Am vergangenen Wochenende standen sehr sensible Bonitätsdaten von Millionen Verbraucherinnen und Verbrauchern bei der Wirtschaftsauskunftei Infoscore frei zugänglich im Internet. Aufgedeckt hat den Fall Lilith Wittmann, die angibt, dass auch Smava vom Datenabfluss betroffen ist. Hintergrund ist, dass die Anbieter ihre Hausaufgaben nicht gemacht haben oder deren Geschäftsmodell notorisch Datenlecks über Partnerunternehmen erzwingt.
Anzeige
Wirtschaftsauskunfteien und Bonitätsdaten
Wirtschaftsauskunfteien sammeln Daten über Verbraucher und Unternehmen und erstellen anhand dieser Daten sogenannte Bonitäts-Scores, die die Zahlungsfähigkeit angeben sollen. Neben der Schufa gehört auch die in Baden-Badener angesiedelte Wirtschaftsauskunftei Infoscore Consumer Data zum Kreis dieser Anbieter.
Diese Firmen sammeln also hoch sensible Daten über Verbraucher und Verbraucherinnen oder Firmen, die auch für Cyberkriminelle von Interesse sein dürften. Als Verbraucher oder Firma sollte man davon ausgehen, dass diese Daten besonders gesichert sind und die Firmen doppelt und dreifach überprüfen, ob das alles sicher ist.
Sicherheitslücken am laufenden Band
Aktuell rappelt es allerdings im Bereich der Wirtschaftsauskunfteien im Hinblick auf Sicherheitslücken und Datenabflüsse. Im Juli 2023 hatte ich im Blog-Beitrag Schufa Bonify-App: Sicherheitslücke ermöglicht beliebige Daten abzufragen berichtet, dass Lilith Wittmann sich über die App Schufa-Tochter Bonify die Bonitätsdaten von Herrn Spahn anzeigen lassen konnte.
Im September 2024 musste ich im Beitrag Chaos Computer Club findet Darlehensverträge von Check24 und Verivox im Netz berichten, dass Darlehensverträge von Verbrauchern und Verbraucherinnen durch die Preisvergleichsportale Check24 und Verivox frei im Netz standen und für Dritte abrufbar waren.
Anzeige
Die Itsmydata GmbH betreibt ein Angebot unter dem Webportal Itsmydata, über das Kunden Bonitätsauskünfte über Mietinteressenten von Auskunfteien wie Creditreform Boniversum, Experian etc. einzuholen können. Zum 13. November 2024 hatte ich im Blog-Beitrag @ItsMyData: Wittmann ruft Bonitäten von Creditreform & Co. ab berichtet, dass Lilith Wittmann in der Lage war, beim Webportal der Itsmydata GmbH Datenabfragen über fremde Personen abzurufen.
Datenleck bei Infoscore
Zur Wirtschaftsauskunftei Infoscore hatte ich eingangs ja was geschrieben. Angesichts der obigen Hiobsbotschaften lässt sich ahnen, was nun kommt.
Lilith Wittmann ist auf eine Schwachstelle bei der Wirtschaftsauskunftei Infoscore gestoßen und konnte laut obiger Aussage auf Mastodon am Wochenende (bis Samstag-Nachmittag) Kreditauskünfte aller Menschen in Deutschland bei Arvato Infoscore abrufen. Der Anbieter hatte wohl auch keinerlei Schutzvorkehrungen gegen Data-Scraping getroffen. Wittmann konnte tausende Anfragen stellen und erhielt zu den Personen einen Kreditscore sowie Negativmerkmale der jeweiligen Personen (sowas wie Infos zu Mahnverfahren oder Privatinsolvenzen).
Die Tagesschau hat die Details in diesem Artikel veröffentlicht. Wittmann war über eine Schwachstelle bei zwei Partnerunternehmen von Infoscore stolpert. Diese gab dann den Zugang zu den sensiblen Datenbanken frei. Über eine von der Hackerin eingerichtete Webseite seien die Bonitätsdaten schließlich offen zugänglich gewesen, schreibt die Tagesschau. Ein Video der entsprechenden API hat Wittmann auf Mastodon geteilt.
