Mittels der neuen App Bonify, einer Tochtergesellschaft der Schufa, können Verbraucher ihren Schufa-Score kostenfrei online einsehen. Mithilfe von Tipps kann man sodann seinen Schufa-Score verbessern. Nun gab es – bereits kurz nach dem Start der App – die erste Sicherheitslücke.
Im vergangenen Jahr hatte die Schufa die Finanzplattform Bonify übernommen. Bis vor kurzem wurde in den Medien noch nicht viel über das Unternehmen berichtet. Kritikern war das Unternehmen jedoch bereits zu Beginn ein Dorn im Auge.
Mittelpunkt der Diskussion ist hauptsächlich die neue App Bonify. Über die App soll es den Kunden möglich sein, ihren eigenen Schufa-Score besser im Blick zu behalten und ihre Bonität zu verbessern. Bonitätsauskünfte sind beispielsweise notwendig, um Handyverträge und Kredite zu bekommen. Auch bei der Wohnungssuche wird in fast allen Fällen eine positive Schufaauskunft gefordert. Eine Petition gegen das neue Geschäftsmodell der Schufa erreichte mehr als 300.000 Stimmen.
Etwas verwunderlich also, dass die Downloadzahl der App zeitgleich anstieg. Immerhin erreichte sie Platz 2 der Download-Charts. Dieses Glück währte jedoch nicht allzu lange. Genauso schnell wie die Beliebtheit der App unter den Kunden anstieg, ist das Unternehmen wieder in Verruf geraten. Hintergrund: eine Sicherheitslücke in der App.
Haben Sie einen Handyvertrag?
Dann wurde Ihre Daten möglicherweise illegal an die Schufa weitergegeben!
→ Jetzt prüfen und bis zu 5.000 € Schadensersatz einfordern.
IT-Sicherheitsexpertin veröffentlicht die Sicherheitslücke
Am vergangenen Wochenende veröffentlichte eine IT-Sicherheitsexpertin auf Twitter, dass es ihr gelungen sei über ein digitales Einfallstor in der Bonify-App Bonitätsauskünfte zu manipulieren. Die Sicherheitslücke ist selbstredend ein Desaster für die Schufa sowie ihre Tochterfirma Bonify. Dass eine Sicherheitslücke bestanden hat, bestreitet die Schufa nicht. Entwarnung gab sie jedoch in Bezug auf eine Übermittlung der Schufa-Daten selbst und verwies auf ihre „höheren Sicherheitsstandards“. „Lediglich“ die Daten des Schufa-Konkurrenten Boniversum seien von der Sicherheitslücke betroffen gewesen. Wie das möglich ist, erklärt sich durch einen Blick auf die Anfänge des Unternehmens. Bevor Bonify von der Schufa aufgekauft wurde, hatte das Unternehmen die Bonitätsdaten noch vom Unternehmen Boniversum erhalten. Auch nachdem die Schufa Bonify gekauft hatte, bestand der Vertrag jedoch weiter.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Manipulation von Bonitätsnachweisen
Der IT-Sicherheitsexpertin ist es gelungen, Bonitätsnachweise zu manipulieren. Hierfür gab sie Daten des CDU-Politikers und früheren Bundesgesundheitsministers Jens Spahn ein und erhielt sodann eine Bonitätsauskunft, die auf dessen Namen lautete. Der Bonify-Chef stellte hierzu klar, dass der veröffentlichte Score vielmehr einzig auf den von der Expertin selbst eingegebenen Informationen basiere, die öffentlich verfügbar seien. Daher seien zu keiner Zeit persönliche oder finanzielle Daten von Jens Spahn gehackt oder übermittelt worden.
Insoweit sei lediglich der Name von Jens Spahn durch die Sicherheitslücke und Manipulation der IT-Sicherheitsexpertin in das Dokument aufgenommen worden.
Für die Anmeldung in der Bonify-App können Kunden grundsätzlich zwischen zwei Wegen wählen. Entweder können sie den Weg über das Ident-Verfahren des Anbieters IDNow gehen oder eine Registrierung per Bankkonto vornehmen. Ob die Sicherheitslücke sich nur auf das Identverfahren beschränkte, ist bisher nicht bekannt.
Bonify stand unter Druck
Doch wie konnte es überhaupt zu der Sicherheitslücke kommen? Hierzu äußerte sich die Schufa bisher noch nicht. Gründe könnten unter anderem der hohe Druck gewesen sein, unter dem die Geschäftsführung von Bonify nach der Übernahme durch die Schufa stand. So soll das Unternehmen zum Beispiel Probleme gehabt haben, entsprechend hochqualifizierte Mitarbeiter zu finden. Die geäußerte Sorge eines Bonify-Mitarbeiters, dass Verbraucher “kein Vertrauen in Zugang und Integrität der […] Daten” haben, scheint nun zur harten Wirklichkeit geworden zu sein.
Auf die Sicherheitslücke reagierte Bonify inzwischen und beseitigte laut eigener Aussage die Fehlerquelle. Der Datenaustausch zwischen Bonify und der Schufa sowie Boniversum wurde dennoch für kurze Zeit gestoppt. Nicht überraschen mag zudem der Umstand, dass sowohl die Berliner Datenschutzbeauftragte als auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) über den Vorfall informiert worden sind. Die Prüfungen im gesamten Verfahren sind in vollem Gange.
ezo