Die Nachricht von Bonify ist knapp gehalten und mit vermeintlich harmlosen Worten überschrieben. „Information zum Schutz deiner personenbezogenen Daten“ steht über der Mitteilung, die die Schufa-Tochter an seine Kunden schickte und auch online veröffentlichte. Der Inhalt aber ist brisant. Denn offenbar haben sich Kriminelle Zugriff auf hochsensible Daten verschafft. Was Nutzer jetzt wissen müssen – und warum das Ganze ein Rückschlag für die Berliner Tochter der Auskunftei Schufa ist.
Was ist passiert?
Kriminelle sind an hochsensible Kundendaten von Bonify gekommen. Das teilte das Unternehmen seinen Kundinnen und Kunden im Laufe des Mittwochs mit. In einer Meldung dazu, die zusätzlich auf der Website einzusehen ist, informiert die Schufa-Tochter über den Vorfall und teilte mit, dass man bereits Anzeige bei den Strafverfolgungsbehörden eingereicht habe und auch die zuständigen Datenschützer über den Vorfall informiert worden seien. Weiter heißt es, der Schutz der Daten habe „oberste Priorität“ und dass man die Nutzer bei weiteren Erkenntnissen informieren werde. Ein Sprecher sagte auf Anfrage: „Wir sind Opfer einer kriminellen Tat geworden.“ Ob es sich um die Tat einer Hackergruppe oder eines Insiders handelt, ist offenbar unklar. „Die Behörden verfolgen diverse Spuren. Zu weiteren Details können wir aus ermittlungstaktischen Gründen keine Auskunft geben.“
Wer ist betroffen und welche Daten sind abgeflossen?
Den Kriminellen ist es laut Bonify gelungen, an Ausweisdaten, Adressen, Fotos und Videos von Personen zu gelangen. Diese sensiblen Informationen stammen aus sogenannten Video-Ident-Verfahren. Das ist eine Methode, die vor allem von Onlinebanken häufig verwendet wird, um die Identität von Kunden zu bestätigen. In so einer Aufzeichnung zeigen die Nutzer alle relevanten Sicherheitsfeatures ihres Ausweises und noch dazu ihr Gesicht. Dass die Gangster nun solche Daten haben, kann sehr gefährlich sein, weil sie mit ihnen sehr leicht Verträge im Namen der Opfer abschließen können. Entsprechend schwerwiegend ist das Datenleck.
Nicht gestohlen worden seien Passwörter, Zugangsdaten oder Zahlungsinformationen, die die Verbraucher bei Bonify hinterlegt haben. Betroffen sind laut Bonify einige Nutzerinnen und Nutzer, die sich in einem bestimmten Zeitraum für die App identifiziert haben. Wie viele Nutzerinnen und Nutzer von dem Datenleck betroffen sind, teilte die Firma bisher nicht mit. Auch ist unklar, aus welchem Zeitraum der Datensatz stammt, auf den die Gangster jetzt Zugriff haben. „Zu weiteren Details können wir im Hinblick auf die Ermittlungen der Strafverfolgungsbehörden zum jetzigen Zeitpunkt keine weitere Auskunft geben“, sagt ein Sprecher des Unternehmens.
Was müssen Nutzerinnen und Nutzer jetzt tun?
Bonify hat die betroffenen Nutzerinnen und Nutzer eigenen Angaben zufolge bereits persönlich informiert, entweder per Mail oder per Post. Verbraucher sollten nun darauf achten, ob sie ungewöhnliche Anfragen oder Nachrichten bekommen, die die eigenen Ausweisdaten enthalten oder betreffen. Das wäre ein deutlicher Hinweis darauf, dass ein Krimineller versucht, mit den gestohlenen Daten zu arbeiten. Verbraucherinnen und Verbraucher, die so etwas bemerken, sollten von der Konversation ein Foto oder Screenshot machen und sich sofort an die Polizei wenden. Es handelt sich in solchen Fällen um Identitätsbetrug. Wer auf Nummer sicher gehen will, sollte seine Ausweisdokumente austauschen und die alten sperren lassen.