Zu Infoscore sollte man wissen, dass dieses Unternehmen, wie die Schufa, die Zahlungsfähigkeit von Verbraucherinnen und Verbrauchern bewertet. Diese Bewertungen werden im Handel, bei Banken und Versicherungen sowie bei Unternehmen wie der Deutschen Bahn genutzt, um zu prüfen, ob jemand eine Rechnung zahlen oder einen Kredit bedienen kann. Infoscore wirbt mit Negativdaten von nahezu acht Millionen Menschen. Dort finden sich also Angaben über erfolglose Mahnverfahren oder Privatinsolvenzen, sowie den individuellen Infoscore Bonitäts-Score.
In einem weiteren Post bemängelt Wittmann, dass die Credit Scoring-API von Arvato Finance (Infoscore) und Experian kaputt sei. Die geben an der vorgegebenen Adresse 15 Bonuspunkte auf den Score, wenn das Alter um 25 Jahre erhöht wird. Frau als Geschlecht erhöht den Bonus beim Credit-Score um 11 Punkte – das gibt, so fürchte ich, Ärger bei der Gleichstellungsbeauftragten.
Infoscore untersucht – Datenschutzaufsicht ahnungslos
Die Tagesschau zitiert einen Sprecher von Infoscore, der erklärte, dass das Unternehmen über "einen mutmaßlichen IT-Sicherheitsvorfall bei zwei Partnerunternehmen" unterrichtet wurde und diesen untersuche. Die "gute" Nachricht: "Nach unserem derzeitigen Kenntnisstand handelt es sich um Fälle, die keines der Systeme von Infoscore Consumer Data beeinträchtigt oder gefährdet haben", meint der Sprecher. Er gibt an, dass man sofort Maßnahmen ergriffen habe, um den Zugriff der betroffenen Partnerunternehmen auf Infoscore-Daten zu unterbinden.
Nur mal zum Mitschreiben: Das Kerngeschäft von Infoscore besteht darin, die vielen gesammelten sensitiven Bonitätsdaten von Verbrauchern zahlenden Interessenten gegen Geld und gute Worte zu verscherbeln. Welche Nebelkerze ist das denn, die gerade geworfen wurde?
Was für mich zu erwarten war: Die für Infoscore und die betroffenen Partnerunternehmen zuständigen Landesdatenschutzbehörden in Stuttgart und Berlin wussten laut Tagesschau, bis Montagmittag nichts von diesem Datenleck. Die Tagesschau spielt damit auf die 72-Stunden-Meldefrist für aufgedeckte DSGVO-Vorfälle an.
Smava auch im illustren Kreis
Beim Namen Smava fällt mir immer die aufdringliche Werbung dieses Kreditvermittlers ein. Die werben mit Kreditvergabe ohne Schufa-Auskunft, müssen aber viele Daten über Kreditnehmer vorliegen haben.
Lilith Wittmann war es gemäß obigem Post auf Mastodon zudem möglich, auf den von smava betriebenen Score-Kompass zuzugreifen. Durch eine Schwachstelle konnte sie einen neuen Account als verifiziert markieren. Ermöglichte den Identifizierungsprozess per Ausweis/Bankkonto überspringen. Na ja, Digitalisierung halt eben – die soll ja Dinge vereinfachen. Wittmann war nach obiger Aussage dann in der Lage, direkt auf den Score der Person zuzugreifen, den sie als neuer, verifizierter Benutzer angelegt hatte. All your data belongs to us.
Die Branche ungeeignet, sensible Daten zu verarbeiten
Lilith Wittmann schreibt dazu "Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten."
