragen“, hieß es am Montag in einer Stellungnahme. Eingeleitete Sicherheitsanalysen würden voraussichtlich bis zum Herbst dieses Jahres abgeschlossen.
Datenaustausch zwischen Schufa und Bonify angehalten
Bonify teilte auf Anfrage mit, dass „zu keiner Zeit persönliche oder finanzielle Daten von Herrn Spahn oder anderen Namen gehackt“ und dementsprechend auch nicht übermittelt wurden. Der von Frau Wittmann veröffentlichte Score basiere einzig auf den von der Aktivistin eingegebenen Informationen von Herrn Spahn. Diese waren öffentlich zugänglich.
Auf Veranlassung der Schufa wurde am Samstag der Datenaustausch zwischen Schufa und Bonify angehalten. Am Sonntag stoppte das Unternehmen dann auch den Austausch zwischen Boniversum und Bonify. Derzeit, so Bonify, würden „Wartungsarbeiten“ stattfinden. Nach Abschluss würde der Basisscore der Schufa wieder zur Verfügung stehen. Allerdings wird der Boniversum-Score bis auf Weiteres nicht mehr bei Bonify abrufbar sein.
Ferner teilte Bonify mit, dass der Berliner Landesbeauftragte für Datenschutz informiert wurde, ebenso auch die Finanzaufsicht Bafin.
Die von der Schufa selbst titulierte „Transparenzoffensive“ hat mit der Datenpanne einen Rückschlag erlitten. Dabei hat die Schufa ihr bislang sensibelstes Vorhaben noch gar nicht angepackt. Verbraucherinnen und Verbraucher sollen ab 2024 der Schufa via Bonify-App einen Blick auf das eigene Konto ermöglichen können. Das soll aber nur mit ausdrücklicher Genehmigung der Kontoinhaber geschehen und zielt darauf ab, die Bonität der Kunden besser einzuschätzen.
Die Aktivistin Wittmann hält mir ihrer Meinung über Bonify nicht hinterm Berg. „Die Schufa hat ein Start-up gekauft, das nicht mal über absolutes Grundlagenwissen im Bereich Softwarearchitektur verfügt und einfach irgendwelche Verfahren irgendwie zusammenhackt.“ Wie es scheint, muss die Schufa weiter Vertrauensarbeit leisten.
Mehr: Verbraucher haben jetzt kostenlosen Zugriff auf ihren Schufa-Score
Mit Agenturmaterial