Fehlstart der Schufa Bonify-App, mit der registrierte Nutzer eine Bonitätsauskunft erfragen konnten. Eine Sicherheitslücke ermöglichte den Abruf von Bonitätsdaten Dritter. Sicherheitsforscherin Lilith Wittmann hat sich gleich mal die Daten zur "Mieterauskunft" von Ex-Minister Jens Spahn anzeigen lassen, wie sie orakelt. Das ist der nächste Flop nach der Check Now-Geschichte aus 2021.
Anzeige
Hintergrund zur Schufa
Die Schufa Holding AG (kurz Schufa, Schutzgemeinschaft für allgemeine Kreditsicherung) ist eine privatwirtschaftliche deutsche Wirtschaftsauskunftei in der Rechtsform einer Aktiengesellschaft mit dem Geschäftssitz in Wiesbaden. Zu den Aktionären gehören Kreditinstitute, Handelsunternehmen und sonstige Dienstleister. Ihr Geschäftszweck ist, ihre Vertragspartner mit Informationen zur Bonität (Kreditwürdigkeit) Dritter zu versorgen. Vor einiger Zeit wurden Pläne zum Verkauf an einen Finanzinvestor bekannt.
Die Schufa verfügt über 943 Millionen Einzeldaten zu 67,9 Millionen natürlichen Personen und zu 6 Millionen Unternehmen. Dazu gehören Daten über Bankkonten, Leasing- oder Ratenzahlungsverträge, Anzahl und Nutzung von Kreditkarten, aber auch Mahnungen, Kündigungen von Verträgen oder Privatinsolvenzen. Aus all diesen Daten berechnet die Schufa den sogenannten Score, ein Wert, der darüber Auskunft gibt, wie kreditwürdig jemand ist.
Die Schufa bearbeitet jährlich mehr als 165 Mio. Anfragen zur Kreditwürdigkeit. Davon sind 2,7 Millionen Auskünfte an Verbraucher, die ihre Daten einsehen wollen. Sie beschäftigt rund 900 Mitarbeiter (Stand: 2019). Im Jahr 2019 belief sich der Umsatz auf 212 Mio. €. So die Wikipedia. Die Schufa ist aber auch – das ist die andere Seite der Medaille – höchst umstritten ob ihrer intransparenten Berechnung der Kredit-Scores, teilweise unter Verwendung fehlerhafter Daten.
(Quelle: Pexels CC0 Lizenz)
Anzeige
Der Check Now-Flop
Mit dem Projekt "Schufa Check Now" wollte die Wirtschaftsauskunftei Schufa 2021 die Kontoauszüge von Verbrauchern analysieren. Ziel war es, dass Verbraucher in Zukunft auch anhand ihrer Kontoauszüge bezüglich bestimmter Kriterien in ihrer Bonität bewertet werden sollten. Kunden mit schlechter Bonität könnten durch eine freiwillige Einwilligung zum Zugriff auf ihre Kontoauszüge durch 'Schufa Check Now' eine Neubewertung ihres Schufa-Score vornehmen lassen – so die Idee.
Aber das ging schief, als die Pläne bekannt wurden, Datenschutzbeauftragte einschritten und es viel Gegenwind gab. Die Schufa ist mit dem Ansatz, dass Verbraucher ihrer Kreditwürdigkeit selbst abfragen und bewerten lassen können, auf den Bauch gefallen. Ich hatte im Beitrag Schufa: Aus für Check Now; Verkauf an Finanzinvestor? über das Aus von Check Now berichtet. Jetzt gibt es einen neuen Anlauf.
Neuer Anlauf mit der Schufa Bonify-App
Schufa-Auskünfte sind kostenpflichtig. Mit der Bonify-App soll sich das ändern, denn die Schufa will einen digitalen Dateneinblick über die eigene Kreditwürdigkeit für alle Verbraucherinnen und Verbraucher bereitstellen (siehe diese Schufa FAQ). Wer sich mit der App registriert, soll jederzeit seine Schufa-Score zur Kreditwürdigkeit abrufen können – und dies kostenlos. Ab 2024 sollen Push-Benachrichtigungen bei sinkendem Score per App an die Benutzer gehen. Und registrierte Benutzer sollen die Daten selbst (in gewissem Umfang) pflegen können.