Ich versuche jetzt mal den Dreisprung: Wittmann hat nachgewiesen, dass die Wirtschaftsauskunfteien ihre Daten nicht im Griff haben und Dritte über Sicherheitslücke auf fremde Daten zugreifen können. Und am gestrigen 18. November 2024 hat der Bundesgerichtshof (BGH) in der Causa Facebook einen grundsätzlichen Anspruch von Personen auf Schadensersatz bei DSGVO-Verletzungen bejaht (siehe mein Blog-Beitrag BGH-Entscheidung: Schadensersatz für Betroffene nach Facebook-Datenabfluss).
Bei Facebook war ich vom Data-Scaping nicht betroffen – ich habe das bei Solmecke auf der Webseite geprüft. Aber bei den Wirtschaftsauskunfteien ist wohl so gut wie jeder Bundesbürger, der irgendwie Käufe getätigt hat und ein Bankkonto oder Mobilfunkkonto besitzt, irgendwo mit einem Bonitätswert erfasst. Wenn nun aber Dritte auf seine persönlichen Daten samt Scoring-Wert zugreifen können, ohne dass eine konkrete geschäftliche Verbindung vorliegt, müsste dies als veritabler DSGVO-Verstoß gewertet werden.
Ich glaube, nur mal als Gedankenspiel: Ich stelle mal eine DSGVO bei den jeweiligen Wirtschaftsauskunfteien und überlege mir im Fall der Fälle, mit Solmecke und Kollegen Kontakt aufzunehmen. Schätze, da eröffnen sich lukrative Geschäftsfelder für Anwälte.
Und noch ein Gedankenspiel: Wir führen in Deutschland doch gerade die elektronische Patientenakte (ePA) ein, wo noch mehr Partner Zugriff auf die Datenbestände haben. Wie wahrscheinlich ist es, dass es dort nicht früher oder später zu veritablen Datenabflüssen kommt? Ich verweise mal auf meinen Blog-Beitrag Sicherheitsgutachten zur elektronischen Patientenakte (ePA) von Ende Oktober 2024.
Anzeige
Das ist es, was die "Anwendungsentwicklung" zunehmend ausmacht: Schnittstelle hier, Schnittstelle dort, da und noch woanders. Kommt es zum Datenleck, heißt es sinngemäß: "Wir möchten betonen, dass uns der Schutz personenbezogener und insbesondere sensitiver Daten sehr wichtig* ist. Wir selbst sind nicht betroffen**. Für das Datenleck sind die Schnittstellen von Dritten*** verantwortlich. Wir handeln nach bestem Wissen und Gewissen****.".
* Bitte was?
** Schuldig sind grundsätzlich immer andere.
*** Warum sollten wir für unser Produkt Verantwortung übernehmen?
**** Was macht eigentlich diese API? Ist die sicher?
Als ich bei früheren Arbeitgebern nach einer Softwarestückliste (engl. Software Bill of Materials, kurz SBOM; quasi die "Supply Chain" für jede Anwendung) fragte, guckte man mich wie ein Reh im Scheinwerferlicht an. Davon hörten selbst langjährige Anwendungsentwickler das erste Mal. Sie haben keinen Überblick mehr darüber, was sie da eigentlich in ihre Produkte und Systeme integrieren. Hauptsache, man hat schnell "irgendeine Lösung" zusammengeschustert. Das setzt sich leider auch in der IT und in anderen Branchen, bei denen vernetzte Systeme und Dienste eine Rolle spielen, nahtlos fort.
Natürlich will am Ende niemand haften.
Naja das fällt ja jetzt mit dem angepassten Produkthaftungsgesetz:
*********************
Nach dem Entwurf 2022/0302(COD) in seiner letzten Fassung vom 18.01.2024 unterliegen künftig nicht mehr nur „bewegliche Sachen" der verschuldensunabhängigen Produkthaftung, sondern erstmals ausdrücklich auch Software und digitale Produktionsdateien (Art. 4 Abs. (1)).
*********************
Dann geht es auch da an den Kragen! Wurde auch Zeit. Ist halt nur die Frage wie einfach das dann auch für den kleinen Privatmann einklagbar ist. Wenn dazu jahrelange Klagewege notwendig sind, oder für den Einzelnen gar nicht vorgesehen, wird das leider ein "Rohrkrepierer".
