![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Am vergangenen Wochenende standen sehr sensible Bonit\u00e4tsdaten von Millionen Verbraucherinnen und Verbrauchern bei der Wirtschaftsauskunftei Infoscore frei zug\u00e4nglich im Internet. Aufgedeckt hat den Fall Lilith Wittmann, die angibt, dass auch Smava vom Datenabfluss betroffen ist. Hintergrund ist, dass die Anbieter ihre Hausaufgaben nicht gemacht haben oder deren Gesch\u00e4ftsmodell notorisch Datenlecks \u00fcber Partnerunternehmen erzwingt.<\/p>\n
<\/p>\n
Wirtschaftsauskunfteien sammeln Daten \u00fcber Verbraucher und Unternehmen und erstellen anhand dieser Daten sogenannte Bonit\u00e4ts-Scores, die die Zahlungsf\u00e4higkeit angeben sollen. Neben der Schufa geh\u00f6rt auch die in Baden-Badener angesiedelte Wirtschaftsauskunftei Infoscore Consumer Data zum Kreis dieser Anbieter.<\/p>\n
Diese Firmen sammeln also hoch sensible Daten \u00fcber Verbraucher und Verbraucherinnen oder Firmen, die auch f\u00fcr Cyberkriminelle von Interesse sein d\u00fcrften.\u00a0Als Verbraucher oder Firma sollte man davon ausgehen, dass diese Daten besonders gesichert sind und die Firmen doppelt und dreifach \u00fcberpr\u00fcfen, ob das alles sicher ist.<\/p>\n
Aktuell rappelt es allerdings im Bereich der Wirtschaftsauskunfteien im Hinblick auf Sicherheitsl\u00fccken und Datenabfl\u00fcsse. Im Juli 2023 hatte ich im Blog-Beitrag Schufa Bonify-App: Sicherheitsl\u00fccke erm\u00f6glicht beliebige Daten abzufragen<\/a> berichtet, dass Lilith Wittmann sich \u00fcber die App Schufa-Tochter Bonify die Bonit\u00e4tsdaten von Herrn Spahn anzeigen lassen konnte.<\/p>\n Im September 2024 musste ich im Beitrag\u00a0Chaos Computer Club findet Darlehensvertr\u00e4ge von Check24 und Verivox im Netz<\/a> berichten, dass Darlehensvertr\u00e4ge von Verbrauchern und Verbraucherinnen durch die Preisvergleichsportale Check24 und Verivox frei im Netz standen und f\u00fcr Dritte abrufbar waren.<\/p>\n Die Itsmydata GmbH betreibt ein Angebot unter dem Webportal Itsmydata, \u00fcber das Kunden Bonit\u00e4tsausk\u00fcnfte\u00a0 \u00fcber Mietinteressenten von Auskunfteien wie Creditreform Boniversum, Experian etc. einzuholen k\u00f6nnen.\u00a0Zum 13. November 2024 hatte ich im Blog-Beitrag\u00a0@ItsMyData: Wittmann ruft Bonit\u00e4ten von Creditreform & Co. ab<\/a> berichtet, dass Lilith Wittmann in der Lage war, beim Webportal der Itsmydata GmbH Datenabfragen \u00fcber fremde Personen abzurufen.<\/p>\n Zur Wirtschaftsauskunftei Infoscore hatte ich eingangs ja was geschrieben. Angesichts der obigen Hiobsbotschaften l\u00e4sst sich ahnen, was nun kommt.<\/p>\n Lilith Wittmann ist auf eine Schwachstelle bei der Wirtschaftsauskunftei Infoscore gesto\u00dfen und konnte laut obiger Aussage auf Mastodon am\u00a0Wochenende (bis Samstag-Nachmittag) Kreditausk\u00fcnfte aller Menschen in Deutschland bei Arvato Infoscore abrufen. Der Anbieter hatte wohl auch keinerlei Schutzvorkehrungen gegen Data-Scraping getroffen. Wittmann konnte tausende Anfragen stellen und erhielt zu den Personen einen Kreditscore sowie Negativmerkmale der jeweiligen Personen (sowas wie Infos zu Mahnverfahren oder Privatinsolvenzen).