![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Fehlstart der Schufa Bonify-App, mit der registrierte Nutzer eine Bonit\u00e4tsauskunft erfragen konnten. Eine Sicherheitsl\u00fccke erm\u00f6glichte den Abruf von Bonit\u00e4tsdaten Dritter.\u00a0 Sicherheitsforscherin Lilith Wittmann hat sich gleich mal die Daten zur \"Mieterauskunft\" von Ex-Minister Jens Spahn anzeigen lassen, wie sie orakelt. Das ist der n\u00e4chste Flop nach der Check Now-Geschichte aus 2021.<\/p>\n
<\/p>\n
Die Schufa verf\u00fcgt \u00fcber 943 Millionen Einzeldaten zu 67,9 Millionen nat\u00fcrlichen Personen und zu 6 Millionen Unternehmen.\u00a0Dazu geh\u00f6ren Daten \u00fcber Bankkonten, Leasing- oder Ratenzahlungsvertr\u00e4ge, Anzahl und Nutzung von Kreditkarten, aber auch Mahnungen, K\u00fcndigungen von Vertr\u00e4gen oder\u00a0Privatinsolvenzen. Aus all diesen Daten berechnet die Schufa den sogenannten Score, ein Wert, der dar\u00fcber Auskunft gibt, wie kreditw\u00fcrdig jemand ist.<\/p>\n Die Schufa bearbeitet j\u00e4hrlich mehr als 165 Mio. Anfragen zur Kreditw\u00fcrdigkeit. Davon sind 2,7 Millionen Ausk\u00fcnfte an Verbraucher, die ihre Daten einsehen wollen. Sie besch\u00e4ftigt rund 900 Mitarbeiter (Stand: 2019). Im Jahr 2019 belief sich der Umsatz auf 212 Mio. \u20ac. So die Wikipedia. Die Schufa ist aber auch \u2013 das ist die andere Seite der Medaille \u2013 h\u00f6chst umstritten ob ihrer intransparenten Berechnung der Kredit-Scores, teilweise unter Verwendung fehlerhafter Daten.<\/p>\n Mit dem Projekt \"Schufa Check Now\" wollte die Wirtschaftsauskunftei Schufa 2021 die Kontoausz\u00fcge von Verbrauchern analysieren. Ziel war es, dass Verbraucher in Zukunft auch anhand ihrer Kontoausz\u00fcge bez\u00fcglich bestimmter Kriterien in ihrer Bonit\u00e4t bewertet werden sollten. Kunden mit schlechter Bonit\u00e4t k\u00f6nnten durch eine freiwillige Einwilligung zum Zugriff auf ihre Kontoausz\u00fcge durch 'Schufa Check Now' eine Neubewertung ihres Schufa-Score vornehmen lassen \u2013 so die Idee.<\/p>\n Aber das ging schief, als die Pl\u00e4ne bekannt wurden, Datenschutzbeauftragte einschritten und es viel Gegenwind gab. Die\u00a0Schufa ist mit dem Ansatz, dass Verbraucher ihrer Kreditw\u00fcrdigkeit selbst abfragen und bewerten lassen k\u00f6nnen, auf den Bauch gefallen. Ich hatte im Beitrag Schufa: Aus f\u00fcr Check Now; Verkauf an Finanzinvestor?<\/a> \u00fcber das Aus von Check Now berichtet. Jetzt gibt es einen neuen Anlauf.<\/p>\n Schufa-Ausk\u00fcnfte sind kostenpflichtig. Mit der Bonify-App soll sich das \u00e4ndern, denn die Schufa will einen digitalen Dateneinblick \u00fcber die eigene Kreditw\u00fcrdigkeit f\u00fcr alle Verbraucherinnen und Verbraucher bereitstellen (siehe diese Schufa FAQ<\/a>). Wer sich mit der App registriert, soll jederzeit seine Schufa-Score zur Kreditw\u00fcrdigkeit abrufen k\u00f6nnen – und dies kostenlos. Ab 2024 sollen Push-Benachrichtigungen bei sinkendem Score per App an die Benutzer gehen. Und registrierte Benutzer sollen die Daten selbst (in gewissem Umfang) pflegen k\u00f6nnen.<\/p>\n Das ZDF hat in diesem Beitrag<\/a> dieses Konzept ausgiebig beleuchtet und erkl\u00e4rt, wie sich Nutzer f\u00fcr die App registrieren und diese verwenden k\u00f6nnen. Aber es gab auch die Warnung, dass dies gut \u00fcberlegt sein will, da die Schufa dann Zugriff auf eigene Konten mit Kontenbewegungen erh\u00e4lt. Verbrauchersch\u00fctzer warnen vor diesem Ansatz, wie man z.B. beim BR<\/a> und bei der Tagesschau<\/a> nachlesen kann.