Wenn die Schufa davon spricht, ein Transparenzversprechen einzulösen, darf man schon mal die Stirn runzeln. An sich verdient die „Schutzgemeinschaft für allgemeine Kreditsicherung“ ja ihr Geld damit, kommerziell mit den Daten von Bundesbürgern zu handeln. Zuletzt sah das Unternehmen jedoch mehrfach durch juristische Maßnahmen ausgebremst.
Nach dem letzten Update für die Schufa-App „bonify Finanzmanager“ haben Nutzer der Anwendung die Möglichkeit, darüber erweiterte Informationen zu den bei der Schufa gespeicherten persönlichen Daten abzurufen.
Bislang war es nur möglich, seinen sogenannten „Basisscore“ sowie eventuell zur Person gespeicherte Negativdaten ohne Zahlungsverpflichtung auf digitalem Weg einzusehen. Für weitere Auskünfte musste der Postversand einer sogenannten Datenkopie angestoßen werden. Die dabei entstehenden Kosten kann sich die Schufa bei einer Abfrage über die App nun sparen. Allerdings muss man sich hierfür registrieren und authentifizieren.
Nach erfolgreicher Anmeldung ist in der Bonify-App nun auch einsehbar, welche Informationen über persönliche Verträge bei der Schufa gespeichert sind und welche Unternehmen diese über die vergangenen 12 Monate hinweg angefragt haben. Dabei kann es sich beispielsweise um Informationen zu bestehenden Kreditkarten, Girokonten, laufenden Ratenkrediten und Immobilienkrediten handeln. Fehlerhafte Informationen können vom Eigentümer der Daten über eine Hilfefunktion gemeldet werden.
Schwachstelle in Auskunftsdatei „Interscore“
Ausführliche Informationen über die eigene und zudem auch die Kreditwürdigkeit von fremden Personen waren derweil über die mit der Schufa konkurrierende Auskunftsdatei Experian (Interscore) kostenfrei verfügbar, bis die Sicherheitsforscherin Lilith Wittman auf diese Schwachstelle aufmerksam gemacht hat.
Jens Spahns Bonität ist sogar noch besser geworden. Glückwunsch @jensspahn. pic.twitter.com/VrseDEivQc
— Lilith Wittmann (@LilithWittmann) November 12, 2024
Wittman hat den Sachverhalt publik gemacht, indem sie erneut die Bonität von Jens Spahn überprüft und den Auszug veröffentlicht hat. In gleicher Weise hat sie bereits im vergangenen Jahr auf eine Schwachstelle der Auskunftei aufmerksam gemacht. Detaillierte Informationen zur Art und Weise des Zugriffs hat die Hackerin auf LinkedIn veröffentlicht und dabei betont, dass sie bereits mehrfach auf gravierende Schwachstellen in solchen Auskunftssystemen gestoßen ist.
Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten.