Bonitätsauskünfte zeitweise manipulierbar Datenleck bei Schufa-Tochter Bonify
Seit Kurzem ist die Bonify-App verfügbar. Mit ihr können Schufa-Einträge eingesehen werden. Doch direkt nach dem Start gab es das erste Datenleck - ein Desaster für die Schufa-Tochter.
Vor Kurzem war die Schufa-Tochter Bonify noch weitgehend unbekannt. Doch das hat sich vergangene Woche schlagartig geändert - seit die Schufa und ihre Tochterfirma bekanntgegeben haben, dass Verbraucher künftig über die App des Berliner Start-ups ihren Schufa-Score kostenfrei online einsehen können. Auch wenn die Berichterstattung in deutschen Medien zunächst zurückhaltend und oft kritisch war: Die App wurde schnell beliebt. Vor einigen Tagen hatte es die Finanz-App sogar an Platz 2 der Download-Charts geschafft.
Am Wochenende zeigte sich jedoch, dass das Unternehmen womöglich schwere Probleme bei der IT-Sicherheit hat. Der IT-Sicherheitsexpertin Lilith Wittmann war es nach eigenen Angaben gelungen, über ein digitales Einfallstor in der Bonify-App an Bonitätsauskünfte von Fremden zu gelangen und diese so zu manipulieren, dass man einem Namen einen anderen Bonitätsscore zuordnen konnte. Solche Bonitätsauskünfte sind notwendig, um Handyverträge und Kredite zu bekommen oder um sich bei der Wohnungssuche als solventer Mieter zu präsentieren. Wittmann hatte darüber am Samstag zunächst auf Twitter berichtet.
"Ungeeignet, solche Daten zu verarbeiten"
Die IT-Expertin konnte NDR und "Süddeutscher Zeitung" ("SZ") anschließend in mehreren Fällen zeigen, wie sie während des Identifizierungsvorgangs in der App Namen und weitere Informationen austauschen konnte, um so manipulierte Bonitätsnachweise zu erstellen. Nach Ansicht von Wittmann ist das ein Datenschutz-Desaster, das nicht hätte passieren dürfen: "Mir zeigt die Sicherheitslücke bei Bonify, dass das Unternehmen nicht über absolut grundsätzliches Verständnis von IT-Sicherheit verfügt und ungeeignet ist, solche Daten zu verarbeiten", so Wittmann zum NDR.
Die Schufa und ihre Tochterfirma Bonify räumten mittlerweile ein, dass das Datenleck tatsächlich bestanden habe. Wittmann habe "eine Lücke entdeckt, die ausgenutzt werden konnte, um eine eigene Adresse mit einer fremden auszutauschen", so die Schufa in einer Stellungnahme für NDR und "SZ". Von dieser "Lücke" seien aber keine Schufa-Daten betroffen gewesen, so die Schufa, sondern lediglich solche des Schufa-Konkurrenten Boniversum, einer Wirtschaftsauskunftei mit Sitz im nordrhein-westfälischen Neuss. "Während Boniversum auf Basis der manipulierten Daten einen Score ausgeliefert hat, hat zu keinem Zeitpunkt eine Übermittlung von Daten der Schufa an Bonify stattgefunden", so Bonify-Chef Andreas Bermig: "Denn die Schufa verwendet höhere Sicherheitsstandards."
Dass Bonify auch Daten eines Mitbewerbers der Schufa nutzt, erklärt sich aus der Geschichte des Berliner Start-ups: Bevor es vergangenes Jahr von Deutschlands größter Wirtschaftsauskunftei gekauft worden war, musste das Unternehmen Bonitätsdaten aus anderer Quelle bekommen, um seine Finanzdienste anbieten zu können. So hatte Bonify eben einen Vertrag mit Boniversum geschlossen - der bis heute noch besteht.
Machte die Schufa vor der Übernahme Druck?
Zum Hergang des Datenlecks machte die Schufa zunächst keine Angaben. Recherchen von NDR und "SZ" legen jedoch nahe, dass die Programmiererinnen und Programmierer von Bonify in den vergangenen Monaten womöglich unter großem Druck gestanden hatten, um Vorgaben der Geschäftsführung zu erfüllen. So verließen mehrere Mitarbeitende nach der Schufa-Übernahme das Unternehmen, das dennoch schnell neue Dienste anbieten wollte. Zudem war es offenbar schwierig, neue hochqualifizierte Mitarbeiter zu finden.
Im Mai dieses Jahres suchte Bonify immer noch einen Teamleiter, der die Projekte über die Ziellinie bringen sollte. "Aktuell hänge ich aber mit Team, Infrastruktur und Kompetenz weit hinter dem Plan", schrieb ein leitender Mitarbeiter in einer NDR und "SZ" vorliegenden Nachricht an eine potenzielle Kandidatin. Intern gebe es aber "die notwendige Kompetenz nicht. Deswegen suche ich händeringend extern nach Hilfe."
Die in IT-Kreisen eher unbeliebte Konzernmutter Schufa sei aber, wie der Bonify-Mitarbeiter einräumte, "nicht der beste Firmenname", wenn man Expertinnen und Experten suche. Er fürchtete, dass "wir den Aufbau vermasseln", die Folge könne sein, dass Verbraucherinnen und Verbraucher "kein Vertrauen in Zugang und Integrität der darin enthaltenen Daten" hätten. Bei der Mitarbeitersuche sei es "um eine andere App gegangen", die Schufa und Bonify entwickelten, betont Bonify-Chef Bermig.
Spahns Daten heruntergeladen?
Fehlendes Vertrauen in Bonify und seinen Umgang mit sensiblen Verbraucherdaten? Das genau könnte nun aber passieren. Denn es geht womöglich nicht nur darum, dass IT-Expertin Wittmann manipulierte Bonitätsnachweise ausstellen konnte. Sie glaubt auch, dass zwischenzeitlich fremde Bonitätsdaten zu bekommen waren, die sie gar nicht hätte bekommen dürfen. Danach habe sie anscheinend den Bonitätsscore des CDU-Politikers und früheren Bundesgesundheitsministers Jens Spahn herunterladen können.
Sie habe dafür nach eigenen Angaben seine Adresse und sein Geburtsdatum verwendet, die beide nach zahlreichen Berichten zu einer umstrittenen Immobilienfinanzierung öffentlich verfügbar sind. Bonify-Chef Bermig jedoch sagt: "Es wurden zu keiner Zeit persönliche oder finanzielle Daten von Herrn Spahn (...) gehackt und sind dementsprechend auch nicht übermittelt worden. Der von Lilith Wittmann veröffentlichte Score basierte einzig auf denen von der Aktivistin eingegebenen Informationen von Herrn Spahn."
Der Bonify-Chef betont, dass seine Firma bei Bekanntwerden des Datenlecks sofort reagiert habe. Am Samstagabend sei die Fehlerquelle beseitigt worden, so Bermig in einer Stellungnahme für NDR und "SZ": "Eine Manipulation von Adressangaben im Rahmen des Identifikations- und Anmeldevorgangs ist nach derzeitigem Kenntnisstand nicht mehr möglich." Darüber hinaus habe die Schufa gleichzeitig den Datenaustausch mit Bonify stoppen lassen, am Sonntagmittag habe dies auch der Vertragspartner Boniversum getan. "Sobald diese Arbeiten beendet sind, wird der Basisscore der Schufa wieder zur Verfügung stehen. Der Boniversum-Score wird bis auf Weiteres nicht mehr bei bonify abrufbar sein."
Datenschützer der BaFin sind alarmiert
Dass Mängel in der IT-Sicherheit bei der Schufa-Tochter Bonify auch Boniversum massiv schaden könnten, dessen ist man sich bei dem Neusser Schufa-Konkurrenten anscheinend bewusst. Michael Goy-Yun, Geschäftsführer der Creditreform Boniversum GmbH, hat eigener Aussage zufolge zunächst über Twitter von dem Datenleck erfahren. "Erst am Sonntag hat mich der Bonify-Geschäftsführer angerufen und gesagt: 'Wir haben ein Problem'", so Goy-Yun, der anschließend die Abschaltung des Services veranlasst habe. "Wir sehen hier keinen Fehler bei uns, sondern einen datenschutzrechtlichen Verstoß bei Bonify und setzen nun alles an eine schnelle Aufklärung."
Alarmiert sind nun auch Datenschützer und die Finanzdienstleistungsaufsicht BaFin. Bonify habe die zuständigen Berliner Datenschutzbeauftragte nach Angaben einer Behördensprecherin am Sonntag von dem Vorfall informiert: "Nach aktuellem Sachstand könnte es sich um einen Verstoß gegen Artikel 32 Datenschutz-Grundverordnung handeln, der die Sicherheit der Datenverarbeitung zum Gegenstand hat. Bezüglich des gesamten Verfahrens befinden wir uns derzeit in einer Prüfung." Der BaFin sei der Vorgang ebenfalls bekannt, so ein Sprecher zu NDR und "SZ": "Wir stehen dazu mit dem beaufsichtigten Unternehmen in engem Kontakt." Zu Einzelheiten könne man aber keine Auskunft geben.
Dass es bei Schufa und Bonify offenbar noch einiges zu tun gibt, räumt Deutschlands größte Wirtschaftsauskunftei im Übrigen unumwunden ein. "Obwohl Bonify und die Schufa nach der Übernahme zwei getrennt operierende Unternehmen bleiben, haben wir selbstverständlich ein großes Interesse daran, die hohen Sicherheits- und Qualitätsstandards der Schufa auch auf Bonify zu übertragen", so eine Unternehmenssprecherin schriftlich. Die Schufa unterstütze Bonify dabei, "Produkte, Services und die Qualität bisheriger Kooperationspartner zu untersuchen und gegebenenfalls Veränderungen vorzunehmen." Ein Prozess, der offenbar aber noch eine geraume Zeit dauern könnte, glaubt man der Schufa: "Diese Sicherheitsanalysen werden voraussichtlich bis zum Herbst dieses Jahres abgeschlossen sein."