Direkt zum Inhalt wechseln
logo Das Magazin für digitalen Lifestyle und Entertainment
Eine Marke von Bild
In Deutschland

Sensible Finanzdaten von Millionen Nutzern frei im Netz verfügbar gewesen

Frau fässt sich an den Kopf, während sie mit Rechnungen vor dem Rechner sitzt
Im Zusammenhang mit der Wirtschaftsauskunftei Infoscore hat es ein massives Datenleck gegeben Foto: Getty Images
Woon-Mo Sung
Redakteur

22. November 2024, 10:52 Uhr | Lesezeit: 4 Minuten

Bei der Wirtschaftsauskunftei Infoscore soll es zu einem massiven Datenleck gekommen sein. Dem sind wohl sensible Finanzdaten von Millionen von Menschen zum Opfer gefallen.

Artikel teilen

Wer sich schon einmal in den nervenaufreibenden Kampf der Wohnungssuche begeben hat, kennt sie: die Schufa-Auskunft. Diese ist nicht selten für eine erfolgreiche Bewerbung auf ein neues Zuhause eine der Grundvoraussetzungen, denn mit ihr kann man die eigene Zahlungsfähigkeit darlegen. Aber auch in anderen Lebensbereichen wird sie abgefragt. Die Schufa ist aber nicht die einzige Wirtschaftsauskunftei in Deutschland, die Informationen zur Bonität sammeln und bereitstellen kann. Auch die Infoscore Consumer Data GmbH (ICD) ist solch eine. Bei dieser soll es aber zuletzt ein massives Datenleck gegeben haben.

IT-Sicherheitsaktivistin legt Datenleck bei Infoscore offen

Die IT-Sicherheitsexpertin Lilith Wittmann hat vor einigen Tagen einen entsprechenden Beitrag auf ihrem Linkedin-Profil veröffentlicht. Aus diesem geht hervor, dass sie bereits am vergangenen Wochenende Zugang zu Kreditauskünften aller Personen in Deutschland bei Experian hatte – dem Unternehmen, zu dem eben auch Infoscore gehört.

Ihren Ausführungen nach habe sie „tausende Anfragen stellen“ und zu jeder einzelnen Person einen Kreditscore sowie Negativmerkmale wie Mahnverfahren oder Privatinsolvenzen einsehen können. Wie die „Tagesschau“ ergänzend berichtet, soll die Sicherheitslücke mehrere Stunden am Samstag, dem 16. November bestanden haben.

Eigenen Angaben nach beinhaltet die Datensammlung von Infoscore circa 40 Millionen Informationen zu negativem Zahlungsverhalten von mehr als 7,8 Millionen Personen. Diese kommen aus Branchen des täglichen Konsums wie zum Beispiel dem Versandhandel oder Banken.

Trick offenbarte Sicherheitslücke bei Infoscore

Wittmann erklärt in ihrem Posting, dass dies im Detail durch Partner der Infoscore möglich war. Das von Smava betriebene Online-Portal „Scorekompass“ erlaubte es, bei der Anmeldung neuer User einfach eine Angabe zu machen, dass das Konto bereits verifiziert sei.

So konnte sie den gesamten „Identifizierungsprozess per Ausweis/Bankkonto“ überspringen und anschließend auf die Bonitätsinformationen der jeweiligen Person zugreifen.

Auch interessant: Was weiß die Schufa alles über mich?

Verdacht auf Diskriminierung drängt sich auf

Wittmann ging aber noch einen Schritt weiter: Weil es so einfach gewesen sei, an die Daten zu kommen, habe sie eine Programmierschnittstelle auf Basis der Sicherheitslücke entwickelt und anschließend Reverse Engineering mit dem zum Einsatz kommenden Scorer betrieben.

Dabei stellte sie fest, dass beispielsweise Personen im Alter von 50 Jahren pauschal 15 Punkte mehr bekommen als andere im Alter von nur 25 Jahren. Frauen würden mit 11 Punkten ebenfalls prinzipiell besser bewertet, während Gefängnisinsassen und bei Obdachlosenunterkünften gemeldete Menschen automatisch einen sehr schlechten Score erhalten.

Auch interessant: Den eigenen Schufa-Score simulieren – mit dieser Website geht es

Datenschützer haben erst spät davon erfahren

TECHBOOK hat bei Infoscore angefragt und um Statements zum aktuellen Sicherheitsstatus der Daten sowie zur möglichen Diskriminierung durch den Scorer erbeten. Eine Antwort blieb bis zum Zeitpunkt der Veröffentlichung dieses Artikels aus. Sollten wir eine Rückmeldung erhalten, wird sie an dieser Stelle nachgereicht.

Der „Tagesschau“ sagte das Unternehmen aber, dass sich der Vorfall bei „zwei Partnerunternehmen“ ereignet haben soll und man diesen derzeit untersuche. Es sollen sofort Gegenmaßnahmen ergriffen worden sein. Zudem soll der Zwischenfall keines der „Systeme von Infoscore Consumer Data“ gefährdet haben.

Die für Infoscore zuständigen Landesdatenschutzbehörden sollen erst zwei Tage später, am Montag, davon erfahren haben. Unternehmen müssen binnen 72 Stunden nach Bekanntwerden eines Falls diesen melden, ansonsten drohen empfindliche Geldstrafen.

Mehr zum Thema

Kein Einzelfall bei Wirtschaftsauskunfteien

Es ist nicht das erste Mal, dass bei Wirtschaftsauskunfteien ein Problem mit der Datensicherheit aufgedeckt wurde. Wittmann selbst schreibt, sie habe in nur zwei Jahren dreimal Zugang zu sensiblen Informationen verschiedener Auskunfteien erhalten. Die Sicherheitslücken, die dazu führten, beschreibt sie dabei als „absolut trivial“.

Einzig die Schufa soll bislang unmittelbar davon verschont gewesen sein, wenngleich ihre Tochter Bonify bereits eine Schwachstelle aufwies. Wittmann ist in Anbetracht der jüngsten Entwicklungen der Ansicht, dass „diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten.“

Themen Datenschutz News Sicherheit
Technik-Angebote entdecken bei kaufDA
Logo KaufDA
Anzeige
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale- Netzwerke zu teilen, brauchen wir deine Zustimmung für diesen .
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.