@Born
naja bei der ePA ist der Datenabfluß ja gewolltes Ziel! Wissenschaft & Wirtschaft sollen ja den Milliardenschweren Datenschatz heben.
Oder gehören sie auch zu den Leuten die glauben das die ePA zum Wohle der Patienten sei? Ist und war nie das Ziel!
Ich bin mir sicher, dass die Produkthaftungsrichtlinie (ProdHaftRL), also die Direktive 2024/2853 der EU-Kommission und des Rates, noch für viel Diskussionen sorgen wird.
Das könnte dann z. B. für IT-Systemhäuser / IT-Dienstleister (sowohl Selbstständige als auch gewerblich handelnde) interessant werden, wenn es um namhafte SaaS-Produkte geht.
Hier könnte es in Zukunft Konstellationen geben, dass sich insbesondere Softwarehersteller aus dem Ausland vom EU-Markt "zurückziehen", also ihre Präsenz abbauen, damit sie ihre Produkte über entsprechende Anbieter / Dienstleister in den Verkehr bringen lassen, damit sie letztlich für die Fehler des Herstellers haften.
Am Ende bleibt auch die Frage offen, wer, wie konsequent durchgreift.
Unter bestimmten Umständen kann es aber auch eine Chance für europäische Softwarehersteller sein.
Hi…
DAS wird solange immer wieder vorkommen, solang' der zum monströsen "Wohle der Wirtschaft" beförderte "Handel mit Daten" nicht konsequent verboten und unterbunden wird – willkommen auf der Zielgeraden zum Endstadium des Kapitalismus! 🤷🏻♂️
Wer soll das denn verbieten? Unsere "demokratischen" Parteien werden das ganz sicher nicht tun. Schließlich tragen auch die sog. Etablierten ALLEsamt eine extremistische Tendenz in ihrer über Jahrzehnte verfestigten Einstellung und den "Grundsatzprogrammen". Selbst die Grünen stellen sich neuerdings nebst ihrem Ökowahn als Kapitalismus-Extremisten heraus. Und bei BSW und "den Linken" Links-Extremisten wäre ich mir mal nicht so sicher, ob die das was sie Schwetzen in Regierungsverantwortung tatsächlich alles umsetzen (wollen) würden, glaube ich eher kein Wort von. Das Hauptproblem an unserer Demokratie ist das System selbst, das eben noch nie wirklich demokratisch war bzw. nicht wirklich demokratisch konstruiert wurde. Wenn man sich mit den Prozessen auseinandersetzt sind da an vielen Ecken und Enden undemokratische Regelungen und Verhaltensweisen anzutreffen, vom Fraktionszwang bis hin, das Mandatsinteressenten teils hohe fünfstellige Summen zu den Wahlkampfkosten beitragen sollen / müssen … -> gekaufte Mandate? Hinterlässt ein Geschmäckle… Und was darf denn der Bürger wählen? Und wer entscheidet nach diesen "Wahlen" über Ämter? Warum geht bei Landtags- und Bundestagswahlen kein Kummulieren und Panaschieren, wie bei Kommunalwahlen? Damit man die Schnösel von ganz oben auf den Listen nicht abwählen kann … sonst wäre doch so einige von den nervigen Xxxxxxxxxx schon lange nicht mehr in den Parlamenten!
Das jeweilige "Demokratie"-System wirft immer die Fragen auf: Wie ist das System konstruiert und wem nutzt es? Tja, oh Wunder, in ALLEN westlichen "Demokratien" nutzt es weit überwiegend der Upper-Class und den Besserverdienern. Also einer gewissen Geld-Elite, die man auch als modernen Adel bezeichnen kann. Da man diese Leute mit den Mitteln der gegebenen Demokratie-Systeme nie los wird, nicht weg bekommt von der Macht … Geld regiert die Welt, keine lächerlichen "demokratisch" Gewählten Wichtigtuer.
Einfach mal drüber nachdenken, warum Dinge so sind wie sie sind, man kommt fast immer zum Wurzelproblem der poltischen Regulierung bzw. nicht Regulierun und also zu der Frage ob und wenn ja, wie gut … das hinter dem Politikbetrieb stehende Demokratiesystem funktioniert. Was eine Frage der Perspektive ist. Für die oberen 10 bis 30 Prozent funktioniert es gut bis sehr gut. Für die unteren 70% schlecht bis sehr schlecht … je weiter unten im "sozialen Standing", desto weniger nutzen bekommt man ab, von der angeblichen "Demokratie" …
Und wer das noch etwas weiter zu denken vermag, kommt sicher schnell drauf, warum die "extremistischen" Parteien an den Rändern seit geraumer Zeit so gedeihen und wuchern … weil nämlich nach Fest bekanntlich AB kommt. Und die etablierte Politik aber trotzdem versucht die Schraube zum Auspressen der unteren Bevölkerungsschichten immer noch etwas weiter zu drehen … Wer erinnert sich noch an die Aussage von der Rückzahlung der Co2-Abgabe an die Bürger? Und warum hört man wohl nichts mehr davon? … Genau so, werden immer wieder neue, als Abgaben getarnte Steuern eingeführt. Das Geld wird schließlich als Subvention an die "Not leidende" Wirtschaft weiter gegeben und die zahlt es an ihre Aktionäre aus … damit die "Armen" sich noch'n Porsche kaufen können … um dieses dümmliche Wirtschafts-Wachstum am laufen zu halten …
Datenschutz … wird vor allem von der FDP ernst genommen. Und von denen allerdings auch nur, um ihr Klientel vor der Justiz zu schützen. Steuern Hinterziehen, oder die Staatskasse berauben (Cum …) lohnt sich. Steuerfahnder sind teuer, holen aber ein vielfaches ihrer Eigenkosten wieder zurück in die Kasse, das will "die Politik" komischer Weise aber gar nicht … und ein überschaubares, ehrliches, wirklich gerechtes Steuersystem (das leicht umsetzbar wäre) will man schon gar nicht.
Geht jetzt aber alles ins Intergalaktische, was nicht mehr so ganz zum obigen Thema und dem IT-Blog passt. Der Thread sollte daher nicht weiter geführt werden – danke.
Danke, Herr Born für diese Worte!
+1 :)
Sorry, aber soo "intergalaktisch" finde ich das leider NICHT – da ist durchaus schon einiges Valides dran.
Vllt. braucht man eben auch nur mal in den Sog des nach unten führenden Strudels betreffend die eigenen finanzwirtschaftlichen Belange bzw. "sozialen Standings" geraten und schon bekommt man eine (ganz) andere Sichtperspektive – könnte das sein?
Allerdings führt es tatsächlich zu einer Themen-Nebendiskussion.
Was habe ich eigentlich für Möglichkeiten rauszufinden ob ich betroffen bin bzw. was kann ich konkret gegen solche Unternehmen tun? Klagen? DSGVO ist da wahrscheinlich zahnloser Tiger… keine Verträge mehr eingehen ist fast unmöglich…
Klagen geht da sehr wohl und die DSGVO ist da auch nicht zahlos, nur musst du halt bereit und willens sein auch durch alle Instanzen zu gehen und da ist das dann die Frage wer kann das schon?
Das ist alles gar nicht so einfach. Die wenigsten der Betroffenen sind mit dem Verursacher des Schadens (Infoscore) einen direkten Vertrag eingegangen, sie sind eher mit anderen Institutionen oder Händlern durch Anerkennung von deren (rechtmäßigen?) AGB in diese Lage geraten. Das könnte im aller blödesten Fall auf "Opfer verklagt Händler" und "Händler verklagt Infoscore" auf Schadensersatz hinauslaufen.
Und dann beziffere erstmal den Schaden.
