Großes Datenleck: Sensible Bonitätsdaten frei im Netz

Die Bonitätsdaten von Millionen Verbraucherinnen und Verbrauchern, darunter Informationen zu Mahnverfahren oder Privatinsolvenzen, waren am Wochenende über mehrere Stunden frei zugänglich im Netz abrufbar. Verantwortlich dafür: ein großes Datenleck bei einer der wichtigsten Wirtschaftsauskunfteien Deutschlands, der infoscore Consumer Data GmbH (ICD) aus Baden-Baden, die zur Experian-Unternehmensgruppe gehört. Wie Deutschlands bekannteste Wirtschaftsauskunftei, die Schufa, bewertet infoscore die Zahlungsfähigkeit von Verbraucherinnen und Verbrauchern.

Aufgedeckt wurde das Datenleck von der Aktivistin Lilith Wittmann. "Am Wochenende hatte ich Zugang, zu den Kreditauskünften aller Menschen in Deutschland bei Experian (bisher Arvato Infoscore). Das bedeutet, ich konnte tausende Anfragen stellen und erhielt zu den Personen einen Kreditscore sowie Negativmerkmale der jeweiligen Personen (so was wie Infos zu Mahnverfahren oder Privatinsolvenzen)", schreibt sie in einem LinkedIn-Post. Betroffen von dem Datenleck waren demnach mutmaßlich mehrere Millionen Verbraucherinnen und Verbraucher. Denn der Datenpool von infoscore umfasst nach Angaben des Unternehmens knapp 40 Millionen aktuelle Informationen zum negativen Zahlungsverhalten von über 7,8 Millionen Konsumenten.

Identifizierungsprozess leicht umgangen

Laut Wittmann war der Abruf der Bonitätsdaten über ein vom Kreditvermittler Smava betriebenes Portal namens "Score Kompass" möglich. Bei der Anmeldung ließ sich der Hackerin zufolge der Identifizierungsprozess per Ausweis oder Bankkonto leicht umgehen und sie bekam "direkt Zugriff auf den Score der Person". Sie habe dann relativ schnell eine Programmierschnittstelle auf Basis der Lücke gebaut und damit weitere Informationen über den Scorer von Arvato erhalten. Dabei habe sie beispielsweise gelernt, so Wittmann, dass "wenn man 50 statt 25 Jahre alt ist, einfach pauschal 15 Punkte mehr bekommt. Wenn man im Gefängnis sitzt oder in einer Unterkunft für wohnungslose Menschen gemeldet ist, bekommt man auf der Basis der Adresse einen sehr, sehr schlechten Score und für Frauen gibt’s 11 Punkte mehr".

Infoscore erklärte laut einem Bericht von tagesschau.de, man sei über "einen mutmaßlichen IT-Sicherheitsvorfall bei zwei Partnerunternehmen" unterrichtet worden und habe eine Untersuchung eingeleitet. "Nach unserem derzeitigen Kenntnisstand handelt es sich um Fälle, die keines der Systeme von Infoscore Consumer Data beeinträchtigt oder gefährdet haben", so ein Sprecher des Unternehmens.

Erst vor wenigen Tagen hatte Wittmann ein Datenleck bei einer anderen Auskunftei aufgedeckt. Die Aktivistin zeigte mittels eines prominenten Opfers, dass sich dem Start-up "it's my data" relativ leicht Informationen über die Zahlungsmoral prominenter Politiker entlocken lassen. Im vergangenen Jahr will sie aus der Schufa-App Bonify Kreditwürdigkeit-Infos zu Ex-Gesundheitsminister Jens Spahn erhalten haben. Daher kommt Wittmann nun zu dem Schluss: "Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten."

(akn)