Die Bonitätsdaten von fast acht Millionen deutschen Verbraucherinnen und Verbrauchern waren über Stunden ungeschützt im Internet verfügbar. Betroffen sind sensible Informationen wie Mahnverfahren und Privatinsolvenzen. Verantwortlich dafür ist ein Datenleck bei der infoscore Consumer Data GmbH (ICD), einem der führenden Anbieter von Wirtschaftsinformationen und Teil der Experian-Gruppe. Die Enthüllung wirft ernste Fragen zur Datensicherheit bei Unternehmen auf, die mit so vertraulichen Informationen umgehen.
Was ist passiert?Die Aktivistin Lilith Wittmann entdeckte die Sicherheitslücke und konnte über das Portal "Score Kompass", das vom Kreditvermittler Smava betrieben wird, Bonitätsdaten abrufen. Der Identifizierungsprozess, der eigentlich Bankkonto- oder Personalausweisdaten erfordert, ließ sich einfach umgehen. Über eine selbst entwickelte Schnittstelle konnte Wittmann tausende Anfragen stellen und detaillierte Informationen zu den betroffenen Personen erhalten, darunter:
- Kreditscores
- Negativmerkmale wie Mahnverfahren oder Insolvenzen
- Einflussfaktoren wie Alter, Wohnadresse oder Geschlecht auf die Berechnung der Scores
Besonders alarmierend: Die Algorithmen diskriminierten offenbar auf Basis von Faktoren wie Alter, Geschlecht oder Lebensumstände (z. B. Wohnsitz in einer Obdachlosenunterkunft).
Reaktion der BetroffenenInfoscore erklärte in einer ersten Stellungnahme, dass der Vorfall auf IT-Probleme bei Partnerunternehmen zurückzuführen sei. Laut eigenen Angaben waren die internen Systeme nicht direkt betroffen. Dennoch wurde eine Untersuchung eingeleitet.
Für die Sicherheitsexpertin Lilith Wittmann zeigt dieser und andere Vorfälle, dass Unternehmen wie Experian und ihre Tochtergesellschaften nicht ausreichend für den Umgang mit sensiblen Daten gerüstet sind.
Systematische Sicherheitsprobleme bei AuskunfteienLilith Wittmann ist keine Unbekannte im Kampf für Datenschutz. Bereits zuvor hatte sie Sicherheitslücken bei anderen Wirtschaftsauskunfteien wie "it's my data" und Bonify (einer Schufa-Tochter) aufgedeckt. Ihr Fazit:
„Wenn ich in zwei Jahren dreimal dank absolut trivialer Sicherheitslücken Zugang zu den Daten von Auskunfteien bekomme, zeigt das, dass diese Unternehmen nicht geeignet sind, solche sensiblen Informationen zu verarbeiten."
Was bedeutet das für Verbraucherinnen und Verbraucher?
Das Datenleck hat weitreichende Konsequenzen:
- Erhöhte Missbrauchsgefahr: Die veröffentlichten Daten könnten für Identitätsdiebstahl, Kreditbetrug oder andere kriminelle Aktivitäten genutzt werden.
- Vertrauensverlust: Verbraucher verlieren das Vertrauen in Unternehmen, die eigentlich für die Sicherheit und Vertraulichkeit ihrer Daten sorgen sollten.
- Juristische Folgen: Mögliche Verstöße gegen die Datenschutz-Grundverordnung (DS-GVO) könnten zu hohen Bußgeldern führen.
Dieses Datenleck zeigt einmal mehr, dass Unternehmen, die mit sensiblen Daten arbeiten, erheblich in die Verbesserung ihrer IT-Sicherheit investieren müssen. Verbraucher sollten wachsam bleiben, regelmäßig ihre eigenen Bonitätsdaten überprüfen und Sicherheitsverstöße melden. Der Fall macht auch deutlich, dass strengere Kontrollen und gegebenenfalls Sanktionen für Unternehmen notwendig sind, um ähnliche Vorfälle in Zukunft zu vermeiden.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz