Sicherheitslücke in Schufa-App: Bonify ermöglichte Abfragen von fremden Kredit-Scores

Andreas Frischholz
69 Kommentare
Sicherheitslücke in Schufa-App: Bonify ermöglichte Abfragen von fremden Kredit-Scores
Bild: Schufa Holding AG

Mit Bonify hat die Schufa in der letzten Woche eine App präsentiert, durch die Privatpersonen ihren persönlichen Basisscore bei der Kreditauskunftei einsehen können. Eine Sicherheitslücke ermöglichte aber den Zugriff auf fremde Konten. Die IT-Sicherheitsexpertin Lilith Wittmann konnte so den Basisscore von Jens Spahn einsehen.

Die neue Schufa verfolgt das Ziel, die Transparenz zu erhöhen und den Menschen künftig mehr Kontrolle über ihre Daten zu geben“, sagte Tanja Birkholz, Vorstands­vorsitzende der Schufa Holding AG, anlässlich der Veröffentlichung der Bonify-App. Das hat offenkundig zu gut funktioniert. Über die Webapp war es seit letzter Woche möglich, jederzeit und kostenlos den eigenen Basisscore abfragen zu können. Je höher der Wert, desto besser schätzt die Schufa die Bonität einer Person ein. Im Laufe des Jahres sollten zudem noch weitere bei der Schufa gespeicherte Daten über die App abrufbar sein, sodass Nutzer nachvollziehen können, wie der Score zustande kommt.

Entwickelt wird Bonify von der Schufa-Tochter Forteil. Betont wird, dass es sich trotz der engen Verbindung um rechtliche getrennte Unternehmen handelt, die etwa keine Datenbanken teilen. Schufa-Daten wären also nur über Bonify abrufbar, wenn der Nutzer explizit einwilligt.

Kredit-Score von fremden Konten abrufbar

Von Anfang kämpfte die App aber mit Problemen, berichtet der Spiegel: Statt dem Schufa-Score wurde Nutzern in vielen Fällen nur ein Boniversum-Score präsentiert, der auf anderen Datenquellen als der beworbene Schufa-Score basiert. Und Lilith Wittmann zeigte am Wochenende auf Mastodon und in einem Medium-Beitrag, dass es ihr gelungen ist, nicht nur in die eigenen Daten einsehen zu können. Stattdessen konnte sie noch auf Bonify-Daten von mehr als 20 Personen zugreifen. Darunter befindet sich auch Jens Spahn, ehemaliger Bundesgesundheits­minister und heute stellvertretender Vorsitzender der Unions­bundestagsfraktion.

Die Daten umfassen neben dem Basisscore etwa die Privatadresse, Angaben zu Zahlungserfahrungen, Inkasso- und Gerichtsdaten sowie potenzielle Unternehmensbeteiligungen. Im Falle von Spahn ließen sich die Angaben verifizieren, weil diese – mit Ausnahme seines Boniversum-Scores – infolge seiner Villa-Affäre öffentlich bekannt waren.

Der Zugang ist über eine Lücke im BankIdent-Verfahren möglich, dass Forteil verwendet, um Nutzer zu authentifizieren. Grundsätzlich läuft der Abgleich also über das eigene Bankkonto. Bevor das System die Daten verifiziert, besteht aber in einem Zeitfenster von rund 1 Sekunde die Möglichkeit, den Namen zu ändern. Das eigene Bankkonto validiert in diesem Fall also einen fremden Zugang. Eine vorbereitete Anfrage kann sie über ein Tool an die Schnittstelle schicken, sagte Littmann dem Spiegel. Es reicht also aus, rechtzeitig einen Knopf zu drücken, um Zugang zu fremden Daten zu erhalten.

Verbraucherschützer warnen vor Registrierung mit Bankzugang

Jetzt ist die Bonify-Webapp erst einmal wieder offline, die Entwickler verweisen auf Wartungsarbeiten. In einer Stellungnahme gegenüber dem Spiegel sagt man, der „von Lilith Wittmann veröffentlichte Score basierte einzig auf den von der Aktivistin eingegebenen Informationen von Herrn Spahn“. Persönliche oder finanzielle Daten von ihm wären nicht erbeutet worden. Die Schufa erklärt derweil, eigene Daten wären nicht betroffen.

Auch wenn die Sicherheitslücke sich am Ende als nicht allzu gravierend herausstellt, bleibt die App problematisch. So warnt die Verbraucherzentrale NRW explizit vor den Daten, die Nutzer weitergeben, wenn sie sich mittels Kontozugang registrieren. Denn auf diese Weise gewähren sie dauerhaft Einsicht in die Kontobewegungen der letzten 90 Tage.

Das klingt nach wenig, aber diese Zeitspanne ist ausreichend, um entscheidende Daten über Einnahmen und Ausgaben zu sammeln: Geht ein regelmäßiges Gehalt ein und wenn ja, wie hoch ist es? Welche Ausgaben fließen ab, laufen Kredite oder gar Pfändungen?

Stellungnahme der Verbraucherzentrale NRW

Selbst wenn die Schufa solche Daten nicht zur Bewertung nutzen darf, bewerten die Verbraucherschützer allein den Datenzugang schon problematisch. Weitere Datenschutzbedenken umfassen den Umgang mit Drittanbietern. Kritisiert wird, dass Bonify personenbezogene Daten an eine Vielzahl von Partnern weitergibt, berichtet Tarnkappe.info.