Check24 und Verivox: Sicherheitslücken zeigen Schlampereien beim Datenschutz

Bei der Kreditvermittlung von sowohl Check24 als auch Verivox sind sowohl stümperhafte als auch kritische Datenlecks entdeckt worden. Im Grunde konnte jeder Laie an vertrauliche Kundendaten gelangen. Das ist recht pikant, da gerade im Zuge der Kreditvermittlung ziemlich private Daten abfließen. Beiden Anbietern drohen ein erheblicher Imageschaden und rechtliche Konsequenzen.

Inzwischen sind die „Sicherheitslücken“ zwar geschlossen, doch noch vor wenigen Monaten konnte man mit minimalem Aufwand sensible Kundendaten wie Namen, Adresse, Einkommen, Anzahl der Kinder und Arbeitsverhältnis von anderen Menschen abrufen (via Correctiv). Betroffen sind potenziell Millionen von Menschen. Sowohl Check24 als auch Verivox haben die Schwachstellen bestätigt und erklärt, dass sie behoben seien. Konkretere Auskünfte zur Bandbreite der betroffenen Nutzer, der Dauer der Zugriffsmöglichkeit, oder weitere Details wollte man aber nicht preisgeben.

Sicherheitsexperten nehmen an, dass die „Sicherheitslücken“ über Monate bestanden haben. Obendrein zweifelt man daran, dass die beiden Plattformen die IT-Sicherheit ernst genommen haben. Deswegen schreibe ich „Sicherheitslücke“ bewusst in Anführungsstrichen, denn der Fehler ist so trivial wie regelrecht peinlich. Gleichzeitig zeigt der Fall auch, wie wenig durch Behörden die Datensicherheit bei großen Plattformen kontrolliert wird. Leidtragende sind am Ende womöglich die Kunden.

Ob und welche Daten tatsächlich abgeflossen sind, ist offen

Immerhin: Es gibt zurzeit keine Hinweise darauf, dass Kriminelle die Daten abgegriffen haben. Dennoch sind die Daten sehr anfällig für Missbrauch. Check24 und Verivox geben an, keine Hinweise darauf zu haben, dass jemand unbefugt zugegriffen habe. Auch verweisen sie darauf, dass man die Sicherheit von Kundendaten sehr ernst nehme. Allerdings werdet ihr vermutlich an jenen Aussagen zweifeln, sobald ihr erfahrt, wie die „Sicherheitslücke“ ausgefallen ist.

Es lief so: Wer personalisierte Kredite bei Check24 und Verivox vergleichen will, erhält dafür nach Übertragen seiner Daten später eine personalisierte URL. Dort könnt ihr dann personalisierte Darlehnsangebote herunterladen. Bei Check24 wurde dafür auch im Hintergrund ein Passwort durch den Browser geprüft. Aber: Dasselbe Passwort wurde für alle Kunden verwendet. Jetzt kommt der eigentliche Hammer: Am Ende der URL prangte jeweils eine Nummer, die dem jeweiligen Kunden zugeordnet gewesen ist. Diese konnte man natürlich in der Adresszeile mal aus Jux ändern. Nun, ahnt ihr es…

Wer einfach mal die Ziffern hoch- oder herunterzählte, landete bei den Darlehnsangeboten anderer Kunden. Auch ohne Anmeldung bei Check24 ließen sich dann alle Darlehnsangebote herunterladen und damit sensible Daten der potenziellen Kreditnehmer frei mustern. Bei Verivox funktionierte dies haargenau so – dort sogar ohne Passwortprüfung. Bei Check24 gab es zu dieser Panne im Übrigen noch eine zweite Lücke, die allerdings dann durchaus komplexer ausfiel und mit dem WebSocket zusammengehangen hat. Hier wäre es für Angreifer möglich gewesen, mit speziellen Programmen Verbindungen zum WebSocket herzustellen und neue Darlehnsangebote quasi ohne Authentifizierung zu abonnieren. Anstelle einer personifizierten Kennung gab man dazu am Ende einfach einen Platzhalter an. Es reichte hier ein Sternchen am Ende.

Check24 und Verivox: Datenschutzbehörden untersuchen den Fall

Auch über die WebSocket-Methode konnte man dann PDF-Dateien mit ausführlichen Darlehnsangeboten herunterladen. Enthalten waren sensible Informationen wie Namen, Geschlecht, Telefonnummer, Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, Arbeitsverhältnis, Beschäftigungsdauer beim aktuellen Arbeitgeber, seit wann die Person am aktuellen Wohnsitz lebt, Haushalts-Nettoeinkommen, ob sie bereits Kredite abgeschlossen hat, ob sie zur Miete wohnt, die Anzahl ihrer Kinder und die Anzahl ihrer Fahrzeuge. Auch der beantragte Kreditumfang, die Höhe der Raten sowie Kontoinformationen inklusive IBAN wurden so ausgewiesen.

Der Chaos Computer Club (CCC) wurde über die Sicherheitslücken informiert und kommunizierte dann mit den Anbietern. Denn es kann für Privatpersonen rechtlich heikel sein, die Ausnutzung solcher Lücken zu melden – da sie sich dann ja eventuell schon private Daten unerlaubt gesichert haben. Umgekehrt sind nun juristische Folgen für Check24 und Verivox möglich. Die zuständigen Datenschutzbehörden, an welche die Fälle gemeldet werden mussten, untersuchen das Ganze inzwischen.

Es sind auch Schadensersatzansprüche durch Betroffene möglich, das muss aber im Einzelfall entschieden werden. Generell ist das aber alles schon ein starkes Stück und unterstreicht auf traurige Weise, dass auch große Unternehmen Datenschutz und Sicherheit von Kundendaten bedauerlicherweise nicht immer ausreichend gewährleisten.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Wahnsinn, da ist die Sammelklage ja bestimmt nicht mehr weit weg…

  2. Interessant auch die sehr freihändige Vorgehensweise im Mietwagenbereich.
    Letztens konnte einfach ein Mitreisender für mich bei Check24 anrufen und nach Nennung meines Namens und Geburtsdatums Änderungen an meiner Buchung beauftragen und noch besser, in meinem Namen hat Check dann auch noch beim Anbieter angerufen und mit dem Änderungen besprochen, ohne, dass der Anbieter sich irgendwie bei mir rückversichern musste.
    Alles freihändig per Telefon. Von wegen Buttonlösung bei kostenpflichtigen Verträgen oder Vertragsänderungen oder Datenschutz.
    War aus meiner Sicht natürlich bequem. Aber in der Haut der Portale will ich nicht stecken wenn das mal schief geht und ein Kunde ein Fass darüber aufmacht.

    Kundendaten gehören nicht so stümperhaft „gesichert“ öffentlich zugänglich und gehören auch nicht ans Telefon. Das kann man doch heutzutage alles perfekt digital sichern. Und wenn Kunden damit nicht klarkommen können sie das halt nicht nutzen und müssen wie vor 30 Jahren zum klassischen Reisebüro oder zur klassischen Bankfiliale. Ist auch kein Verstoß gegen die Menschenwürde oder so.
    Aber wenn man alles unpersönlich abwickelt dann bitte von Anfang bis Ende maximal professionell und geschützt und nicht aus falsch verstandener Kundenorientierung offen wie ein Scheunentor, damit es möglichst einfach ist.
    Die meisten Kunden wollen das nämlich auch nicht so, wenn man ihnen mal wirklich die Sicherheitsrisiken erklärt.

  3. Hallo André: „…, wie wenig die Datensicherheit bei großen Plattformen durch Behörden kontrolliert wird“ klingt aber schöner formuliert.

    Zum Thema:
    Tja. Da fühl ich mich bestätigt, diese „Vergleichsportale“ nie genutzt zu haben.
    Nicht nur, weil ich mal gelesen hab, das Ergebnismengen zugunsten zahlungskräftiger Unternehmen dahingehend manipuliert worden sind, dass deren Artikel weiter oben auftauchen. Kann mich auch irren. Der unangenehme „Beigeschmack“ bleibt aber.

  4. Unglaublich, dass die nicht alle Kunden informieren müssen, die im Zeitraum X einen Vergleich durchgeführt haben und deren Daten abgeflossen sein könnten.

    • André Westphal says:

      Ich glaube, das müssen sie noch wegen der geltenden Datenschutzgesetze. Gespannt bin ich, was die Behörden am Ende machen, eigentlich müsse es für so eine extreme Nachlässigkeit schon eine saftige Strafe geben.

  5. „Gleichzeitig zeigt der Fall auch, wie wenig durch Behörden die Datensicherheit bei großen Plattformen kontrolliert wird.“
    Es können Datenschutzkontrollen der Behörden stattfinden, da gibt es dann eventuell die Frage, ob die nötigen technischen und organisatorischen Maßnehmen getroffen wurden, ein „angemessenes“ Schutzniveau zu schaffen. Letztgenannte Maßnahmen sollen die Datensicherheit gewährleisten, aber aktiv geprüft wird diese Sicherheit von den Behörden nicht, die machen keine Penetrationstests bei den Unternehmen, dafür haben sie gar keine Handhabe.

  6. Egal worum es ging, ob Preisvergleiche für e-Technik oder andere dinge – mir haben sich diese Plattformen immer nur als kundenorientiert verbrämte Werbeplattformen dargestellt – und ich habe dort nie persönliche Daten hinterlassen und die Seiten schnell wieder verlassen.
    Da vergleiche ich dann lieber auf den Seiten der Original-Anbieter und suche mir da den günstigsten heraus bzw. den der das für mich passenste Angebot hat – das muß nicht immer das preiswerteste sein, Lieferfristen z. B. können auch ein Auswahlkriterium sein.
    Eine wie ich finde überflüssige „Dienstleistung“

  7. Genau so etwas ist mir vor Jahren mal zufällig passiert. Ich habe mich in der Adresszeile verschrieben und der Webinhalt lag völlig offen in einem Sitemap-Format vor in dem ich hin und her springen konnte. War ein kostenloser Cloud Anbieter für Fotos.
    Jetzt wird’s erst richtig lustig. Lt. Geschäftsbedingungen durften keine Aktfotos gespeichert werden. Hahaha. War voll davon.
    Ich hatte dort zum testen mal einige selbst kreierte Bildschimhintergünde abgelegt. Habe diesen Anbieter nie wieder genutzt und mir auch den Namen nicht gemerkt, weil ich dem keine Bedeutung beigemessen habe.

  8. Tja, das kommt dabei raus, wenn die Kohle lieber ins Marketing gepumpt wird und sich am Ende die Check 24-Familie oder der Verivox höchstpersönlich um die IT-Sicherheit kümmern muss.
    Man kann nur auf hohe Bußgelder hoffen, ansonsten wird sich auch nichts ändern. Ansonsten sehe ich das wie Andreas, Finger weg von diesen intransparenten und fragwürdigen Portalen, die auf die „Geiz ist geil“-Mentalität setzen.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.