SECURITY25. Juli 2023

Bonify-Desaster: Kein Hack, sondern reine Schlamperei

Nach der Übernahme von Bonify durch die Schufa sollten die App und die Webdienste des FinTechs einen neuen Schub erhalten. Doch verschiedene Datenschutzprobleme haben nun dazu geführt, dass sie erst einmal abgeschaltet wurden. Ein Drama in (mindestens) drei Akten.

Am CDU-Politiker Jens Spahn als Beispiel wurde die Sicherheitslücke von Bonify demonstriert. <Q>Lilith Wittmann
Am CDU-Politiker Jens Spahn als Beispiel wurde die Sicherheitslücke von Bonify demonstriert. Lilith Wittmann

 

Ende vergangenen Jahres kündigte die Auskunftei Schufa an, das FinTec Forteil und deren Dienst Bonify zu übernehmen. Forteil war bereits Kooperationspartner und bot eine kostenpflichtige Bestellung des Schufa-BonitätsChecks über die Bonify-App an. Im Zuge der Übernahme sollte der Zugriff auf den Schufa-BasisScore kostenlos eingeführt werden. Außerdem, so die Ankündigung der Auskunftei, sollten Verbraucherinnen und Verbraucher sehen können, welche Daten den Score beeinflussen und zu einem späteren Zeitpunkt sogar die Möglichkeit erhalten, diesen mit Zusatzinformationen zu verbessern.

Nicht eingelöstes Marketingversprechen

Kürzlich startete die Schufa eine Medienkampagne, in der mit dem Abruf des Schufa-Scores über Bonify geworben wurde. Damit begann Runde 1 des aktuellen Dramas. Denn massenhaft wurde daraufhin die Bonify-App installiert – die aber den Schufa-Basisscore derzeit noch gar nicht bekanntgibt. Dieser sei aktuell nur über die Bonify-Website erhältlich, über die App werde dies erst nach dem ersten Update in Apples und Googles Appstores möglich, was noch etwa drei bis vier Wochen dauern könne, musste die Auskunftei einräumen. Trotzdem hatten mehrere zehntausend Downloads die App in die Top-5 der App-Charts hochgespült.

Tatsächlich erhalten die Kunden in der App zwar einen „Bonify-Score“ angezeigt. Der basiert aber nicht auf den Schufa-Daten, sondern stammt vom Schufa-Wettbewerber Boniversum, mit dem Bonify zusammenarbeitet.

Schufa-Score bei Bonify – aber nicht in der App. Das ging in der PR-Kampagne weitgehend unter. <Q>Bonify
Schufa-Score bei Bonify – aber nicht in der App. Das ging in der PR-Kampagne weitgehend unter. Bonify

 

Einen weiteren Kratzer erhält das „Transparenz-Versprechen“, das die Schufa mit dem Engagement bei Bonify verbunden hatte, aufgrund der intransparenten Nutzeridentifikation. Die kann zum einen über den Personalausweis und das damit verbundene Verfahren IDNow erfolgen. Die bequemere und schnellere Möglichkeit ist die Verifizierung mittels Kontozugriff. Damit erhält Bonify-Betreiber Forteil zugleich die Erlaubnis, die Kontobewegungen der vergangenen 90 Tage auszulesen und zu analysieren. So kann beispielsweise die Höhe der geleisteten Mietzahlungen ermittelt werden.

Der Bundesverband der Verbraucherzentralen (vzbv) hat Bedenken zu diesem Verfahren angemeldet. Zum einen sei zu bezweifeln, dass die Einwilligung tatsächlich immer freiwillig erteilt werde. Denn wer auf den Abschluss eines Vertrags angewiesen sei, müsse davon ausgehen, dass eine Zustimmung die Chancen auf eine positive Auskunft verbessere. Zudem befürchten die Verbraucherschützer, dass die Daten letztlich auch bei der Schufa landen und damit deren Marktmacht noch vergrößere.

Dem widersprach die Auskunftei. Beide Unternehmen sind rechtlich getrennt und könnten daher nicht einfach Daten austauschen. Zugleich arbeitet die Schufa jedoch sehr wohl daran, künftig eine rechtssichere Einwilligung zu bekommen, die einen solchen Datenaustausch erlaubt. Dennoch hält der Protest an: Am 18. Juli übergab die Bürgerbewegung Finanzwende 300.000 Unterschriften aus einer Petition, die sich gegen diese Pläne wenden, an die Schufa.

Verstöße gegen die DSGVO

Schon am nächsten Tag folgte der nächste Schlag, als Kuketz IT-Security eine Untersuchung der Bonify-App mit einem niederschmetternden Ergebnis veröffentlichte. Die Anwendung verstößt gleich mehrfach gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), da die verpflichtend vorgeschriebenen Einwilligungen zur Datenübertragung gemäß Datenschutz-Grundverordnung (DSGVO) nicht bzw. nicht rechtzeitig eingeholt wird.

