Thought Leadership
Der Finanzdienstleister bonify informiert über einen Sicherheitsvorfall, bei dem Kriminelle Zugriff auf Identifizierungsdaten von Kunden erlangt haben. Betroffen sind Nutzer, die sich per Video-Ident verifiziert haben.
bonify, eine Tochtergesellschaft der Schufa, warnt aktuell seine Nutzer vor einem Datenabfluss bei einem externen Dienstleister. Nach Angaben des Unternehmens gibt es Hinweise darauf, dass sich Angreifer Zugriff auf Identifizierungsdaten verschafft haben, die im Rahmen von sogenannten “Face-to-Face”-Autorisierungen verarbeitet wurden. Dabei handelt es sich um Video-Identifizierungsverfahren, die über einen externen Auftragsverarbeiter in einem begrenzten Zeitraum durchgeführt wurden.
Ausweisdaten und biometrische Informationen abgeflossen
Die kompromittierten Daten umfassen laut bonify Ausweisdokumente, Adressinformationen sowie Fotos und Videos aus dem Identifizierungsprozess. Das Unternehmen warnt explizit vor der Gefahr eines Identitätsmissbrauchs: Kriminelle könnten versuchen, mit den erbeuteten Daten Verträge im Namen der Betroffenen abzuschließen.
Entwarnung gibt es hingegen für sensible Zugangsdaten: bonify-Passwörter, Login-Informationen und Zahlungsdaten sind nach derzeitigem Kenntnisstand nicht von dem Vorfall betroffen. Ebenso seien Nutzer, die sich ausschließlich über eID, das PostIdent-Verfahren oder per Bankkontoverbindung identifiziert haben, nicht betroffen.
Betroffene bereits informiert
Das Unternehmen hat nach eigenen Angaben bereits begonnen, die betroffenen Kunden direkt per E-Mail oder Post zu kontaktieren. Parallel arbeite man “mit höchster Priorität” zusammen mit externen Sicherheitsexperten und Behörden an der Aufklärung des Vorfalls. bonify hat Strafanzeige erstattet und die zuständige Datenschutzaufsichtsbehörde informiert.
Empfehlungen für Nutzer
bonify rät seinen Kunden zu erhöhter Wachsamkeit. Nutzer sollten aufmerksam auf ungewöhnliche Anfragen reagieren, die ihre Ausweisdaten betreffen, und keine persönlichen Informationen als Reaktion auf verdächtige Kommunikationsversuche preisgeben. Bei konkreten Anzeichen für Identitätsmissbrauch sollten Betroffene Anzeige bei der Polizei erstatten. Zusätzlich besteht die Möglichkeit, einen Identitätsbetrug bei entsprechenden Meldestellen einzumelden.
