Am vergangenen Wochenende standen sehr sensible Bonitätsdaten von Millionen Verbraucherinnen und Verbrauchern bei der Wirtschaftsauskunftei Infoscore frei zugänglich im Internet. Aufgedeckt hat den Fall Lilith Wittmann, die angibt, dass auch Smava vom Datenabfluss betroffen ist. Hintergrund ist, dass die Anbieter ihre Hausaufgaben nicht gemacht haben oder deren Geschäftsmodell notorisch Datenlecks über Partnerunternehmen erzwingt.
Anzeige
Wirtschaftsauskunfteien und Bonitätsdaten
Wirtschaftsauskunfteien sammeln Daten über Verbraucher und Unternehmen und erstellen anhand dieser Daten sogenannte Bonitäts-Scores, die die Zahlungsfähigkeit angeben sollen. Neben der Schufa gehört auch die in Baden-Badener angesiedelte Wirtschaftsauskunftei Infoscore Consumer Data zum Kreis dieser Anbieter.
Diese Firmen sammeln also hoch sensible Daten über Verbraucher und Verbraucherinnen oder Firmen, die auch für Cyberkriminelle von Interesse sein dürften. Als Verbraucher oder Firma sollte man davon ausgehen, dass diese Daten besonders gesichert sind und die Firmen doppelt und dreifach überprüfen, ob das alles sicher ist.
Sicherheitslücken am laufenden Band
Aktuell rappelt es allerdings im Bereich der Wirtschaftsauskunfteien im Hinblick auf Sicherheitslücken und Datenabflüsse. Im Juli 2023 hatte ich im Blog-Beitrag Schufa Bonify-App: Sicherheitslücke ermöglicht beliebige Daten abzufragen berichtet, dass Lilith Wittmann sich über die App Schufa-Tochter Bonify die Bonitätsdaten von Herrn Spahn anzeigen lassen konnte.
Im September 2024 musste ich im Beitrag Chaos Computer Club findet Darlehensverträge von Check24 und Verivox im Netz berichten, dass Darlehensverträge von Verbrauchern und Verbraucherinnen durch die Preisvergleichsportale Check24 und Verivox frei im Netz standen und für Dritte abrufbar waren.
Anzeige
Die Itsmydata GmbH betreibt ein Angebot unter dem Webportal Itsmydata, über das Kunden Bonitätsauskünfte über Mietinteressenten von Auskunfteien wie Creditreform Boniversum, Experian etc. einzuholen können. Zum 13. November 2024 hatte ich im Blog-Beitrag @ItsMyData: Wittmann ruft Bonitäten von Creditreform & Co. ab berichtet, dass Lilith Wittmann in der Lage war, beim Webportal der Itsmydata GmbH Datenabfragen über fremde Personen abzurufen.
Datenleck bei Infoscore
Zur Wirtschaftsauskunftei Infoscore hatte ich eingangs ja was geschrieben. Angesichts der obigen Hiobsbotschaften lässt sich ahnen, was nun kommt.
Lilith Wittmann ist auf eine Schwachstelle bei der Wirtschaftsauskunftei Infoscore gestoßen und konnte laut obiger Aussage auf Mastodon am Wochenende (bis Samstag-Nachmittag) Kreditauskünfte aller Menschen in Deutschland bei Arvato Infoscore abrufen. Der Anbieter hatte wohl auch keinerlei Schutzvorkehrungen gegen Data-Scraping getroffen. Wittmann konnte tausende Anfragen stellen und erhielt zu den Personen einen Kreditscore sowie Negativmerkmale der jeweiligen Personen (sowas wie Infos zu Mahnverfahren oder Privatinsolvenzen).
Die Tagesschau hat die Details in diesem Artikel veröffentlicht. Wittmann war über eine Schwachstelle bei zwei Partnerunternehmen von Infoscore stolpert. Diese gab dann den Zugang zu den sensiblen Datenbanken frei. Über eine von der Hackerin eingerichtete Webseite seien die Bonitätsdaten schließlich offen zugänglich gewesen, schreibt die Tagesschau. Ein Video der entsprechenden API hat Wittmann auf Mastodon geteilt.