Das ZDF hat in diesem Beitrag dieses Konzept ausgiebig beleuchtet und erklärt, wie sich Nutzer für die App registrieren und diese verwenden können. Aber es gab auch die Warnung, dass dies gut überlegt sein will, da die Schufa dann Zugriff auf eigene Konten mit Kontenbewegungen erhält. Verbraucherschützer warnen vor diesem Ansatz, wie man z.B. beim BR und bei der Tagesschau nachlesen kann.
Die Bonify-App verrät Fremddaten
Die Sicherheitsforscherin Lilith Wittmann hat sich die neue Bonify-App vorgenommen und sich registrieren lassen. Im Anschluss an die Registrierung war es ihr innerhalb einer kurzen Zeitspanne möglich, die Daten von Dritten über die Bonify-App abzufragen. Wittmann hat das Ganze auf Mastodon dokumentiert.
Der obige Screenshot lässt sich auf Mastodon in Einzelbilder auflösen. In einem Folgepost zu obiger Meldung schreibt Wittmann:
Denn nachdem ihr eure Daten über das Bankident verfahren verifiziert habt, könnt ihr diese für etwa eine Sekunde über eine Programmierschnittstelle aktualisieren.
So kam ich im zum Beispiel an Jens Spahns Boniversum-Score. Und konnte mir auch eine Mieterauskunft erstellen lassen.
Merke: Der Nutzer registriert sich und sollte dann die eigenen Daten einsehen können. Auf Grund eines Bugs lassen sich aber für ca. eine Sekunde per API andere Daten vorgeben, so dass die App dann den Kreditscore für eine andere Person herausrückt, wie sie hier dokumentiert.
Die Kollegen von heise haben den Sachverhalt in diesem Beitrag noch etwas detaillierter beschrieben. Aktuell ist die Bonify-Geschichte deaktiviert worden. Die Webseite meldet einen Wartungsmodus. heise hat inzwischen ein Statement der Schufa zum Thema im Artikel nachgetragen.
Die Kurzfassung als Fazit: Die Schufa kann es nicht, nach dem Check Now-Flop nun das Bonify-Desaster. Man darf zwar annehmen, dass die Zahl der Leute, die diese Schwachstelle ausnutzen konnten, bei Null liegt. Aber der Vorfall zeigt, dass die Schufa zwar auf einem massiven Datenpool sitzt, jedoch deren Sicherheit im Geflecht von Tochterunternehmen nicht gewährleisten kann.
Ergänzung: IBM hat gerade eine neue Studie veröffentlicht, nach der Datenlecks eine Firma durchschnittlich 4 Millionen Euro kosten. Die Redaktion von heise hat die Inhalte der Studie in diesem Beitrag aufbereitet.
Ergänzung 2: Die Redaktion von Golem hat im Nachgang mit Wittmann, Schufa und Bonify gesprochen und das Ganze in diesem Beitrag aufbereitet. Die Bonify-App ist jedenfalls abgeschaltet. Wittmann hat zwischenzeitlich das Ganze auf Medium dokumentiert – wurde ja auch nachfolgend in einem Kommentar verlinkt.
Anzeige
Und gegen die DSGVO verstößt die App auch. Daten gehen beim Appstart ohne Einwilligung an Google, Facebook und CO. -> https://www.kuketz-blog.de/schufa-bonify-uebermittelt-ohne-einwilligung-personenbeziehbare-daten-an-facebook-und-co/
Wobei es ja schon datenschutzrechtlich fragwürdig ist, dass die App nicht frei erhältlich ist. Schon der reine Erhalt der App ist an eine Zustimmung zur Datenverarbeitung personenbezogener Daten durch Google oder Apple gebunden. Es findet also eine Koppelung der Verträge statt, die die Freiwilligkeit der Datenverarbeitung aushebelt.
Kann man denn erwarten, dass das Schufa Pack … ähhh sorry, die cleveren Geschäftemacher, die dank Lobbyismus und reichlich Kohle ihre eigentlich illegale Datendealerei legal betreiben dürfen, weil sie ja vorher den Datendiebstahl ankündigen, dass die sich um die Sicherheit der "Kundendaten" bemühen, wo es doch ihr Geschäftsmodell ist, den Datenschutz zu umgehen?
