Datenschutzvorfall: Identitätsdaten bei Schufa-Tochter Bonify abgeflossen

Beim Bonitäts-Auskunftsdienst Bonify, hinter dem die Schufa-Tochter Forteil steckt, haben unbekannte Täter bei einem Angriff persönliche Daten von Nutzern erbeutet. In einer Mitteilung an betroffene Kunden vom Mittwoch erklärte Forteil, dass Unbefugte offenbar Zugriff auf Identifikationsdaten erhalten haben. Das Unternehmen bestätigte den Vorfall gegenüber c’t.

Der Dienst Bonify soll Verbrauchern kostenlos Zugang zu ihrem sogenannten Schufa-Basisscore verschaffen. Er informiert auch über Daten, die bei der Schufa hinterlegt sind, und meldet negative Schufa-Einträge auf Wunsch per Push-Nachricht. Bonify bietet außerdem zusätzliche Finanzdienstleistungen wie Kreditvermittlung oder Bonitätsauskünfte für Mietinteressenten, worin Verbraucher- und Datenschützer einen Interessenkonflikt sehen.

Videoindent-Daten erbeutet

Bei dem Angriff sollen die Täter Dokumente und Daten erbeutet haben, die beim Videoident-Verfahren verarbeitet worden sind. Abgeflossen sind dem Dienst zufolge Informationen, die neue Nutzer im Identifikationsverfahren angeben müssen sowie solche, die im Prozess aufgenommen werden. Dazu zählen Ausweisdaten, Adressdaten sowie Fotos oder Videos, die Forteil bei der Identifikation über Videoident abfragt respektive durch einen Dienstleister abfragen lässt und anschließend speichert.

Forteil betont, dass keine Passwortdaten, Informationen zu Girokonten einschließlich hinterlegter Zugangsdaten oder Bonitätsdaten kompromittiert worden seien. Wie viele Bonify-Nutzer tatsächlich betroffen sind, hat Forteil allerdings noch nicht bekanntgegeben. Auch zu dem Zeitraum, in dem sich die betroffenen Kunden neu registriert haben, macht der Dienst bisher keine Angaben.

„Kriminelle Tat „

Nach Informationen von c’t soll eine erpresserische Forderung der Täter im Raum stehen. Forteil machte dazu keine näheren Angaben, da das Verfahren noch nicht abgeschlossen sei. „Wir sind Opfer einer kriminellen Tat geworden“, sagte ein Unternehmenssprecher lediglich, „und arbeiten mit höchster Priorität und in enger Zusammenarbeit mit den zuständigen Behörden sowie unabhängigen Experten daran, den Angriff vollständig aufzuklären.“

Der Sprecher betonte, dass Forteil sämtliche Kunden, die nach aktuellem Kenntnisstand tatsächlich betroffen sind, per Mail informiert habe. Auch der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie Strafverfolgungsbehörden seien eingeschaltet.

Schwerwiegendes Sicherheitsproblem

Unklar bleibt, wie genau der oder die Täter vorgegangen sind. Da Forteil explizit von Face-to-Face-Identifikationsdaten im Videoformat spricht, betrifft der Vorfall offenbar ausschließlich den Videoidentprozess. Den wickelt das Unternehmen über den Dienstleister ID Now ab. Nicht betroffen wären demnach Nutzer, die sich mithilfe des elektronischen Personalausweises (eID) oder über ein Girokonto registriert haben.

Nach Informationen von c’t spricht derzeit aber wenig dafür, dass das Leck bei ID Now aufgetreten ist. Bonify ist wie andere Banken und Finanzdienstleister auch über eine Schnittstelle mit dem Identitätsdienstleister verbunden. Schon deshalb lässt sich nur spekulieren, wo genau sich die undichte Stelle befand und ob es sich um die Tat eines Insiders handelt oder externe Angreifer eine Sicherheitslücke ausgenutzt haben.

Neben dem möglichen finanziellen Schäden könnte auch das Vertrauen in Bonify/Forteil leiden. Zudem ist es nicht der erste Vorfall, mit dem der Dienst zu kämpfen hat. Bereits beim Start der Schufa-Auskunft innerhalb von Bonify hatte eine Aktivistin ein potenzielles Sicherheitsproblem entdeckt, das der Dienst damals schnell behoben hatte. Seither war es allerdings ruhig geblieben.

Der Vorfall kommt aber auch für die Mutter Schufa zu einem schlechten Zeitpunkt. Die Auskunftei versucht im Zuge ihrer seit 2022 propagierten „Transparenzoffensive“ nicht nur, das Vertrauen von Verbrauchern zu erhöhen. Sie ist auch gerade im Begriff, ein neues Scoresystem einzuführen und steht ohnehin durch verschiedene Gerichtsurteile unter besonderer Beobachtung.

Was Betroffene tun sollten

Für die betroffenen Bonify-Nutzer könnte der Vorfall im Nachhinein eine Menge Ungemach bedeuten. Mithilfe der Ausweisdaten können Cyberkriminelle beispielsweise online Verträge im Namen der Ausweisinhaber abschließen. Zwar benötigen sie für Dienstleistungen wie die Eröffnung eines Bankkontos oder den Abschluss von Kredit- oder Versicherungsverträgen in Deutschland den Originalausweis, entweder für das eID-Verfahren oder bewegte Bilder im Videoident.

Bei anderen Dienstleistungen wie einem Handy- oder Internetvertrag reicht aber häufig ein Bild des Ausweisdokuments. Die Betroffenen müssen dann mühsam die Verhältnisse klären. Dazu gehört insbesondere, Anzeige zu erstatten und der Polizei den Identitätsdiebstahl zu melden.

Ob und wie Cyberkriminelle die Ausweisdaten tatsächlich nutzen, ist derzeit aber noch nicht klar. Verbraucher, die sich bei Bonify registriert haben, sollten dennoch auf verdächtige Mails, Text- und Messengernachrichten oder Anrufe achten. Es empfielt sich auch, mit ungewöhnlichen Vorgängen bei Konten oder Verträgen zu rechnen.

Bei Hinweisen auf einen Datenmissbrauch sollte man zügig Anzeige bei der Polizei erstatten und einen Identitätsbetrug bei der Schufa melden, um den eigenen Score zu schützen. Nutzern, die auf Nummer sicher gehen wollen und deren Ausweisdokumente Teil des Leaks sind, bleibt nichts anderes, als einen neuen Ausweis zu beantragen und das alte Dokument sperren zu lassen.

Angesichts der Kosten ist es ein schwacher Trost, dass die Betroffenen für sechs Monate den Identitätsschutz von Bonify kostenlos nutzen können sollen. Das Tool soll persönliche Daten im Netz überwachen und bei möglichem Identitätsmissbrauch Hinweise geben.

(mon)