Bonify-App: Schufa-Tochter von massivem Datenleck betroffen
3 Min. Lesezeit
Dank der Bonitäts-App Bonify, einer Tochtergesellschaft der Schufa, können Verbraucher ihren Schufa-Score online einsehen können. Leider scheint es so, dass man nicht nur selbst, sondern auch Fremde an Informationen über einen gelangen können. Ein massives Datenleck in der erst neu entwickelten App sei dafür verantwortlich.
Datenleck statt Bonitäts-Check
Die Einführung der Bonify-App hatte bereits für Furore gesorgt, nachdem die Schufa und Bonify angekündigt hatten, dass Verbraucher nun kostenlos über die App ihren Schufa-Score abfragen können. Die anfängliche Berichterstattung über die App war in Medien verhalten bis kritisch, doch trotzdem erlangte die Finanz-App rasch an Beliebtheit und schaffte es sogar auf Platz 2 der Download-Charts.
Jetzt wurde allerdings bekannt, dass es bei Bonify offenbar erhebliche Sicherheitsprobleme gab. Die IT-Sicherheitsexpertin Lilith Wittmann entdeckte eine Schwachstelle in der Anwendung, die es ihr ermöglichte, Bonitätsauskünfte von Fremden zu manipulieren und ihnen einen anderen Bonitätsscore zuzuordnen. Dies stellt ein ernsthaftes Datenschutzproblem für das junge Unternehmen dar, da Bonitätsauskünfte für die Beantragung von Handyverträgen, Kreditanträgen und bei der Wohnungssuche eine wichtige Rolle spielen. Die Expertin hatte bereits 2021 mit dem Entdecken von Datenschutzproblemen in der Luca-App für mediale Aufmerksamkeit gesorgt.
Wie kam es zu dem Datenleck bei Bonify?
Die Schufa und Bonify bestätigten das Datenleck, betonten aber, dass nur Daten des Schufa-Konkurrenten Boniversum betroffen seien und keine Schufa-Daten. Die App hatte zuvor Daten von Boniversum genutzt, um die entsprechenden Finanzdienstleistungen anbieten zu können. Nach der Übernahme blieben Schufa und Bonify zwar getrennte Firmen, aber dennoch gab es anscheinend Schwierigkeiten, die hohen Sicherheitsstandards auf Bonify zu übertragen.
Laut Recherchen standen die Programmierer von Bonify möglicherweise unter hohem Druck, die Ziele der Geschäftsleitung zu erfüllen. Mehrere Mitarbeiter verließen die Firma nach der Übernahme. Dadurch gestaltete es sich schwierig, hochqualifizierte Mitarbeiter zu finden, um die Entwicklung auf sichere Weise voranzutreiben.
Ein besonders beunruhigender Aspekt des Datenlecks war, dass die IT-Expertin Wittmann nicht nur Bonitätsnachweise manipulieren konnte, sondern auch Zugang zu fremden Bonitätsdaten erlangte, die ihr nicht zustanden. Es wird sogar behauptet, dass sie den Bonitätsscore des CDU-Politikers Jens Spahn herunterladen konnte.
Bonify-Chef Andreas Bermig betonte jedoch, dass keine persönlichen oder finanziellen Daten von Jens Spahn gehackt oder übermittelt wurden und der veröffentlichte Score auf von Wittmann eingegebenen Informationen basierte.
Behörden sind über Bonify-Datenleck informiert
Der Vorfall alarmierte Datenschützer und die Finanzaufsicht BaFin, die den Verstoß gegen Datenschutzbestimmungen bei Bonify zurzeit untersuchen. Boniversum, das auch betroffen war, erfuhr von dem Datenleck über den Kommunikationsdienst Twitter und schaltete umgehend den Datenaustausch mit Bonify ab.
Die Schufa gab zu, dass es noch viel zu tun gibt, um die hohen Sicherheits- und Qualitätsstandards auf Bonify zu übertragen. Sie unterstützt Bonify bei der Untersuchung seiner Produkte, Services und Kooperationspartner, um notwendige Veränderungen vorzunehmen. Allerdings wird es voraussichtlich bis zum Herbst dieses Jahres dauern, bis die Sicherheitsanalysen abgeschlossen sind. Das Datenschutz-Desaster hat zweifellos das Vertrauen der Verbraucher in Bonify erschüttert und verdeutlicht die Bedeutung eines robusten IT-Sicherheitssystems bei der Verarbeitung sensibler Verbraucherdaten.