Klar, niemand wird gezwungen seine Daten für die Schufa frei zu geben, aber dann bekommt man eben auch kein Bankkonto – ganz einfach!
Mit der ePA ist ja auch die Grundlage geschaffen, dass es ärztliche Behandlung bald nur noch dann gibt, wenn man der Nutzung/Weitergabe seiner Patientendaten zustimmt.
Und wer sich heute ein neues Auto kauft, der stimmt automatisch zu, dass der Hersteller bei jeder Fahrt Telemetriedaten sammelt, ohne dass Inhalt und Nutzung der Daten genau bekannt sind.
Wem das nicht passt, der muss eben zu Fuss gehen oder Fahrrad fahren – aber Vorsicht, mache E-Bikes sammeln auch schon Telemetriedaten…
Die Regierungen haben aus Deutschland eine echte Bananenrepublik gemacht, wie man sie sonst nur in zentral Afrika findet…
Wie schön, dass ich in 5 Minuten schon wieder vergessen habe, dass ich eigentlich nur noch kotzen möchte – wenn ich nur schob Alzheimer hätte ;)
Wenn man sich die Webseite zu bonify durchliest, kommt man aus dem Lachen nicht mehr heraus. TÜV geprüfte Sicherheit zum Beispiel. Alles klar.
Eigentlich sollte doch da die DSGVO reinharken, aber da wird sicherlich wieder nichts passieren. Wie so oft.
Vom mir aus kann der ganze Haufen in der Versenkung verschwinden, ist kein Verlust und Dinge die die Welt nicht braucht. Zumindest nicht für uns Verbraucher.
Schon die Startseite der bonify Webseite ist derzeit DSGVO Baustelle, Cookies, externe Cloud Dienste, Google etc. ohne Zustimmung eingebunden…
Es sei darauf hingewiesen, das das Geburtsdatum von Span falsch ist.
Das können also gar nicht seine Daten sein. Frau Wittmann schreibt auch nirgends, dass dem so wäre, ja weist mehrfach darauf hin, das das nicht die Daten von Jens Spahn sind.
Das ist also bezüglich des Datenflussrs eine Fake Meldung.
Heiße verpackt das kleinlaut in ein Update…
Ich habe hier immer gerne gelesen, weil die Titel immer stimmten und ich mich auf den Inhalt verlassen konnte.
Dem ist nicht mehr so.
Die Schufa hat die Bonify-App inzwischen zurückgezogen.
https://lilithwittmann.medium.com/bonify-das-schufa-startup-dass-jedem-sagt-ob-du-kreditw%C3%BCrdig-bist-a0500a53c754
beschreibt etwas ausführlicher was (nicht) passiert ist.
Die Sache mit dem Geburtsdatum klärt sich auch:
Es wird nur der Name geprüft. Welch fahrlässiger Wahnsinn.
Es sind maximal Daten von Bonify geleak,
keine Daten der Schufa.
Ob einem Unternehmen das dem ZAG unterliegt wie die Forteil GmbH, die bonify seit 2 Jahren betrieben hat, die Gewonnenen Daten so mit anderen Daten Banken (Schufa, Credit reform, …) kombinieren darf mögen Juristen beurteilen.
"Schufa-Auskünfte sind kostenpflichtig."
Wenn ich mich recht erinnere hat jeder EU Bürger die Möglichkeit, eine Anfrage an ein Unternehmen zu stellen. Welche Daten über die Person vorliegen.
Die Anfrage nach "Recht auf Auskunft (Art. 15 DSGVO)" ist kostenfrei vom Zielunternehmen zu beantworten.
Du bekommst so eines.
Es ist zwar ein bisschen versteckt, kann man ja nix machen, aber findbar.
Dann gibt's das aus Sicherheitsgründen nur per Briefpost und, wie jeder weiß, der mal bei Amazon gekauft hat, dauert so ein Postversand schon mal 14 Tage, kann man nix machen.
Aber es ist einmal pro Jahr komplett kostenlos und -sensationell- wenn Du einen Fehler in Deinen korrigierst, dann darfst Du eine 2. kostenlose Auskunft beantragen!
Die Schufa hat kein echtes Interesse das die Daten richtig sind.
Wenn es Fehler gibt, wird es schon auffallen.