Kreditvermittlung bei Check24 und Verivox: Kritische Datenlecks entdeckt

Die Vergleichsportale Verivox und Check24 geraten wegen gravierender Datenlecks in Erklärungsnot: Heikle persönliche Angaben von Kundinnen und Kunden waren bis vor wenigen Monaten mit ein paar Handgriffen leicht einsehbar, darunter Name und Adresse, Einkommen, die Zahl der Kinder oder das Arbeitsverhältnis. Die Sicherheitslücken traten im Bereich Kreditvermittlung auf und könnten bis zu Millionen von Menschen betroffen haben.

Beide Anbieter haben die Schwachstellen auf Anfrage von CORRECTIV bestätigt. Verivox teilt mit, das Unternehmen habe entsprechende Hinweise im August „sofort geprüft“, die Applikation „zeitweilig offline genommen“ und erst wieder online gestellt, „nachdem eine etwaige Kompromittierung von Daten ausgeschlossen werden konnte.“

Check24 antwortet nicht auf einzelne Fragen von CORRECTIV, sondern schickt unter Verweis auf die kurze Antwortfrist ein internes Protokoll an sein Management. Darin steht: 30.07.2024: „Security Team hat die gemeldete Lücke überprüft und (leider) bestäigt.“ Das „größte Einfallstor“ sei am selben Tag geschlossen, weitere Fehler in den folgenden Tagen behoben worden.

Auf die Frage, wie viele Nutzer von dem Leck betroffen waren, antworten beide Anbieter nicht. Allein zu dem Zeitpunkt, als die Datenpannen aufflogen, sollen nach CORRECTIV vorliegenden Informationen bei Verivox Datensätze von 75.000 Menschen zugänglich gewesen sein. Zu Betroffenen bei Check24 liegen keine konkreten Zahlen vor. Auch, wie lange die Lecks zuvor bestanden, teilen die Unternehmen nicht mit; daher könnten die Zahlen um ein Vielfaches höher liegen. Möglich ist nach Einschätzung von Fachleuten, dass die Fehler monatelang von den Anbietern unerkannt blieben.

Auf Check24 wie auf Verivox können Nutzer Strom-, Gas-, Handy- und Internettarife sowie Versicherungen, Kredite und andere Dienstleistungen vergleichen. Millionen von Menschen in Deutschland haben sich auf den Seiten Angebote vermitteln lassen.

Der Chaos Computer Club spricht von „Supergau“

Die Probleme kamen ans Licht, als ein anonymer IT-Experte die technischen Fehler auf den Portale fand. Beide Unternehmen wurden zeitnah informiert und, wie sie bestätigen, haben sie ihre Lücken kurze Zeit später geschlossen.

Das Ausmaß der Leckstellen wirft Zweifel an der IT-Sicherheit bei den beiden großen Anbietern auf und ließ die Portale als mögliche Fundgrube für Datendiebe erscheinen. Der Fall zeigt aber auch, wie lax Unternehmen staatlich überprüft wurden und wie wenig Schutz vor Identitätsdiebstahl im Internet existiert.

Die Hackervereinigung Chaos Computer Club (CCC) spricht von einem „Supergau“, da nicht nur relativ harmlose Angaben wie E-Mailadressen, sondern umfangreiche Datensätze mit finanziellen und persönlichen Informationen auf den Portalen so gut wie offen zugänglich waren: „Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben”, sagt CCC-Sprecher Matthias Marx.

Hoch missbrauchsanfällig: Experte warnt vor Risiken für Nutzer

Zwar gibt es nach Einschätzung von Experten bisher keine Hinweise, dass Daten von Betroffenen im Netz verbreitet, gehandelt oder kriminell genutzt wurden. Das heißt nicht, dass die Angaben nicht abgeflossen sind: Von außen lässt sich nicht prüfen, ob, wann und inwieweit sich Unbefugte Zugang zu den Informationen der Nutzer verschafft haben.

Auch Johannes Caspar, Jura-Professor an der Universität Hamburg und zuvor langjähriger Datenschutzbeauftragter der Stadt Hamburg, warnt vor den Risiken für die Nutzer: „Diese Daten sind hoch missbrauchsanfällig, wenn sie in die falschen Hände geraten.“ Es liege „in der Verantwortung der Webseiten-Betreiber, die Daten ihrer Kunden zu schützen und entsprechende Vorkehrungen zu treffen.”

