Sicherheitsvorfall bei Schufa-Tochter Bonify: Ausweis- und Videoident-Daten abgeflossen

Die Schufa-Tochter Forteil, Betreiberin der Bonify-App, ist Ziel eines schwerwiegenden Cyberangriffs geworden. Das Unternehmen erklärte gegenüber betroffenen Kunden (und hier auf der Website), dass bislang unbekannte Täter unbefugt auf Identifizierungsdaten von Nutzern zugreifen konnten. Betroffen sind nach Angaben von Forteil insbesondere Ausweisdokumente, Adressdaten sowie Fotos und Videos, die im Rahmen des Videoident-Verfahrens erhoben und gespeichert wurden. Zugangsdaten, hinterlegte Kontoinformationen oder Bonitätsdaten seien hingegen nicht kompromittiert worden.

Bonify ist im Markt für digitale Bonitäts- und Finanz­dienst­leistungen aktiv und gehört seit 2022 zur Schufa Holding. Die App informiert Verbraucher über negative Schufa-Einträge und bietet Services wie Bonitätsauskünfte für Mietinteressenten. Doch der aktuelle Vorfall könnte das Vertrauen in den Dienst jedoch erheblich beeinträchtigen – insbesondere, da die Zahl der betroffenen Kunden derzeit noch offen bleibt.

Klar ist bis jetzt vor allem, dass es sich um die Videoident-Daten handelt, die über den Anbieter ID Now erhoben wurden, der dies für Forteil erledigt. Ob es sich dabei um ein externes Datenleck oder einen Insiderangriff handelt, ist aber wohl derzeit wohl ebenso Gegenstand der Ermittlungen wie die Frage, auf welcher Seite der KYC-Schnittstelle die Daten abgeflossen sind. Die Situation für die Betreiber solcher Dienste ist heikel – denn einerseits sind sie zumeist darauf angewiesen, mit entsprechenden Identifizierungsdiensten zusammenzuarbeiten, andererseits schafft jede Schnittstelle in diesem Kontext Unsicherheitspotential.

Wir sind Opfer einer kriminellen Tat geworden und arbeiten mit höchster Priorität und in enger Zusammenarbeit mit den zuständigen Behörden sowie unabhängigen Experten daran, den Angriff vollständig aufzuklären.“

Ein Sprecher von Forteil, Betreiber von Bonify

Insofern ist im aktuellen Fall noch offen, ob den Identifikationsdienst hier überhaupt eine Schuld trifft. Eine Sprecherin von ID Now erklärt, die betroffenen Datensätze würden im Rahmen einer Auftragsverarbeitung der Bonify erstellt und anschließend der Bonify bereitgestellt. Die sich hieran anschließende Verwendung von Daten obliege nicht ID Now, sondern den Vertragspartnern.

Fest steht, dass kein unbefugter Zugriff auf die Systeme von ID Now stattgefunden hat oder eine Sicherheitslücke bei ID Now bestand. Für unsere Kunden besteht daher nach aktuellem Stand kein Handlungsbedarf.“

Eine Sprecherin von ID Now

Das sind schwere Vorwürfe gegen Bonify, die einer Schuldzuweisung durch den Dienstleister gegenüber dem App-Betreiber gleichkommen. Alternativ kann man sich bei Bonify übrigens über ein Bankkonto oder die E-ID identifizieren.

Erpressungsversuch und mögliche Folgekosten

Bonify räumte ein, dass im Zusammenhang mit dem Angriff auch finanzielle Forderungen seitens der Täter erhoben wurden. Details hierzu sind jedoch aus ermittlungstaktischen Gründen nicht bekannt. Immerhin: Hinweise auf einen erfolgten oder versuchten Weiterverkauf der Daten im Darknet liegen bislang nicht vor.

Nach Unternehmensangaben seien betroffene Kunden inzwischen informiert worden. Zudem stellt Bonify diesen für sechs Monate einen kostenlosen Identitätsschutz bereit, der das Monitoring persönlicher Daten im Internet umfasst. Für die Betroffenen empfiehlt es sich zudem, aufmerksam auf verdächtige Aktivitäten bei Konten und Verträgen zu achten. Wird man Opfer eines Identitätsbetrugs, bleibt nur der Weg zur Polizei. Da die Ausweisdokumente kompromittiert wurden, sollten Kunden, die durch das Unternehmen darauf hingewiesen wurden, sicherheitshalber einen neuen Ausweis beantragen und den alten sperren lassen.

Identitätsdiebstahl möglich: Hohe Risiken für Betroffene

Die Gefahren für die Nutzer sind dennoch erheblich. Mit den abgeflossenen Ausweisdaten könnten Betrüger unter Umständen Verträge im Namen der Betroffenen abschließen – insbesondere in Bereichen mit niedrigeren regulatorischen Anforderungen wie Telekommunikations- oder Onlineverträgen. Dagegen macht es sich einmal mehr bezahlt, dass die Regulierungsbehörden im Banking-Bereich für regulierte Finanzdienstleistungen, wie Kontoeröffnungen oder Kreditaufnahmen auf dem Videoidentverfahren – zumindest in Deutschland.

Für die Schufa als Holding-Mutter kommt der Vorfall dennoch zu einem denkbar ungünstigen Zeitpunkt (okay, wirklich willkommen ist sowas ohnehin nie). Denn diese arbeitet aktuell an einer Reform des Scoring-Systems und bemüht sich darum, mit Hilfe eines einfacheren, besser nachvollziehbaren Bewertungsalgorithmus das Vertrauen von Verbrauchern zurückzugewinnen. Der Datenabfluss bei der Tochter Bonify könnte diese Bemühungen konterkarieren – sowohl finanziell als auch im Hinblick auf die öffentliche Wahrnehmung.

Zugleich wirft der Fall grundsätzliche Fragen zu Videoident-Verfahren auf. Banken und Finanzdienstleister setzen diese Technologie seit Jahren als Standard ein, um regulatorische Vorgaben bei der Kundenidentifizierung zu erfüllen. Der Bonify-Hack zeigt jedoch, dass die technische und organisatorische Absicherung dieser Prozesse systembedingt eine zentrale Schwachstelle bleiben könnte – mit potenziell gravierenden Folgen für die gesamte Branche.tw