Lilith Wittmann hat mal wieder zugeschlagen. Getroffen hat es die Schufa, genauer gesagt deren Tochtergesellschaft Forteil GmbH. Deren App bonify gewährt den Nutzerinnen und Nutzern die Möglichkeit, ihre Kreditwürdigkeits-Einstufung einzusehen. Ebenso ist es damit möglich, sich eine kostenpflichtige Mieterauskunft einzuholen.
Über eine Sicherheitslücke gelang es Wittmann, beliebige Daten aus dem Dienst abzurufen[1]Schufa-App: Sicherheitsleck in Bonify gibt kurzzeitig beliebige Daten preis. Mit der App frönt die Schufa keinesfalls einem Altruismus: “Die Schufa verfolgt dabei allerdings auch noch weitere Eigeninteressen. Denn nach einer Anmeldung bei bonify soll man den Zugriff zum eigenen Bankkonto gewähren. Denn Bonify nutzt den Namen, unter dem das Bankkonto geführt wird, zur Identifizierung der Person, die gerade ihren Kreditscore einsehen will. Sie erhalten dabei aber außerdem noch Zugriff auf die Liste aller Transaktionen des verknüpften Bankkontos. Diese nutzen sie z.B. um mit KI zu analysieren, wie viel Miete oder Haushaltsausgaben vom Bankkonto jeden Monat vom Konto abgehen. Ein wahrer Datenschatz um die Bonität von Menschen zu bewerten“[2]bonify — das Schufa-Startup, das jedem sagt, ob Du kreditwürdig bist.
Ein besonderer Schwachpunkt ist laut Wittmann die Authentifizierung mittels Bank-Ident, wofür der Dienst finleap Connect verwendet wird. In einem Versuch forderte Wittmann die kostenpflichtige Mieterauskunft über Jens Spahn an. Die Auskunft weist eine monatliche Mietzahlung in Höhe von 955.51 € aus. Die Info kommt nicht von Spahn, “sondern von dem Konto, welches zur Verifizierung verwendet wurde. Denn wenn bei der Anmeldung Bankident verwendet wird, dann erhält bonify wie gesagt nicht nur euren Name sondern auch sämtliche Transaktionen des verknüpften Kontos“.
Die Schufa habe sich ein Starup zugelegt, das “nicht mal über absolutes Grundlagenwissen im Bereich Softwarearchitektur verfügt und einfach irgendwelche Verfahren irgendwie zusammenhackt. So verstoßen sie gegen ihre eigenen AGBs und ich habe jetzt den Kreditscore von Jens Spahn. Deshalb bleibt mir hier nur die Empfehlung an die Schufa: Abschalten und Abschreiben“.
Die von der Schufa propagierte “Datensouveränität” bedeute nichts anderes als “Du musst uns Deine Daten in Zukunft selber geben um einen guten Score zu bekommen, dafür machen wir TrAnSpaRent wie wir dich diskriminieren”.
In einem Interview mit der Bild-Zeitung ließ die Schufa-Chefin Tanja Birkholz wissen, dass die Tatsache, dass jemand zwei Girokonten habe, heikel sei. “Wenn Sie viele Girokonten haben, dann haben Sie auch mehrere Dispokredite“[3]https://twitter.com/Thomas_Beutler/status/1683379213678592001.
Das ist schon eine steile Aussage, die nun selber ein wenig heikel ist.
References