Ich habe zwar den "Vertrag" indirekt abgeschlossen, wie du sagst, aber im Rahmen der informellen Selbstbestimmung müsste ich ja eigentlich dem Verursacher des Problems (Auskunftei) ans Bein treten können. Der Händler hat ja wahrscheinlich in Treu und Glauben gehandelt, dass der Auftragnehmer (Auskunftei) ordentlich mit den Daten umgeht, und nicht mit dem Zweck, die Daten frei zu verteilen.
Wenn jetzt viele Leute DSGVO-Anfragen bei den Auskunfteien stellen, werden die ordentlich beschäftigt und denken dann vielleicht mal nach, wie sie ihren Laden abdichten.
Das spielt keine Rolle wenn da Meine Daten auftauchen und Infoscore die Quelle ist ist das aus DSGVO sogar etwas einfacher den die sind dann zusätzlich in der Beweispflicht wie sie an meine Daten gekommen sind… wie gesagt das Problem ist solche Klagen gehen Jahre und ziehen sich durch alle Instanzen. Könntest du dir das leisten? Ich mein ich bin Firmeninhaber einer kleinen feinen Firma mit 30 Angestellten und kann ganz gut leben, aber klagen möchte ich da auch nicht müssen… wäre mir Zeit und Geld zu Schade für.
Ich bin ja nicht allein betroffen, hier erwarte ich einen Einsatz der entsprechenden Behörden (wofür zahlt man Steuern?), und wenn sie die dann mit bis zu 4% Jahresumsatz verdonnern, kommt ordentlich Geld in die Kasse.
Oder WBS und Co. bieten da was an, mal abwarten.
Zitat:
"Darf die ICD personenbezogene Daten weitergeben?
Die ICD darf diese Daten gemäß Art. 6 Abs. 1 DSGVO grundsätzlich dann weitergeben, wenn die Einwilligung des Betroffenen vorliegt oder der Vertragspartner der ICD ein berechtigtes Interesse glaubhaft dargelegt hat. Ein solches besteht z.B. bei Rechnungskauf oder Ratenzahlung sowie bei Abschluss eines Kredit- oder Handyvertrags."
Mein Einverständnis liegt sicher nicht vor, wenn *jeder* meine Daten abgreifen kann. Ich denke nicht, dass das unter "berechtigtes Interesse glaubhaft dargelegt" fällt!
Mal sehen, ob es ein passendes Kontaktformular für einen Widerspruch gibt.
https://www.experian.de/selbstauskunft/online-formular-selbstauskunft
Habe mal um Auskunft gebeten, ob meine Daten "außerplanmäßig" abgefragt wurden und einer derartigen Verwendung meiner Daten widersprochen.
Schaun mer mal …
Vielen Dank für den Link.
Meine Daten habe ich soeben testweise eingegeben.
Nach dem Absenden erhalte ich aber nach 15 Minuten einen Timeout-Fehler.
Vermutlich ist der Server überlastet.
Mir stellt sich gerade die Frage, kann ich bei den Auskunfteien der Verwendung meiner Daten widersprechen und wenn ja, werfen mich dann die Firmen raus, bei denen ich einen Laufzeitvertrag habe?
Gleiche Frage bei Widerspruch gegenüber den Vertragspartnern gegen die Übermittlung an Auskunfteien. Die wissen ja eigentlich, dass sie seit langem problemlos ihr Geld bekommen.
Bei einem Neuabschluss mit neuem Vertragspartner wäre das was anderes.
Vor ein paar Jahren, als ich dachte, mach' mal eine kostenlose (war sehr gut und tief auf deren Website versteckt) Selbstauskunft bei der Schufa, kam erstaunliches zurück. Angeblich könnten die mich nicht finden/zuordnen und ich bekam als Antwort ein Formular, wo ich doch alle meine letzten Adressen Telefonnummern und was weiß ich noch angeben sollte. Ich habe einmal laut gelacht und das Schreiben zerissen.
Und am besten in allen erdenklichen korrekten und falschen Varianten für die Schreibung des Orts- und Straßennamens.