Beim Bonitäts-Auskunftsdienst Bonify, hinter dem die Schufa-Tochter Forteil steckt, haben unbekannte Täter bei einem Angriff persönliche Daten von Nutzern erbeutet. In einer Mitteilung an betroffene Kunden vom Mittwoch erklärte Forteil, dass Unbefugte offenbar Zugriff auf Identifikationsdaten erhalten haben. Das Unternehmen bestätigte den Vorfall gegenüber c’t.

Der Dienst Bonify soll Verbrauchern kostenlos Zugang zu ihrem sogenannten Schufa-Basisscore verschaffen. Er informiert auch über Daten, die bei der Schufa hinterlegt sind, und meldet negative Schufa-Einträge auf Wunsch per Push-Nachricht. Bonify bietet außerdem zusätzliche Finanzdienstleistungen wie Kreditvermittlung oder Bonitätsauskünfte für Mietinteressenten, worin Verbraucher- und Datenschützer einen Interessenkonflikt sehen.

Videoindent-Daten erbeutet

Bei dem Angriff sollen die Täter Dokumente und Daten erbeutet haben, die beim Videoident-Verfahren verarbeitet worden sind. Abgeflossen sind dem Dienst zufolge Informationen, die neue Nutzer im Identifikationsverfahren angeben müssen sowie solche, die im Prozess aufgenommen werden. Dazu zählen Ausweisdaten, Adressdaten sowie Fotos oder Videos, die Forteil bei der Identifikation über Videoident abfragt respektive durch einen Dienstleister abfragen lässt und anschließend speichert.

Forteil betont, dass keine Passwortdaten, Informationen zu Girokonten einschließlich hinterlegter Zugangsdaten oder Bonitätsdaten kompromittiert worden seien. Wie viele Bonify-Nutzer tatsächlich betroffen sind, hat Forteil allerdings noch nicht bekanntgegeben. Auch zu dem Zeitraum, in dem sich die betroffenen Kunden neu registriert haben, macht der Dienst bisher keine Angaben.

„Kriminelle Tat „

Nach Informationen von c’t soll eine erpresserische Forderung der Täter im Raum stehen. Forteil machte dazu keine näheren Angaben, da das Verfahren noch nicht abgeschlossen sei. „Wir sind Opfer einer kriminellen Tat geworden“, sagte ein Unternehmenssprecher lediglich, „und arbeiten mit höchster Priorität und in enger Zusammenarbeit mit den zuständigen Behörden sowie unabhängigen Experten daran, den Angriff vollständig aufzuklären.“

Der Sprecher betonte, dass Forteil sämtliche Kunden, die nach aktuellem Kenntnisstand tatsächlich betroffen sind, per Mail informiert habe. Auch der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie Strafverfolgungsbehörden seien eingeschaltet.

Schwerwiegendes Sicherheitsproblem

Unklar bleibt, wie genau der oder die Täter vorgegangen sind. Da Forteil explizit von Face-to-Face-Identifikationsdaten im Videoformat spricht, betrifft der Vorfall offenbar ausschließlich den Videoidentprozess. Den wickelt das Unternehmen über den Dienstleister ID Now ab. Nicht betroffen wären demnach Nutzer, die sich mithilfe des elektronischen Personalausweises (eID) oder über ein Girokonto registriert haben.

Nach Informationen von c’t spricht derzeit aber wenig dafür, dass das Leck bei ID Now aufgetreten ist. Bonify ist wie andere Banken und Finanzdienstleister auch über eine Schnittstelle mit dem Identitätsdienstleister verbunden. Schon deshalb lässt sich nur spekulieren, wo genau sich die undichte Stelle befand und ob es sich um die Tat eines Insiders handelt oder externe Angreifer eine Sicherheitslücke ausgenutzt haben.

Neben dem möglichen finanziellen Schäden könnte auch das Vertrauen in Bonify/Forteil leiden. Zudem ist es nicht der erste Vorfall, mit dem der Dienst zu kämpfen hat. Bereits beim Start der Schufa-Auskunft innerhalb von Bonify hatte eine Aktivistin ein potenzielles Sicherheitsproblem entdeckt, das der Dienst damals schnell behoben hatte. Seither war es allerdings ruhig geblieben.

Der Vorfall kommt aber auch für die Mutter Schufa zu einem schlechten Zeitpunkt. Die Auskunftei versucht im Zuge ihrer seit 2022 propagierten „Transparenzoffensive“ nicht nur, das Vertrauen von Verbrauchern zu erhöhen. Sie ist auch gerade im Begriff, ein neues Scoresystem einzuführen und steht ohnehin durch verschiedene Gerichtsurteile unter besonderer Beobachtung.

Was Betroffene tun sollten

Für die betroffenen Bonify-Nutzer könnte der Vorfall im Nachhinein eine Menge Ungemach bedeuten. Mithilfe der Ausweisdaten können Cyberkriminelle beispielsweise online Verträge im Namen der Ausweisinhaber abschließen. Zwar benötigen sie für Dienstleistungen wie die Eröffnung eines Bankkontos oder den Abschluss von Kredit- oder Versicherungsverträgen in Deutschland den Originalausweis, entweder für das eID-Verfahren oder bewegte Bilder im Videoident.

Bei anderen Dienstleistungen wie einem Handy- oder Internetvertrag reicht aber häufig ein Bild des Ausweisdokuments. Die Betroffenen müssen dann mühsam die Verhältnisse klären. Dazu gehört insbesondere, Anzeige zu erstatten und der Polizei den Identitätsdiebstahl zu melden.

Ob und wie Cyberkriminelle die Ausweisdaten tatsächlich nutzen, ist derzeit aber noch nicht klar. Verbraucher, die sich bei Bonify registriert haben, sollten dennoch auf verdächtige Mails, Text- und Messengernachrichten oder Anrufe achten. Es empfielt sich auch, mit ungewöhnlichen Vorgängen bei Konten oder Verträgen zu rechnen.

Bei Hinweisen auf einen Datenmissbrauch sollte man zügig Anzeige bei der Polizei erstatten und einen Identitätsbetrug bei der Schufa melden, um den eigenen Score zu schützen. Nutzern, die auf Nummer sicher gehen wollen und deren Ausweisdokumente Teil des Leaks sind, bleibt nichts anderes, als einen neuen Ausweis zu beantragen und das alte Dokument sperren zu lassen.

Angesichts der Kosten ist es ein schwacher Trost, dass die Betroffenen für sechs Monate den Identitätsschutz von Bonify kostenlos nutzen können sollen. Das Tool soll persönliche Daten im Netz überwachen und bei möglichem Identitätsmissbrauch Hinweise geben.

(mon)

Statistiken der Sicherheitsforscher von Shadowserver zufolge sind weltweit noch zehntausende Cisco-Firewalls verwundbar. Sicherheitspatches sind vorhanden, aber offensichtlich bis jetzt nicht überall installiert. Davon sind auch Instanzen in Deutschland betroffen.

Jetzt patchen!

Durch das erfolgreiche Ausnutzen einer „kritischen“ Lücke (CVE-2025-20333) schieben Angreifer mit Root-Rechten Schadcode auf Systeme und kompromittieren sie. Die Lücke findet sich in der VPN-Web-Server-Komponente von Cisco Secure Firewall Adaptive Security Appliance (ASA) Software und Cisco Secure Firewall Threat Defense (FTD) Software.

In einer Warnmeldung finden Admins nach der Eingabe von bestimmten Daten Hinweise auf für sie passende Sicherheitspatches. Die Lücken sind seit Ende vergangener Woche bekannt.

Weltweite Attacken

Eine aktuelle Statistik von Shadowserver zeigt, dass es noch über die ganze Welt verteilt verwundbare Instanzen gibt. Mit fast 20.000 Firewalls führen die USA die Liste an. In Deutschland sind zum Zeitpunkt dieser Meldung noch fast 2400 Instanzen angreifbar. Demzufolge sollten Admins umgehend handeln und ihre Netzwerke durch die Installation von Sicherheitspatches vor den laufenden Attacken schützen.

(des)

Qualcomm erringt einen weiteren Sieg im Rechtsstreit gegen ARM. Ein US-Bezirksgericht in Delaware hat entschieden, dass das übernommene Start-up Nuvia von ehemaligen Apple-, AMD- und Google-Ingenieuren seine CPU-Kerndesigns an Qualcomm weitergeben durfte. Es war der letzte von drei Klagepunkten, bei dem sich ein Geschworenengericht Ende 2024 nicht einigen konnte. Mittlerweile kommen die Nuvia-Designs in Notebook- und Smartphone-Prozessoren wie dem Snapdragon X2 Elite und Snapdragon 8 Elite Gen 5 zum Einsatz.

Offener Streitpunkt

Das Lizenzabkommen sah vor, dass Nuvia seine ARM-Lizenz und ARM-Technologie nur mit ARMs Zustimmung verkaufen durfte. ARM argumentierte einen Verstoß, weil Qualcomm Nuvia ohne Zustimmung übernommen hat.

Qualcomm und Nuvia erwiderten, dass Qualcomm bereits eine eigene ARM-Lizenz hält und Nuvias Lizenz somit schlicht verfallen ist. Die von Nuvia entwickelten CPU-Kerndesigns würden hingegen keine ARM-Technologie darstellen. Daher sei keine Zustimmung notwendig gewesen.

Schon im Dezember hieß es: Ein Befehlssatz bestimmt nicht das CPU-Design und hat nur kleine Auswirkungen auf die Entwicklung. Der Befehlssatz beeinflusst primär, welche Instruktionen der Decoder verstehen muss. ARM hat den Nuvia-Kern zum Zeitpunkt der Qualcomm-Übernahme noch nicht als ARM-kompatibel zertifiziert.

Dieser Argumentation folgte das Gericht, wie Qualcomm mitteilt. ARM ist die Nuvia-Übernahme seit Jahren ein Dorn im Auge, weil dem Lizenzgeber durch den Besitzerwechsel Einnahmen entgehen. Nuvia fokussierte sich ursprünglich auf Serverprozessoren und sagte ARM vergleichsweise hohe Lizenzabgaben pro verkaufter CPU zu. Im Gegenzug soll ARM stärker als üblich bei der Entwicklung geholfen haben. Mit Qualcomms Übernahme ist die Kostenregelung jedoch hinfällig – es gelten Qualcomms Lizenzkonditionen.

In einer Stellungnahme gegenüber US-Medien wie Bloomberg schreibt ARM, gegen das Urteil Berufung einlegen zu wollen.

Weitere Verhandlung im März

Aktuell läuft noch eine Gegenklage, in der Qualcomm ARM mehrere Punkte vorwirft: „Vertragsbruch, unzulässige Beeinträchtigung von Kundenbeziehungen und wegen ARMs Verhaltensmuster, das darauf abzielt, Innovationen zu behindern und ARMs eigene Produkte gegenüber denen seiner langjährigen Partner besser zu positionieren“.

Schon in der Dezember-Verhandlung sagte Qualcomms Führungsetage aus, dass ARM Qualcomms Kunden gegen Qualcomm ausspielen wollte und Informationen innerhalb der Lizenz zurückhielt. Die Gerichtsverhandlung soll im März 2026 stattfinden.

(mma)