Zu Infoscore sollte man wissen, dass dieses Unternehmen, wie die Schufa, die Zahlungsfähigkeit von Verbraucherinnen und Verbrauchern bewertet. Diese Bewertungen werden im Handel, bei Banken und Versicherungen sowie bei Unternehmen wie der Deutschen Bahn genutzt, um zu prüfen, ob jemand eine Rechnung zahlen oder einen Kredit bedienen kann. Infoscore wirbt mit Negativdaten von nahezu acht Millionen Menschen. Dort finden sich also Angaben über erfolglose Mahnverfahren oder Privatinsolvenzen, sowie den individuellen Infoscore Bonitäts-Score.
In einem weiteren Post bemängelt Wittmann, dass die Credit Scoring-API von Arvato Finance (Infoscore) und Experian kaputt sei. Die geben an der vorgegebenen Adresse 15 Bonuspunkte auf den Score, wenn das Alter um 25 Jahre erhöht wird. Frau als Geschlecht erhöht den Bonus beim Credit-Score um 11 Punkte – das gibt, so fürchte ich, Ärger bei der Gleichstellungsbeauftragten.
Infoscore untersucht – Datenschutzaufsicht ahnungslos
Die Tagesschau zitiert einen Sprecher von Infoscore, der erklärte, dass das Unternehmen über "einen mutmaßlichen IT-Sicherheitsvorfall bei zwei Partnerunternehmen" unterrichtet wurde und diesen untersuche. Die "gute" Nachricht: "Nach unserem derzeitigen Kenntnisstand handelt es sich um Fälle, die keines der Systeme von Infoscore Consumer Data beeinträchtigt oder gefährdet haben", meint der Sprecher. Er gibt an, dass man sofort Maßnahmen ergriffen habe, um den Zugriff der betroffenen Partnerunternehmen auf Infoscore-Daten zu unterbinden.
Nur mal zum Mitschreiben: Das Kerngeschäft von Infoscore besteht darin, die vielen gesammelten sensitiven Bonitätsdaten von Verbrauchern zahlenden Interessenten gegen Geld und gute Worte zu verscherbeln. Welche Nebelkerze ist das denn, die gerade geworfen wurde?
Was für mich zu erwarten war: Die für Infoscore und die betroffenen Partnerunternehmen zuständigen Landesdatenschutzbehörden in Stuttgart und Berlin wussten laut Tagesschau, bis Montagmittag nichts von diesem Datenleck. Die Tagesschau spielt damit auf die 72-Stunden-Meldefrist für aufgedeckte DSGVO-Vorfälle an.
Smava auch im illustren Kreis
Beim Namen Smava fällt mir immer die aufdringliche Werbung dieses Kreditvermittlers ein. Die werben mit Kreditvergabe ohne Schufa-Auskunft, müssen aber viele Daten über Kreditnehmer vorliegen haben.
Lilith Wittmann war es gemäß obigem Post auf Mastodon zudem möglich, auf den von smava betriebenen Score-Kompass zuzugreifen. Durch eine Schwachstelle konnte sie einen neuen Account als verifiziert markieren. Ermöglichte den Identifizierungsprozess per Ausweis/Bankkonto überspringen. Na ja, Digitalisierung halt eben – die soll ja Dinge vereinfachen. Wittmann war nach obiger Aussage dann in der Lage, direkt auf den Score der Person zuzugreifen, den sie als neuer, verifizierter Benutzer angelegt hatte. All your data belongs to us.
Die Branche ungeeignet, sensible Daten zu verarbeiten
Lilith Wittmann schreibt dazu "Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten."
Ich versuche jetzt mal den Dreisprung: Wittmann hat nachgewiesen, dass die Wirtschaftsauskunfteien ihre Daten nicht im Griff haben und Dritte über Sicherheitslücke auf fremde Daten zugreifen können. Und am gestrigen 18. November 2024 hat der Bundesgerichtshof (BGH) in der Causa Facebook einen grundsätzlichen Anspruch von Personen auf Schadensersatz bei DSGVO-Verletzungen bejaht (siehe mein Blog-Beitrag BGH-Entscheidung: Schadensersatz für Betroffene nach Facebook-Datenabfluss).