<\/p>\n Die Tagesschau hat die Details in diesem Artikel<\/a> ver\u00f6ffentlicht. Wittmann war \u00fcber eine Schwachstelle bei zwei Partnerunternehmen von Infoscore stolpert. Diese gab dann den Zugang zu den sensiblen Datenbanken frei. \u00dcber eine von der Hackerin eingerichtete Webseite seien die Bonit\u00e4tsdaten schlie\u00dflich offen zug\u00e4nglich gewesen, schreibt die Tagesschau. Ein Video der entsprechenden API hat Wittmann auf Mastodon<\/a> geteilt.<\/p>\n Zu\u00a0Infoscore sollte man wissen, dass dieses Unternehmen, wie die Schufa, die Zahlungsf\u00e4higkeit von Verbraucherinnen und Verbrauchern bewertet. Diese Bewertungen werden im Handel, bei Banken und Versicherungen sowie bei Unternehmen wie der Deutschen Bahn genutzt, um zu pr\u00fcfen, ob jemand eine Rechnung zahlen oder einen Kredit bedienen kann. Infoscore wirbt mit Negativdaten von nahezu acht Millionen Menschen. Dort finden sich also Angaben \u00fcber erfolglose Mahnverfahren oder Privatinsolvenzen, sowie den individuellen Infoscore Bonit\u00e4ts-Score.<\/p>\n In einem weiteren Post<\/a> bem\u00e4ngelt Wittmann, dass die Credit Scoring-API von Arvato Finance (Infoscore) und <\/span>Experian kaputt sei. Die geben an der vorgegebenen Adresse\u00a015 Bonuspunkte auf den Score, wenn das Alter um 25 Jahre erh\u00f6ht wird. Frau als Geschlecht erh\u00f6ht den Bonus beim Credit-Score um\u00a0<\/span>11 Punkte – das gibt, so f\u00fcrchte ich, \u00c4rger bei der\u00a0 Gleichstellungsbeauftragten.<\/span><\/p><\/blockquote>\n Die Tagesschau zitiert einen Sprecher von Infoscore, der erkl\u00e4rte, dass das Unternehmen \u00fcber \"einen mutma\u00dflichen IT-Sicherheitsvorfall bei zwei Partnerunternehmen\" unterrichtet wurde und diesen untersuche.\u00a0 Die \"gute\" Nachricht: \"Nach unserem derzeitigen Kenntnisstand handelt es sich um F\u00e4lle, die keines der Systeme von Infoscore Consumer Data beeintr\u00e4chtigt oder gef\u00e4hrdet haben\", meint der Sprecher. Er gibt an, dass man sofort Ma\u00dfnahmen ergriffen habe, um den Zugriff der betroffenen Partnerunternehmen auf Infoscore-Daten zu unterbinden.<\/p>\n Nur mal zum Mitschreiben: Das Kerngesch\u00e4ft von Infoscore besteht darin, die vielen gesammelten sensitiven Bonit\u00e4tsdaten von Verbrauchern zahlenden Interessenten gegen Geld und gute Worte zu verscherbeln. Welche Nebelkerze ist das denn, die gerade geworfen wurde?<\/p>\n Was f\u00fcr mich zu erwarten war:\u00a0Die f\u00fcr Infoscore und die betroffenen Partnerunternehmen zust\u00e4ndigen Landesdatenschutzbeh\u00f6rden in Stuttgart und Berlin wussten laut Tagesschau, bis Montagmittag nichts von diesem Datenleck. Die Tagesschau spielt damit auf die 72-Stunden-Meldefrist f\u00fcr aufgedeckte DSGVO-Vorf\u00e4lle an.<\/p>\n Beim Namen Smava f\u00e4llt mir immer die aufdringliche Werbung dieses Kreditvermittlers ein. Die werben mit Kreditvergabe ohne Schufa-Auskunft, m\u00fcssen aber viele Daten \u00fcber Kreditnehmer vorliegen haben.<\/p>\n Lilith Wittmann war es gem\u00e4\u00df obigem Post auf Mastodon<\/a> zudem m\u00f6glich, auf den von smava betriebenen Score-Kompass zuzugreifen. Durch eine Schwachstelle konnte sie einen neuen Account als verifiziert markieren. Erm\u00f6glichte den Identifizierungsprozess per Ausweis\/Bankkonto \u00fcberspringen. Na ja, Digitalisierung halt eben – die soll ja Dinge vereinfachen. Wittmann war nach obiger Aussage dann in der Lage, direkt auf den Score der Person zuzugreifen, den sie als neuer, verifizierter Benutzer angelegt hatte. All your data belongs to us.