Was ist Bonify überhaupt für ein Unternehmen?
Bonify ist die Marke der Forteil GmbH. Über die App können Kunden beispielsweise den Schufa-Basisscore oder negative Schufa-Einträge einsehen. Gründer Andreas Bermig wirbt auf der Website von Bonify mit dem Zitat: „Von den Daten der Nutzer profitieren im Internet oft nur Unternehmen. Wir wollen das ändern und geben Verbrauchern die Hoheit über ihre eigenen Daten zurück.“
Die Auskunftei Schufa hatte die Firma im Jahr 2022 gekauft. Zwischenzeitlich schoss die App in den Download-Charts auf die vorderen Plätze, was immerhin auf eine größere Nachfrage hindeutet. Schon 2020 verzeichnete Bonify laut eigenen Angaben eine Million Nutzer. Wie viele es heute sind, kommuniziert das Unternehmen nicht.
Exklusiv
:Schlappe für Immoscout24
Deutschlands größtes Immobilienportal verliert einen Prozess vor dem Landgericht Berlin. Das Urteil dürfte für viele Menschen interessant sein: Es geht um den Schufa-Bonitätscheck.
Warum hat die Schufa die Firma gekauft?
Der Kauf war damals Teil der Transparenzoffensive, die darauf abzielt, den Menschen besser zu erklären, was die Schufa macht und wie sie ihren berühmten „Schufa-Score“ berechnet. Dieser ist im Alltag sehr wichtig, weil er anzeigt, für wie kreditwürdig die Schufa die Verbraucher hält. Dieses Ergebnis berücksichtigen Banken und Handelsunternehmen beim Abschluss von Mobilfunkverträgen oder auch Krediten für Immobilien oder Konsum. Ist der Score zu schlecht, gibt es keinen Vertrag oder nur zu schlechteren Konditionen. 2024 nannte die Schufa die Marke Bonify einen „Transformationsbeschleuniger“. Bei der Entwicklung einer eigenen Schufa-App profitiere man von deren Wissen und Erfahrung.
Was bedeutet das Datenleck nun für das Unternehmen?
Der Abfluss von Daten ist für ein Unternehmen niemals gut. Besonders nicht, wenn es um so wichtige Daten wie in diesem Fall geht. Inwieweit sich rechtliche Konsequenzen ergeben, wird die zuständige Behörde, in dem Fall der Berliner Landesdatenschutzbeauftragte, ermitteln müssen. Gleichwohl dürfte das Datenleck sich negativ aufs Image von Bonify und womöglich auch auf die Muttergesellschaft Schufa auswirken. Für diese kommt der Sicherheitsvorfall zu Unzeiten. Immerhin will die Auskunftei schon in einigen Monaten einen neuen Score vorstellen und wirbt aktuell mit einer großen Medienkampagne für sich.
Für Bonify ist es auch deshalb ein Rückschlag, weil es nicht das erste Mal ist, dass die Firma negative Schlagzeilen in Bezug auf die Sicherheit von Daten macht. Bereits vor zwei Jahren gelang es der IT-Expertin Lilith Wittmann über einen Trick, die Bonitätsauskünfte von fremden Personen einzusehen. Dazu gehörten unter anderem Daten von CDU-Politiker Jens Spahn. Das war zwar kein klassisches Datenleck, wohl aber eine Sicherheitslücke. Wittmann sagte der SZ damals: „Mir zeigt die Sicherheitslücke bei Bonify, dass das Unternehmen nicht über absolut grundsätzliches Verständnis von IT-Sicherheit verfügt und ungeeignet ist, solche Daten zu verarbeiten.“ Bonify teilte damals mit, es seien nie persönliche Daten von Jens Spahn einsehbar gewesen, und: „Wir haben sofort Maßnahmen ergriffen und die Anmeldung zur Identifizierung überarbeitet.“ Einen weiteren Sicherheitsvorfall gab es danach nicht mehr. Bis jetzt.