Datenleck bei Schufa-Konkurrent: Bonitätsinfos von 8 Millionen Menschen offen im Netz
Bonitäts-Scores sollen zeigen, ob Verbraucher:innen Rechnungen zahlen können oder kreditwürdig sind. (Foto: Alex Brylov/Shutterstock)
Bis zum Nachmittag des 16. November 2024 sollen über viele Stunden hinweg sensible Daten von fast acht Millionen Bundesbürger:innen offen im Internet einsehbar gewesen sein. Dabei geht es um sogenannte Bonitätsdaten, also etwa Informationen über erfolglose Mahnverfahren oder Privatinsolvenzen.
Infoscore-Daten offen zugänglich
Betroffen von dem Datenleck war offenbar das Unternehmen Infoscore Consumer Data aus Baden-Baden, wie NDR und Süddeutsche Zeitung (SZ) herausgefunden haben. Die Auskunftei, die die Zahlungsfähigkeit von Verbraucher:innen berechnet, ist ein Konkurrent der Schufa.
Die entsprechenden Bewertungen nutzen etwa der Handel, die Deutsche Bahn sowie Banken und Versicherungen, um festzustellen, ob potenzielle Käufer:innen ein Produkt oder eine Dienstleistung kaufen oder einen Kredit bedienen können.
Berliner Hackerin findet erneut ein Leck
Aufgedeckt hat die Schwachstelle die Berliner Hackerin Lilith Wittmann, wie tagesschau.de berichtet. Im Sommer 2023 hatte Wittmann über eine Sicherheitslücke in der Schufa-App Bonify eine Mieterauskunft über den ehemaligen Bundesgesundheitsminister Jens Spahn erstellen lassen können.
Im aktuellen Fall fand Wittmann eigenen Angaben zufolge eine Schwachstelle bei zwei Partnerfirmen von Infoscore. Darüber war der Zugang zu sensiblen Datenbanken möglich. Auf einer von der Hackerin eigens eingerichteten Website waren die Bonitätsdaten laut Medienberichten dann offen zugänglich.
Negativdaten und Bonitäts-Scores zugänglich
Neben den oben erwähnten Negativdaten von nahezu acht Millionen Menschen sollen auch die von Infoscore erstellten Bonitäts-Scores von Verbraucher:innen in Deutschland abrufbar gewesen sein. Dabei handelt es sich um die oben angesprochenen Bewertungen zur Zahlungsfähigkeit.
Infoscore hat die Sicherheitslücke bestätigt. Einem Sprecher von Infoscore zufolge sei das Unternehmen über einen „mutmaßlichen IT-Sicherheitsvorfall bei zwei Partnerunternehmen“ unterrichtet worden. Das Ganze werde jetzt untersucht.
Infoscore: Interne Systeme nicht beeinträchtigt
Laut Infoscore sei aber „keines der Systeme von Infoscore Consumer Data beeinträchtigt oder gefährdet“ worden. Heiß wohl, dass keine Daten manipuliert wurden. Der Zugriff der betroffenen Unternehmen auf die Infoscore-Daten sei unterbunden worden.
Wittman jedenfalls sieht Datenlecks bei Wirtschaftsauskunfteien dennoch als grundlegendes Problem. „Wenn man in zwei Jahren drei Mal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekommt, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten“, sagte die Hackerin gegenüber dem NDR und der SZ.