Beide Unternehmen teilen mit, sie hätten Analysen der Log-Dateien durchgeführt und keine unbefugten Zuriffe auf die Dateien ihrer Nutzer festgestellt.

Check24 ließ die zuständigen Entwickler nachschulen

„Die Sicherheit der Daten unserer Kunden hat für uns höchste Priorität”, schreibt ein Sprecher von Verivox. „Unsere Prozesse und Strukturen zum Datenschutz und zur Datensicherheit entsprechen zu jeder Zeit den einschlägigen datenschutzrechtlichen Vorgaben.“ Das Unternehmen führe „ regelmäßig branchenübliche Penetration Tests“ auf der Plattform durch, um etwaige Schwachstellen zu identifizieren. Eine solche Überprüfung sei auch wenige Tage vor dem „Hack Anfang August 2024“ durchgeführt worden und habe „keine kritischen Ergebnisse“ geliefert.

Aus dem Protokoll von Check24 geht hervor, dass das Security Team des Unternehmens nach der Meldung den Geschäftsführer und den IT-Verantwortlichen des Bereichs Kredit informierte. Das IT-Team hat demnach die Fehler repariert und eine „Analyse zu weiteren möglichen Einfallstoren gestartet“. Auch eine Reihe von „Maßnahmen zur Aufarbeitung und Prävention“ sind in dem Dokument aufgelistet, zum Beispiel: Das IT-Team habe „bereits alle Entwickler, die an der betroffenen Komponente beteiligt waren, nachgeschult“.

Für die Unternehmen sind die Pannen brisant: Das Geschäftsmodell von Check24 und Verivox besteht darin, persönliche Daten zu sammeln und gezielt an Firmen zu vermitteln. Die Kunden erhalten im Gegenzug personalisierte Angebote – in diesem Fall Kreditangebote von Banken. Kommt ein Vertragsabschluss zustande, erhält der Anbieter eine Gebühr. Check24 ist nach eigenen Angaben Marktführer unter den Vergleichsportalen; das Manager Magazin schätzt seinen Umsatz 2023 unter Berufung auf Brancheninsider auf 1,1 bis 1,3 Milliarden Euro.

Der anonyme IT-Experte und Hinweisgeber stieß im Juli zunächst bei Check24 auf die Schwachstellen. Er habe „nicht aktiv“ danach gesucht, sagt er gegenüber CORRECTIV, sondern sei regelrecht darüber „gestolpert“.  Zur Sicherheit habe er die Konkurrenzseite Verivox überprüft und dort eine sehr ähnlichen Sicherheitslücke gefunden: Den Fehler bezeichnet er als „trivial“, bei jeder Überprüfung hätte dieser auffallen müssen, meint er: „Was diese beiden Sicherheitslücken für mich besonders gravierend macht, ist der stümperhafte Umgang mit Daten von Kundinnen und Kunden.“

Im Detail: Wie persönliche Daten offen zugänglich waren

Um die Schwachstelle auszunutzen, musste man nicht einmal registrierter Kunde bei den Anbietern sein: Wer die Portale als Gast besucht und Kredite vergleichen will, erhält seine Angebote über eine URL, also eine Webadresse.

Diese Adresse führte zum Download der personalisierten Darlehensangebote. Bei Check24 gab es zwar ein Passwort, das für Nutzer im Hintergrund abgefragt und durch den Browser übermittelt wurde. Ein und dasselbe Passwort funktionierte für alle Kunden.

Am Ende der URL stand für die Nutzer jeweils eine Nummer. Wer diese Ziffer hoch- oder herunterzählte, gelangte zu den Darlehensangeboten anderer Kunden und konnte die PDF herunterzuladen, ohne selbst bei Check24 angemeldet zu sein. Die Angebote enthielten nicht nur Informationen zu den Darlehen, sondern auch detaillierte Daten der potenziellen Kreditnehmer.

Vereinfacht kann man sich das vorstellen wie einen Keller in einem Mehrfamilienhaus mit Abteilen für die einzelnen Mieter: An jeder Tür ist ein Vorhängeschloss. Aber der Code steht auf einem Zettel an einem Eingang und öffnet sämtliche Kellerabteile.

Bei Verivox funktionierte dieselbe Methode – dort sogar ganz ohne Passwort.

„Die Ausnutzung der Sicherheitslücken hat keinerlei tieferes technisches Verständnis benötigt”, lautet das Fazit des anonymen IT-Experten. „Eigentlich ist der Begriff ,Sicherheitslücke‘ hier fast unangebracht, da in beiden Fällen die Daten einfach offen über das Internet abrufbar waren.“

In der Hacker-Community werden verschiedene ethische Hacker-Praxen mit der Farbe der Hüte metaphorisch ausgedrückt. Die entscheidende Linie verläuft zwischen Eigen- beziehungsweise Allgemeininteresse.

White Hat: Sicherheitslücken melden, um Schaden zu verhindern.

Black Hat: Sicherheitslücken zum Schaden Dritter ausnutzen. Das können kriminelle Transaktionen oder Spionage sein. Entscheidend ist, dass es um persönliche Interessen beziehungsweise Bereicherung geht.

Grey Hat: Mal so, mal so, oder Kombination – auch bei unterschiedlicher ethischer Abwägung.

Hinzu kommt: Bei Check24 gab es noch eine zweite Sicherheitslücke, für die allerdings etwas mehr IT-Knowhow nötig war. Diese hing mit einem sogenannten WebSocket zusammen. Die Technologie ermöglicht eine Kommunikation des Webbrowser in Echtzeit mit einem Server. Die Verbindung bleibt ständig offen, neue Kreditangebote für Kunden können so regelmäßig und sofort angezeigt werden, ohne dass eine neue Verbindung erstellt werden muss.

Im Check24-Protokoll steht dazu: „Im Kredit-Vergleich nutzen wir WebSockets um Ergebnisse schneller darzustellen“ und: „Die Implementierung war nicht ausreichend abgesichert, sodass es einem Angreifer durch technische Manipulation möglich war, auch die Ergebnisse anderer Kunden zu sehen.“

Praktisch hieß das: Mit einem einfachen Programm konnte man eine Verbindung zu dem WebSocket herstellen und alle neuen Darlehensangebote abonnieren. Eine Authentifizierung war dazu nicht nötig.

Der einfache Trick: Anstelle einer personifizierten Kennung gab man einen Platzhalter an, eine sogenannte „Wildcard“ – in dem Fall reichte ein Sternchen am Ende.

Daraufhin erschienen Kundendaten mit Download-Links zu PDF-Dateien mit den just in dem Moment angefragten Darlehensangeboten der Banken. Sie enthielten Informationen wie Namen, Geschlecht, Telefonnummer, Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, Arbeitsverhältnis, Beschäftigungsdauer beim aktuellen Arbeitgeber, seit wann die Person am aktuellen Wohnsitz lebt, Haushalts-Nettoeinkommen, ob sie bereits Kredite abgeschlossen hat, ob sie zur Miete wohnt, die Anzahl ihrer Kinder und die Anzahl ihrer Fahrzeuge. Weitere Details der Darlehensangebote waren der beantragte Kreditumfang, Raten sowie Kontoinformationen inklusive IBAN.

Das Aufspüren von Datenlecks ist juristisch riskant

Der IT-Experte und Hinweisgeber will anonym bleiben, da das Aufspüren von Sicherheitsmängeln oder Lecks auf Webseiten juristisch riskant sein kann – selbst bei besten Absichten und ganz ohne kriminelle Motive könnte er von den Betreibern verklagt werden.

Deshalb müssen Hinweisgeber wie er einen Umweg gehen, in diesem Fall über den CCC. Der Sprecher des Vereins Matthias Marx nahm sich des Falls an und meldete die Fehler bei den Unternehmen: am 29. Juli bei Check24, am 20.08.2024 bei Verivox.

Der Chaos Computer Club spielt eine wichtige Rolle bei der Aufdeckung von Sicherheitslücken. Der Verein nimmt Hinweise entgegen, überprüft diese und informiert betroffene Unternehmen sowie zuständige Behörden. Ziel ist es, die Sicherheit der Systeme zu erhöhen und den Datenschutz zu gewährleisten. Ein Problem für Hinweisgeber: Der sogenannte Hackerparagraph kriminalisiert das Programmieren, Überlassen und Verbreiten von Hackertools, die für die Arbeit von Netzwerkadministratoren und Sicherheitsexperten notwendig sind. Damit, schreibt der CCC auf seiner Webseite, bliebe der Industrie und normalen Nutzern die Möglichkeit verwehrt, Computer auf Sicherheitslücken zu testen.

„Es ist schon bemerkenswert, dass zwei so große Portale, die nichts weiter machen als Daten zu sammeln und an Banken weiterzugeben, solche Anfängerfehler machen, die eigentlich gar nicht passieren dürfen”, so das Fazit des CCC-Sprechers.

Check24 wollte sich bei der Hackerorganisation mit einer Spende von 400 Euro bedanken. Der Verein habe das Geld nicht angenommen, da er, sagt Marx, mit seiner Arbeit keine finanziellen Interessen verfolge. Auf Anregung des CCC leitete Check24 den Betrag an eine Seenotrettungsorganisation weiter. Check24 bestätigt dies.

Der angegebene Sicherheits-Fachmann war nicht erreichbar

Seltsam dagegen fiel die Reaktion bei Verivox aus: Der Anbieter hatte auf seinem Webserver Hinweise zur schnellen Kontaktaufnahme bei akuten Risiken angegeben: eine sogenannte security.txt-Textdatei, die das Melden von Sicherheitslücken erleichtern soll. Zumindest theoretisch. Praktisch aber kam Marx’ E-Mail nicht an; die Adresse funktionierte nicht, und der genannte Sicherheits-Fachmann ist laut seinem Social-Media-Profil seit mehr als vier Jahren bei einem anderen Arbeitgeber tätig.

Matthias Marx hatte außerdem Service-Mailadressen von Verivox angeschrieben und rief zusätzlich an, damit die Mail nicht untergeht. Das Telefonat sei freundlich verlaufen. Aber eine Woche danach erhielt der CCC-Sprecher eine auffällig scharf formulierte Mail, gespickt mit juristischen Floskeln: Ein „Chief Technology Officer” teilte ihm mit, er sei „nicht befugt“ Daten zu verarbeiten, zu denen er sich „Zugang verschafft“ habe; er forderte Marx auf, sämtliche Daten „unverzüglich zu löschen“ und ihm dies zu bestätigen – mit Deadline und Verweis auf das Datenschutzgesetz. CORRECTIV konnte das Schreiben einsehen.

Der Sprecher des CCC antwortete kühl: Ein „Zugang verschaffen“, schrieb er, würde zunächst einen „Zugangsschutz“ voraussetzen.

Verivox teilt CORRECTIV hierzu mit, auf der Seite sei unter dem Link „Datenschutz“ „jederzeit klar ersichtlich“, wer für solche Anliegen ansprechbar sei. „Sämtliche hier unter anderem im Abschnitt ,Kontakt‘ aufgeführten Kontaktdaten der Verivox Finanzvergleich GmbH sind aktuell, alle Anfragen, die hierüber eingehen, werden zeitnah beantwortet.“ Auf die Frage nach der schroff formulierten E-Mail an Marx äußert sich die Pressestelle nicht.

Datenschutzbehörden prüfen die Sicherheitslücken

Da nicht klar ist, wie lange die Sicherheitslücken schon bestanden, lässt sich auch die Anzahl der Betroffenen allenfalls vage abschätzen. Der anonyme Hinweisgeber kann nur sagen, wie viele Datensätze im Moment der Feststellung bei Verivox abrufbar waren: 75.000. Die ältesten vorliegenden Daten seien vier Monate alt gewesen, vermutlich löscht Verivox danach die Datensätze seiner Kunden. Insgesamt, so berechnete der IT-Experte auf Grundlage von Website-Daten, könnten bei beiden Portalen bis zu Millionen Nutzer betroffen sein. Ob diese Schätzung zutrifft, ist unklar.

Ein Missbrauch persönlicher Nutzerdaten birgt hohe Risiken. Hacker und Scammer können damit Identitätsdiebstahl begehen, Phishing-Angriffe starten und betrügerische Transaktionen durchführen. Verivox und Check24 versichern, dass sich außer dem Tippgeber oder dem verantwortlichen Mitglied des Chaos Computer Clubs niemand widerrechtlich Zugang zu den Daten ihrer  Nutzer verschafft hat.

Für die Anbieter könnte der Fall trotzdem möglicherweise noch juristischen Folgen haben. Bei den zuständigen Datenschutzbehörden haben sowohl der CCC als auch die Unternehmen die Sicherheitspannen gemeldet. Für Verivox ist der Landesbeauftragte für Datenschutz in Baden-Württemberg zuständig und bestätigt auf Anfrage von CORRECTIV, dass der Fall  geprüft werde.

Da es sich um ein laufendes Verfahren handele, könne er aber keine konkreten Angaben zu Schwere und Tragweite der Datenpanne machen, teilt ein Sprecher mit. Allerdings habe die Behörde Daten und Beweise sichern können.

Die Unternehmen müssen nachweisen, dass die Lücken nicht ausgenutzt wurden

Die Zentrale der Firmengruppe Check24 ist in München, dort prüft der Bayerische Landesbeauftragte für Datenschutz. Auch dessen Pressestelle macht unter Berufung auf das laufende Verfahren keine Angaben zu dem konkreten Fall.

Allerdings macht der Behördensprecher deutlich, dass Check24 in der Nachweispflicht ist: „Bei ,Datenlecks‘‘ wie beispielsweise unsicher konfigurierten Systemen stellt sich uns primär die Frage, ob es zu einem Ausnutzen der Lücke mit dem Ziel des Datenabrufs überhaupt gekommen ist”, teilt er mit. „Hierbei müssen uns die betroffenen Unternehmen mittels einer Auswertung ihrer Protokollierung den Nachweis erbringen, dass dem nicht so war.“

Beiden Portalen könnte zudem ein Imageschaden drohen, wenn sie auch ihre Nutzer benachrichtigen müssten. Laut Datenschutz-Grundverordnung sind Unternehmen verpflichtet, bei Sicherheitspannen betroffene Kunden umfassend und schnell zu informieren, sofern ein hohes Risiko bestand. Verivox hat dies nicht getant: Das Unternehmen gehe „davon aus, dass für unsere Kunden kein Schaden entstanden ist. Da das Risiko rein hypothetischer Natur war, haben wir von einer Kundeninformation abgesehen“, teilt der Sprecher mit. Check24 äußert sich nicht zu der Frage.

Fachanwalt hält Schadensersatzansprüche für möglich

Ob die Portale die Betroffene benachrichtigen müssen,  hänge von mehreren Faktoren ab, sagt Michael Funke, Fachanwalt für Informationstechnologie und Datenschutzexperte in Berlin: „Die Frage ist: Gibt es ein hohes Risiko? Das ist im Einzelnen zu prüfen. Dabei ist auch relevant, ob Daten tatsächlich abgeflossen sind.“ Zudem sei zu bewerten, ob es ausreichende Sicherheitsvorkehrungen auf den Portalen gab und wie sensibel die Daten sind. Gerade die mögliche Sensibilität der Daten spreche in diesem Fall eher für eine Benachrichtigung der Kunden.

Auch Schadenersatzansprüche seien in Folge der Datenlecks möglich; pauschal ließe sich das nicht sagen, die Gerichte entscheiden im Einzelfall. In den vergangenen Jahren ist die Zahl der Gerichtsprozesse zu Datenschutzfällen rapide angestiegen.

Die Firmen können auch dann belangt werden, wenn die entwendeten Daten noch nicht kriminell genutzt worden sind, das heißt: Die bloße Möglichkeit eines Leaks kann schon dazu führen, dass die Anbieter zahlen müssen.„Ansprüche hat man auch bei einem immateriellem Schaden“, sagt Funke. „Der Kontrollverlust über die Daten genügt dabei grundsätzlich.“ Allerdings müssten Betroffene den Schaden darlegen und beweisen.