Wie Mike Kuketz in seinem Blog (Website) darlegt, hat die von ihm untersuchte Android-App bereits nach dem Start verschiedene persönliche Daten an Google, Facebook und Twilio/Segment übertragen – alles Unternehmen mit Sitz in den USA. Zu den ausgelesenen und übermittelten Daten zählen unter anderem Geräte-Informationen wie

  • Hersteller,
  • Modell,
  • WiFi aktiv,
  • Bluetooth deaktiviert,
  • Mobilfunk deaktiviert,
  • App-Version,
  • Bildschirmauflösung.

Hinzu kommen weitere Daten wie der verwendete Mobilfunk-Provider oder die Google Advertising-ID, mit der sich Verbindungen zu weiteren persönlichen Daten herstellen lassen. Wohlgemerkt: Bis zu diesem Punkt wurde die App nur gestartet, aber noch keine Anmeldung durchgeführt.

Das Fazit von Kuketz fällt dementsprechend harsch aus: „Offenbar haben die Verantwortlichen noch nie etwas von § 25 Abs. 1 TTDSG gehört“, so die Bilanz zu diesem Punkt. Doch damit nicht genug. Wer sich tatsächlich anmeldet, muss mit einer noch sehr viel weitergehenden Datenweitergabe rechnen. Die Liste der Empfänger, zu finden im Abschnitt 8 der AGB unter „Tracking und Re-Targeting“, ist lang:

  • Facebook
  • Google
  • Microsoft
  • Forteil (Betreiber der Bonify-App)
  • Sentry
  • Outbrain
  • Taboola
  • Plista
  • Linkedin
  • Twitter
  • Webtrekk
  • Hotjar
  • Twilio/Segment
  • Blueshift
  • ConvertFlow
  • Pinterest
  • Adtriba
  • Landingi
  • Criteo

Auch hier stelle sich die Frage, ob und wann die Einwilligung gemäß DSGVO eingeholt werde, sorgt sich Kuketz. Er führt dieses Datenschutz-Desaster darauf zurück, dass die Verantwortlichen sich zu wenig mit den Gefahren aus der Einbindung von fremden Trackingbibliotheken bzw. -Modulen befasst hätten.

Nach dieser massiven Kritik – und der zwischenzeitlichen Runde 3 des Bonify-Dramas – wurde Kuketz nach eigenen Angaben von Verantwortlichen der Schufa und dem Forteil-Geschäftsführer Andreas Bermig kontaktiert. Sie hätten einen „Action Plan“ definiert, um die kritisierten Punkte baldmöglichst zu beheben. Da gäbe es noch mehr zu tun. So bemängelten User im Netz weitere Mängel der Website, wie das Fehlen einer Responsible Disclosure bzw. security.txt, DNSSEC und RPKI als weitere Sicherheitsmaßnahmen.

Kreditscore und Mieterbescheinigungen für alle

Zu einem ähnlichen vernichtenden Urteil wie Kuketz kommt auch die IT-Sicherheitsexpertin Lilith Wittmann, die sich auch beim Kollektiv Zerforschung engagiert – der Name ist eine eigenwillige Eindeutschung von „Reverse Engineering“, dem Hauptbetätigungsfeld der Gruppe. Das Fazit von Wittmann, nachdem sie sich intensiv mit dem Prozess der Authentifizierung über das Bankident-Verfahren befasst hatte:

Lilith Wittmann, Quelle: Martin Moerke - Eigenes Werk, CC BY-SA 4.0
Quelle: Martin Moerke – Eigenes Werk, CC BY-SA 4.0

Die Schufa hat ein Startup gekauft, dass nicht mal über absolutes Grundlagenwissen im Bereich Softwarearchitektur verfügt und einfach irgendwelche Verfahren irgendwie zusammenhackt. So verstoßen sie gegen ihre eigenen AGBs und ich habe jetzt den Kreditscore von Jens Spahn.“

Lilith Wittmann, IT-Sicherheitsforscherin

Um an die Daten des ehemaligen Gesundheitsministers zu kommen, bedurfte es – anders als in einigen Medien dargestellt – keines Hacks, sondern nur einer gezielten Datenübergabe im richtigen Moment an die verwendeten APIs der Bonify-Website. Insbesondere das Bankident-Verfahren und den dahinterstehenden Dienst Finleap Connect kritisiert die Sicherheitsexpertin: Dieser habe sich bereits mehrfach als relativ unsicher entpuppt und sei deshalb in bestimmten Bereichen, z.B. bei der Kontoeröffnung, verboten. Er wird aber beispielsweise häufig im Rahmen von Kontowechsel-Services eingesetzt.

