Infoscore Datenleck: Sensible Bonitätsdaten von Millionen Bürgern waren stundenlang frei im Internet zugänglich. Eine Hackerin deckte die Sicherheitslücke auf.
Am 16. November 2024 wurden sensible Daten von fast acht Millionen Deutschen im Internet öffentlich zugänglich, berichtet tagesschau.de. Betroffen waren Informationen über erfolglose Mahnverfahren, Privatinsolvenzen und Bonitäts-Scores, die von der Auskunftei Infoscore Consumer Data aus Baden-Baden erhoben wurden. Infoscore ist ein Konkurrent der Schufa und bewertet die Zahlungsfähigkeit von Verbrauchern. Diese Bewertungen werden von Unternehmen im Handel, Banken, Versicherungen und sogar der Deutschen Bahn genutzt, um die Kreditwürdigkeit potenzieller Kunden zu überprüfen.
Entdeckt wurde das Infoscore Datenleck von der Berliner Hackerin Lilith Wittmann, die bereits im Sommer 2023 durch die Aufdeckung einer Sicherheitslücke bei der Schufa-App Bonify bekannt wurde, wie tagesschau.de berichtet. Damals konnte sie eine Mieterauskunft über den ehemaligen Bundesgesundheitsminister Jens Spahn erstellen. Im aktuellen Fall fand Wittmann die Schwachstelle bei zwei Partnerunternehmen von Infoscore. Über diese Firmen erlangte sie Zugriff auf die sensiblen Datenbanken.
Infoscore bestätigte den Sicherheitsvorfall gegenüber dem NDR und der Süddeutschen Zeitung und gab an, dass die betroffenen Partnerunternehmen über den „mutmaßlichen IT-Sicherheitsvorfall“ informiert wurden. Laut Infoscore selbst seien die internen Systeme des Unternehmens nicht beeinträchtigt worden. Der Zugriff der Partnerunternehmen auf die Infoscore-Daten wurde unterbunden.
Kritik an Datensicherheit
Lilith Wittmann kritisiert die Datensicherheit von Wirtschaftsauskunfteien grundsätzlich.
„Wenn man in zwei Jahren drei Mal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekommt, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten“, sagte die Hackerin gegenüber dem NDR und der Süddeutschen Zeitung.
Infoscore Datenleck: Rechtliche Konsequenzen
Das Datenleck bei Infoscore hat potenziell weitreichende rechtliche Konsequenzen sowohl für das Unternehmen als auch für die betroffenen Personen. Infoscore könnte mit hohen Bußgeldern der Datenschutzbehörden konfrontiert werden, da die Datenschutzgrundverordnung (DSGVO) strenge Anforderungen an den Schutz personenbezogener Daten stellt. Betroffene Personen haben zudem das Recht, Schadensersatzansprüche geltend zu machen, wenn ihnen durch das Datenleck ein materieller oder immaterieller Schaden entstanden ist.
Verbraucherschützer und Politiker reagieren
Verbraucherschützer zeigen sich alarmiert über das Datenleck bei Infoscore. Der Verbraucherzentrale Bundesverband (vzbv) kritisiert die mangelnde Datensicherheit und fordert eine lückenlose Aufklärung des Vorfalls.
Auch der digitalpolitische Sprecher der Grünen, Konstantin von Notz, äußerte sich kritisch zu dem Vorfall. Laut einem Bericht des Spiegel forderte er strengere Regeln und Kontrollen für Wirtschaftsauskunfteien, um die Bürgerinnen und Bürger vor Datenlecks zu schützen.