<\/p>\n Lilith Wittmann schreibt<\/a> dazu \"Wenn ich in zwei Jahren dreimal \u2013 dank absolut trivialer Sicherheitsl\u00fccken \u2013 Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schlie\u00dfen, dass diese Unternehmen nicht geeignet daf\u00fcr sind, solch sensible Daten zu verarbeiten.\"<\/p>\n Ich versuche jetzt mal den Dreisprung: Wittmann hat nachgewiesen, dass die Wirtschaftsauskunfteien ihre Daten nicht im Griff haben und Dritte \u00fcber Sicherheitsl\u00fccke auf fremde Daten zugreifen k\u00f6nnen. Und am gestrigen 18. November 2024 hat der Bundesgerichtshof (BGH) in der Causa Facebook einen grunds\u00e4tzlichen Anspruch von Personen auf Schadensersatz bei DSGVO-Verletzungen bejaht (siehe mein Blog-Beitrag\u00a0BGH-Entscheidung: Schadensersatz f\u00fcr Betroffene nach Facebook-Datenabfluss<\/a>).<\/p>\n Bei Facebook war ich vom Data-Scaping nicht betroffen – ich habe das bei Solmecke auf der Webseite gepr\u00fcft. Aber bei den Wirtschaftsauskunfteien ist wohl so gut wie jeder Bundesb\u00fcrger, der irgendwie K\u00e4ufe get\u00e4tigt hat und ein Bankkonto oder Mobilfunkkonto besitzt, irgendwo mit einem Bonit\u00e4tswert erfasst. Wenn nun aber Dritte auf seine pers\u00f6nlichen Daten samt Scoring-Wert zugreifen k\u00f6nnen, ohne dass eine konkrete gesch\u00e4ftliche Verbindung vorliegt, m\u00fcsste dies als veritabler DSGVO-Versto\u00df gewertet werden.<\/p>\n Ich glaube, nur mal als Gedankenspiel: Ich stelle mal eine DSGVO bei den jeweiligen Wirtschaftsauskunfteien und \u00fcberlege mir im Fall der F\u00e4lle, mit Solmecke und Kollegen Kontakt aufzunehmen. Sch\u00e4tze, da er\u00f6ffnen sich lukrative Gesch\u00e4ftsfelder f\u00fcr Anw\u00e4lte.<\/p>\n Und noch ein Gedankenspiel: Wir f\u00fchren in Deutschland doch gerade die elektronische Patientenakte (ePA) ein, wo noch mehr Partner Zugriff auf die Datenbest\u00e4nde haben. Wie wahrscheinlich ist es, dass es dort nicht fr\u00fcher oder sp\u00e4ter zu veritablen Datenabfl\u00fcssen kommt? Ich verweise mal auf meinen Blog-Beitrag\u00a0Sicherheitsgutachten zur elektronischen Patientenakte (ePA)<\/a> von Ende Oktober 2024.<\/p>\n","protected":false},"excerpt":{"rendered":" Am vergangenen Wochenende standen sehr sensible Bonit\u00e4tsdaten von Millionen Verbraucherinnen und Verbrauchern bei der Wirtschaftsauskunftei Infoscore frei zug\u00e4nglich im Internet. Aufgedeckt hat den Fall Lilith Wittmann, die angibt, dass auch Smava vom Datenabfluss betroffen ist. Hintergrund ist, dass die Anbieter … Weiterlesen Datenleck bei Infoscore<\/h2>\n
![\"Datenleck](\"https:\/\/i.postimg.cc\/Z5vSqNgt\/image.png\")
<\/p>\n![\"Interessantes](\"https:\/\/i.postimg.cc\/CxBLB55D\/image.png\")
<\/a><\/p>\nInfoscore untersucht – Datenschutzaufsicht ahnungslos<\/h2>\n
Smava auch im illustren Kreis<\/h2>\n
![\"Schwachstelle](\"https:\/\/i.postimg.cc\/8C95XD6M\/image.png\")
<\/a><\/p>\nDie Branche ungeeignet, sensible Daten zu verarbeiten<\/h2>\n