Auf ihrer Website legt Lillith Wittmann dar, über welche Endpunkte die beteiligten Microservices kommunizierten und wie einfach es möglich war, hier zu manipulieren. Die Verifizierung beruhe auf einem untauglichen Namensvergleich, so einer der Kritikpunkte: „Wenn der Vor- und Nachname, unter dem das Bankkonto geführt wird, im Namen der bei Bonify eingegeben werden, irgendwie drin stecken, dann ist der Name valide“, so ihre Feststellung. Dementsprechend würde eine Angabe wie „Jens Lilith Spahn Wittmann“ die Bankkonten von Personen mit den Namen Jens Spahn, Lilith Wittmann, Lilith Spahn, Jens Wittmann usw. validieren.

Auf diese Weise erlangte die Sicherheitsforscherin Zugang zum Bonify-Score von Jens Spahn, sowie Angaben, worauf dieser beruht. Während die Schufa und Forteil behaupten, es seien keinerlei persönlichen Daten des CDU-Politikers abrufbar gewesen, hat Wittmann nach eigenen Angaben anhand verschiedener Profile überprüft, welcher Score angezeigt wird: Der des Konto-Inhabers, das zur Identifizierung verwendet wird, oder der des Namensgebers. Dementsprechend ist sie sich sicher, dass sie sehr wohl Zugriff auf die Bonify-Daten von Jens Spahn hatte.

Nicht betroffen waren übrigens die Schufa-Daten. Für deren Zugang wird ein anderer Microdienst verwendet, der nicht von der gefundenen Sicherheitslücke beeinträchtigt ist. Auch wurde nicht auf Konto-Informationen von Spahn zugegriffen, sondern ihm beispielsweise die Mietzahlungen des zur Identifizierung verwendeten Kontos zugeordnet.

Theoretisch hätte sich jeder – und sei die Bonität auch noch so schlecht – eine positive Mieterauskunft bei Bonify erschleichen können. <Q>Lilith Wittmann
Theoretisch hätte sich jeder – und sei die Bonität auch noch so schlecht – eine positive Mieterauskunft bei Bonify erschleichen können. Lilith Wittmann

Not-Aus bei Bonify

In einem weiteren Schritt konnte Wittmann zudem eine Mieterauskunft erstellen, die einem Vermieter Bonität und zuverlässiges Zahlungsverhalten bestätigt. Für die Schufa-Tochter ist dies natürlich eine Image-Katastrophe, wenn aufgrund einer manipulierbaren Schnittstelle die Bonitätsbestätigung praktisch wertlos wird, weil ihre Gültigkeit eben nicht mehr gewährleistet werden kann.

Nachdem am Samstagnachmittag der Bericht mit den beschriebenen Mängeln auf der Website von Lillith Wittmann veröffentlicht worden war, schaltete die Schufa bzw. Forteil laut eigenen Angaben noch am selben Abend die Bonify-Services ab und räumte auf Nachfrage von Journalisten die dargelegten Sicherheitslücke weitgehend ein.

Viel Arbeit für Programmierer und PR

Man darf gespannt sein, wann Bonify wieder online geht – und zu welchem Urteil die Sicherheitsforscher dann kommen <Q>Bonify
Man darf gespannt sein, wann Bonify wieder online geht – und zu welchem Urteil die Sicherheitsforscher dann kommen Bonify

Alles in allem kann der Fall Schufa / Bonify als Anschauungsmaterial dienen, wie man es (eigentlich) nicht machen sollte. Von einer verfrühten bzw. überzogenen PR, über das Ignorieren von Verbraucherschutzmaßnahmen wie im DSGVO verankert bis hin zu massiven Sicherheitslücken, die das Vertrauen in die Services und das Unternehmen als Ganzes unterminieren – in Summe ist diese Kombination fatal. Nun müssen die IT-Spezialisten und die Kommunikationsspezialisten die Fehler der Vergangenheit ausbaden und in aufwändiger Arbeit versuchen, eine sichere, rechtskonforme App zu erstellen bzw. das ramponierte Image zu kitten.

Niemand sollte sich allerdings der Illusion hingeben, hier handele es sich um einen außergewöhnlichen Einzelfall. Im Gegenteil: DSGVO-Verstöße, die auf Tracking und Re-Targeting-Modulen von Drittherstellern beruhen, sind in vielen Apps zu finden, sogar in sensibelsten Bereichen, wie etwa ein Test von Gesundheitsapps kürzlich aufgezeigt hat. Und auch die Sicherheit von APIs wird nur allzuhäufig nicht im notwendigen Maß auf Herz und Nieren getestet. Der Fall Bonify sollte daher jedem Verantwortlichen Mahnung sein, die eigenen Prozesse kritisch auf den Prüfstand zu stellen. hj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/155713

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert