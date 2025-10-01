Der digitale Dienst Bonify, ein Angebot der Schufa-Tochter Forteil, hat einen Angriff durch bislang unbekannte Täter zu verzeichnen. Eigentlich ist die Bonify-App dazu gedacht, Verbraucher:innen über negative Schufa-Einträge zu informieren und zusätzliche Finanzdienstleistungen wie Kreditvermittlung oder Bonitätsauskünfte für Mietinteressenten anzubieten. Darüber hinaus bietet Bonify auch die Anmeldung über die e-ID sowie über ein bestehendes Bankkonto an. Nun sieht sich das Startup jedoch mit einem schwerwiegenden Sicherheitsvorfall konfrontiert, bei dem Angreifer Daten abziehen konnten.

Anzeige Anzeige

Bestätigt wurde der Vorfall in einer Mitteilung an betroffene Nutzer:innen (außerdem online auf der Website des Dienstes). Darin räumt Bonify ein, dass Unbefugte offenbar Zugriff auf Identifizierungsdaten erlangt haben. Betroffen seien insbesondere Dokumente, die über das sogenannte Videoident-Verfahren verarbeitet wurden, also Ausweisdokumente, Adressdaten sowie Foto- und Videoaufzeichnungen, die im Rahmen der „Face-to-Face”-Identifizierung erhoben wurden. Nicht betroffen seien dagegen Passwörter, Zugangsdaten oder über die App recherchierbare Schufa-Informationen und weitere Bonitätsdaten. Auch Zahlungs- oder Kontoinformationen seien nicht betroffen, so die offizielle Stellungnahme.

Zahl der Betroffenen unklar

Allerdings kann zum jetzigen Zeitpunkt nur darüber spekuliert werden, wo genau die undichte Stelle ist und ob es sich um die Tat von Insider:innen oder einen Leak von extern handelt. „Wir sind Opfer einer kriminellen Tat geworden“, so ein Sprecher, „und arbeiten mit höchster Priorität und in enger Zusammenarbeit mit den zuständigen Behörden sowie unabhängigen Experten daran, den Angriff vollständig aufzuklären.“

Anzeige Anzeige

Wie viele Nutzer:innen von dem Leak tatsächlich betroffen sind, dazu macht das Unternehmen derzeit ebenso keine Angaben wie zu der Frage, in welchem Zeitraum Kunden sich angemeldet haben müssten, deren Daten abgeflossen sind. Es handele sich aber um einen begrenzten Zeitraum, erklärt ein Unternehmenssprecher. Offen ist natürlich auch die Frage nach dem genauen Vorgehen des oder der Täter. Da explizit und ausschließlich von Face-to-Face-Identifizierungsdaten im Videoformat die Rede ist, betrifft der Vorfall wohl den Videoidentprozess, den das Unternehmen in der Vergangenheit über den Dienstleister ID Now abgewickelt hat. Die Zusammenarbeit mit einem darauf spezialisierten KYC-Dienstleister ist ein gängiges Vorgehen, das auch viele Banken und Finanzdienstleister praktizieren. Die dabei verwendete Schnittstelle zu dem Identitätsdienstleister stellt ein branchenübliches Risiko dar.

Insbesondere die Ausweisdaten könnten dazu genutzt werden, Verträge im Namen der Ausweisinhaber abzuschließen. Denn auch wenn für die durch die Bankenaufsicht (BaFin) regulierten Dienstleistungen wie die Eröffnung von Bankkonten, das Aufnehmen von Krediten oder der Abschluss von Versicherungen in Deutschland Bewegtbildlösungen wie Videoident erforderlich sind, gibt es niedriger regulierte Verträge wie Handy- oder Internetverträge oder andere einfachere Onlineverträge, bei denen ein Bild des Ausweisdokumentes ausreichend ist. Unterm Strich ist das ein nicht zu unterschätzendes Risiko für die Betroffenen.

Empfohlene redaktionelle Inhalte Hier findest du externe Inhalte von TargetVideo GmbH, die unser redaktionelles Angebot auf t3n.de ergänzen. Mit dem Klick auf "Inhalte anzeigen" erklärst du dich einverstanden, dass wir dir jetzt und in Zukunft Inhalte von TargetVideo GmbH auf unseren Seiten anzeigen dürfen. Dabei können personenbezogene Daten an Plattformen von Drittanbietern übermittelt werden.

Inhalte anzeigen Hier findest du externe Inhalte von, die unser redaktionelles Angebot auf t3n.de ergänzen. Mit dem Klick auf "Inhalte anzeigen" erklärst du dich einverstanden, dass wir dir jetzt und in Zukunft Inhalte vonauf unseren Seiten anzeigen dürfen. Dabei können personenbezogene Daten an Plattformen von Drittanbietern übermittelt werden. Hinweis zum Datenschutz Leider ist etwas schief gelaufen... An dieser Stelle findest du normalerweise externe Inhalte von TargetVideo GmbH, jedoch konnten wir deine Consent-Einstellungen nicht abrufen.

Lade die Seite neu oder passe deine Consent-Einstellungen manuell an.

Datenschutzeinstellungen verwalten An dieser Stelle findest du normalerweise externe Inhalte von, jedoch konnten wir deine Consent-Einstellungen nicht abrufen.Lade die Seite neu oder passe deine Consent-Einstellungen manuell an.

Man habe, betont ein Unternehmenssprecher, sämtliche Kunden, die nach aktuellem Stand tatsächlich betroffen sind, per Mail informiert – wie viele das sind, bleibt unklar. Immerhin sollen die Betroffenen für sechs Monate den Identitätsschutz von Bonify kostenlos nutzen können. Das Tool ermöglicht das Monitoring persönlicher Daten im Netz und gibt Hinweise bei möglichem Identitätsmissbrauch. So können die Nutzer:innen schnell reagieren, wenn etwas passiert.

Erpressungsversuch mit finanziellen Forderungen

Auf welche Weise hier geleakte Ausweisdaten tatsächlich genutzt werden, ist derzeit noch nicht klar. Zumindest sind bislang keine Angebote im Darknet oder auf anderen Wegen bekannt, die den gesamten Datenpool oder Teile daraus enthalten. Bekannt ist immerhin, dass es eine finanzielle Forderung seitens eines Erpressers oder einer Erpressergruppe gab. Doch auch hier macht das Unternehmen keine näheren Angaben, da all das noch nicht abgeschlossen sei und die Behörden hier dem Vernehmen nach diverse Spuren verfolgen.

Anzeige Anzeige

Nutzer:innen sollten in der Zwischenzeit besonders aufmerksam sein. Verdächtige Mails, SMS oder Anrufe sollten ebenso ernst genommen werden wie ungewöhnliche Aktivitäten auf Bankkonten oder bei Verträgen. Regelmäßige Konto-Checks sind ohnehin sinnvoll. Bei Verdachtsfällen gilt: Anzeige bei der Polizei erstatten und einen möglichen Identitätsbetrug bei der Schufa melden. Wer ganz sicher gehen möchte, sollte bei kompromittierten Ausweisdaten zudem ein neues Dokument beantragen und das alte sperren lassen.

Zweifelsohne ist der Fall Bonify als schwerwiegender Datenschutzverstoß einzuordnen und kann sowohl dem Unternehmen selbst einen finanziellen Schaden als auch der Muttergesellschaft Schufa Holding einen Reputationsschaden bescheren. Er kommt insbesondere für die Schufa zu einem äußerst ungünstigen Zeitpunkt. Denn diese bemüht sich seit Jahren darum, das Vertrauen der Verbraucher:innen für sich zu stärken und arbeitet gerade an einem neuen Schufa-Score-System.