<\/p>\n Die Sicherheitsforscherin Lilith Wittmann hat sich die neue Bonify-App vorgenommen und sich registrieren lassen. Im Anschluss an die Registrierung war es ihr innerhalb einer kurzen Zeitspanne m\u00f6glich, die Daten von Dritten \u00fcber die Bonify-App abzufragen. Wittmann hat das Ganze auf Mastodon dokumentiert<\/a>.<\/p>\n Der obige Screenshot l\u00e4sst sich auf Mastodon in Einzelbilder aufl\u00f6sen. In einem Folgepost zu obiger Meldung schreibt Wittmann:<\/p>\n Denn nachdem ihr eure Daten \u00fcber das Bankident verfahren verifiziert habt, k\u00f6nnt ihr diese f\u00fcr etwa eine Sekunde \u00fcber eine Programmierschnittstelle aktualisieren. Merke: Der Nutzer registriert sich und sollte dann die eigenen Daten einsehen k\u00f6nnen. Auf Grund eines Bugs lassen sich aber f\u00fcr ca. eine Sekunde per API andere Daten vorgeben, so dass die App dann den Kreditscore f\u00fcr eine andere Person herausr\u00fcckt, wie sie hier<\/a> dokumentiert.<\/p>\n Die Kollegen von heise haben den Sachverhalt in diesem Beitrag<\/a> noch etwas detaillierter beschrieben. Aktuell ist die Bonify-Geschichte deaktiviert worden. Die Webseite meldet einen Wartungsmodus. heise hat inzwischen ein Statement der Schufa zum Thema im Artikel nachgetragen.<\/p>\n Die Kurzfassung als Fazit: Die Schufa kann es nicht, nach dem Check Now-Flop nun das Bonify-Desaster. Man darf zwar annehmen, dass die Zahl der Leute, die diese Schwachstelle ausnutzen konnten, bei Null liegt. Aber der Vorfall zeigt, dass die Schufa zwar auf einem massiven Datenpool sitzt, jedoch deren Sicherheit im Geflecht von Tochterunternehmen nicht gew\u00e4hrleisten kann.<\/p>\n Erg\u00e4nzung:<\/strong> IBM hat gerade eine neue Studie ver\u00f6ffentlicht, nach der Datenlecks eine Firma durchschnittlich 4 Millionen Euro kosten. Die Redaktion von heise hat die Inhalte der Studie in diesem Beitrag<\/a> aufbereitet.<\/p>\n Erg\u00e4nzung 2:<\/strong> Die Redaktion von Golem hat im Nachgang mit Wittmann, Schufa und Bonify gesprochen und das Ganze in diesem Beitrag<\/a> aufbereitet. Die Bonify-App ist jedenfalls abgeschaltet. Wittmann hat zwischenzeitlich das Ganze auf Medium<\/a> dokumentiert – wurde ja auch nachfolgend in einem Kommentar verlinkt.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Fehlstart der Schufa Bonify-App, mit der registrierte Nutzer eine Bonit\u00e4tsauskunft erfragen konnten. Eine Sicherheitsl\u00fccke erm\u00f6glichte den Abruf von Bonit\u00e4tsdaten Dritter.\u00a0 Sicherheitsforscherin Lilith Wittmann hat sich gleich mal die Daten zur \"Mieterauskunft\" von Ex-Minister Jens Spahn anzeigen lassen, wie sie orakelt. … Weiterlesen Die Schufa Holding AG (kurz\u00a0Schufa<\/a>,\u00a0Schutzgemeinschaft f\u00fcr allgemeine Kreditsicherung<\/em>) ist eine privatwirtschaftliche deutsche Wirtschaftsauskunftei in der Rechtsform einer Aktiengesellschaft mit dem Gesch\u00e4ftssitz in Wiesbaden. Zu den Aktion\u00e4ren geh\u00f6ren Kreditinstitute, Handelsunternehmen und sonstige Dienstleister. Ihr Gesch\u00e4ftszweck ist, ihre Vertragspartner mit Informationen zur Bonit\u00e4t (Kreditw\u00fcrdigkeit) Dritter zu versorgen. Vor einiger Zeit wurden Pl\u00e4ne zum Verkauf an einen Finanzinvestor bekannt.<\/p>\n
![\"Euro-Noten\"](\"https:\/\/i.imgur.com\/sBffKkL.jpg\" "\\"Euro-Noten\\"")
\n(Quelle: Pexels CC0 Lizenz)<\/p>\nDer Check Now-Flop<\/h2>\n
Neuer Anlauf mit der Schufa Bonify-App<\/h2>\n
Die Bonify-App verr\u00e4t Fremddaten<\/h2>\n
![\"L\u00fccke](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/07\/0Quz9S3.png\")
<\/a><\/p>\n
\nSo kam ich im zum Beispiel an Jens Spahns Boniversum-Score. Und konnte mir auch eine Mieterauskunft erstellen lassen.<\/p><\/blockquote>\n