Bei einer der wichtigsten Wirtschaftsauskunfteien Deutschlands hat es am Wochenende ein großes Datenleck gegeben. Sensible Bonitätsdaten von Millionen Verbraucherinnen und Verbrauchern waren frei zugänglich.
Es waren ziemlich sensible Daten, die über viele Stunden hinweg bis Samstagnachmittag für jedermann zugänglich waren: detaillierte Informationen über erfolglose Mahnverfahren oder auch Privatinsolvenzen zum Beispiel. Daten jedenfalls, die niemand von sich offen im Internet haben möchte.
Betroffen von dem Datenleck war nach Informationen von NDR und Süddeutscher Zeitung (SZ) das Baden-Badener Unternehmen Infoscore Consumer Data - ein Konkurrent von Deutschlands bekanntester Wirtschaftsauskunftei, der Schufa.
Bonitätsdaten von fast acht Millionen Menschen
Infoscore bewertet, wie die Schufa auch, die Zahlungsfähigkeit von Verbraucherinnen und Verbrauchern. Diese Bewertungen werden im Handel, bei Banken und Versicherungen sowie bei Unternehmen wie der Deutschen Bahn genutzt. Mit solchen Informationen soll festgestellt werden, ob jemand eine Rechnung zahlen oder einen Kredit bedienen kann.
Die Berliner Hackerin Lilith Wittmann hatte nach eigenen Angaben Ende vergangener Woche eine Schwachstelle bei zwei Partnerunternehmen von Infoscore gefunden, die den Zugang zu den sensiblen Datenbanken freigab. Über eine von der Hackerin eingerichtete Webseite waren die Bonitätsdaten schließlich offen zugänglich.
In seinen Datenbanken hat das Unternehmen nach eigenen Angaben sogenannte Negativdaten von nahezu acht Millionen Menschen, also Informationen zum Beispiel über erfolglose Mahnverfahren oder Privatinsolvenzen. Zudem erstellt Infoscore Bonitäts-Scores für alle Verbraucherinnen und Verbraucher in Deutschland, bewertet also deren Zahlungsfähigkeit. Auch diese Daten waren abrufbar.
Datenschutzbehörden wissen nichts
Ein Sprecher von Infoscore erklärte, sein Unternehmen sei über "einen mutmaßlichen IT-Sicherheitsvorfall bei zwei Partnerunternehmen" unterrichtet worden und untersuche diesen. "Nach unserem derzeitigen Kenntnisstand handelt es sich um Fälle, die keines der Systeme von Infoscore Consumer Data beeinträchtigt oder gefährdet haben", so der Sprecher. Man habe sofort Maßnahmen ergriffen, um den Zugriff der betroffenen Partnerunternehmen auf Infoscore-Daten zu unterbinden.
Die für Infoscore und die betroffenen Partnerunternehmen zuständigen Landesdatenschutzbehörden in Stuttgart und Berlin wussten bis Montagmittag von dem Datenleck noch nichts. Unternehmen müssen solche Vorfälle binnen 72 Stunden nach Entdeckung den Aufsichtsbehörden melden, sonst drohen hohe Bußgelder.
"Nicht geeignet, solch sensible Daten zu verarbeiten"
Bereits früher hatte die Hackerin Lilith Wittmann Schwachstellen dieser Art gefunden und veröffentlicht. Sie selbst hält Datenlecks bei Wirtschaftsauskunfteien für ein generelles Problem. "Wenn man in zwei Jahren drei Mal - dank absolut trivialer Sicherheitslücken - Zugang zu den Daten von verschiedenen Auskunfteien bekommt, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten", so Wittmann gegenüber dem NDR und der SZ.
Tatsächlich waren schon mehrere große Auskunfteien von solchen Datenlecks betroffen - mit Ausnahme der Schufa. Zwar hatte im vergangenen Jahr auch die Schufa-Tochter Bonify mit solch einer Schwachstelle zu kämpfen. Das Unternehmen betonte jedoch, dass keine Daten der Schufa selbst abgerufen werden konnten, sondern die einer anderen Firma. Das Datenleck war damals nach Unternehmensangaben umgehend geschlossen worden.