Bei Facebook war ich vom Data-Scaping nicht betroffen – ich habe das bei Solmecke auf der Webseite geprüft. Aber bei den Wirtschaftsauskunfteien ist wohl so gut wie jeder Bundesbürger, der irgendwie Käufe getätigt hat und ein Bankkonto oder Mobilfunkkonto besitzt, irgendwo mit einem Bonitätswert erfasst. Wenn nun aber Dritte auf seine persönlichen Daten samt Scoring-Wert zugreifen können, ohne dass eine konkrete geschäftliche Verbindung vorliegt, müsste dies als veritabler DSGVO-Verstoß gewertet werden.
Ich glaube, nur mal als Gedankenspiel: Ich stelle mal eine DSGVO bei den jeweiligen Wirtschaftsauskunfteien und überlege mir im Fall der Fälle, mit Solmecke und Kollegen Kontakt aufzunehmen. Schätze, da eröffnen sich lukrative Geschäftsfelder für Anwälte.
Und noch ein Gedankenspiel: Wir führen in Deutschland doch gerade die elektronische Patientenakte (ePA) ein, wo noch mehr Partner Zugriff auf die Datenbestände haben. Wie wahrscheinlich ist es, dass es dort nicht früher oder später zu veritablen Datenabflüssen kommt? Ich verweise mal auf meinen Blog-Beitrag Sicherheitsgutachten zur elektronischen Patientenakte (ePA) von Ende Oktober 2024.
Anzeige
Das ist es, was die "Anwendungsentwicklung" zunehmend ausmacht: Schnittstelle hier, Schnittstelle dort, da und noch woanders. Kommt es zum Datenleck, heißt es sinngemäß: "Wir möchten betonen, dass uns der Schutz personenbezogener und insbesondere sensitiver Daten sehr wichtig* ist. Wir selbst sind nicht betroffen**. Für das Datenleck sind die Schnittstellen von Dritten*** verantwortlich. Wir handeln nach bestem Wissen und Gewissen****.".
* Bitte was?
** Schuldig sind grundsätzlich immer andere.
*** Warum sollten wir für unser Produkt Verantwortung übernehmen?
**** Was macht eigentlich diese API? Ist die sicher?
Als ich bei früheren Arbeitgebern nach einer Softwarestückliste (engl. Software Bill of Materials, kurz SBOM; quasi die "Supply Chain" für jede Anwendung) fragte, guckte man mich wie ein Reh im Scheinwerferlicht an. Davon hörten selbst langjährige Anwendungsentwickler das erste Mal. Sie haben keinen Überblick mehr darüber, was sie da eigentlich in ihre Produkte und Systeme integrieren. Hauptsache, man hat schnell "irgendeine Lösung" zusammengeschustert. Das setzt sich leider auch in der IT und in anderen Branchen, bei denen vernetzte Systeme und Dienste eine Rolle spielen, nahtlos fort.
Natürlich will am Ende niemand haften.
Naja das fällt ja jetzt mit dem angepassten Produkthaftungsgesetz:
*********************
Nach dem Entwurf 2022/0302(COD) in seiner letzten Fassung vom 18.01.2024 unterliegen künftig nicht mehr nur „bewegliche Sachen" der verschuldensunabhängigen Produkthaftung, sondern erstmals ausdrücklich auch Software und digitale Produktionsdateien (Art. 4 Abs. (1)).
*********************
Dann geht es auch da an den Kragen! Wurde auch Zeit. Ist halt nur die Frage wie einfach das dann auch für den kleinen Privatmann einklagbar ist. Wenn dazu jahrelange Klagewege notwendig sind, oder für den Einzelnen gar nicht vorgesehen, wird das leider ein "Rohrkrepierer".
@Born
naja bei der ePA ist der Datenabfluß ja gewolltes Ziel! Wissenschaft & Wirtschaft sollen ja den Milliardenschweren Datenschatz heben.
Oder gehören sie auch zu den Leuten die glauben das die ePA zum Wohle der Patienten sei? Ist und war nie das Ziel!
Hi…
DAS wird solange immer wieder vorkommen, solang' der zum monströsen "Wohle der Wirtschaft" beförderte "Handel mit Daten" nicht konsequent verboten und unterbunden wird – willkommen auf der Zielgeraden zum Endstadium des Kapitalismus! 🤷🏻♂️