Schulden sind schnell mal gemacht. Eine verpasste Rechnung, eine verlegte Mahnung und schon muss man damit rechnen, dass der Rechnungssteller die offene Rechnung an ein Inkasso-Unternehmen abtritt, um sich nicht mit dem Eintreiben eines oft kleinen Betrags herumschlagen zu müssen. Diese Inkasso-Unternehmen sind nicht gerade für ihr einfühlsames Vorgehen gegenüber Schuldnern bekannt. Kann man zumindest hoffen, dass sie einen der Situation angemessenen Datenschutz einhalten?
Schuldner-Daten (fast) offen im Netz
Auf diesen Fall hat uns Daniel Gnägi aufmersam gemacht: Das Inkasso-Unternehmen ScoreControl betreibt unter dem (psychologisch geschickt gewählten) Namen www.meine-schuld.ch ein Portal für ihre SchuldnerInnen. Über dieses Portal sind gemäss FAQ alle offenen Inkassos sichtbar, es kann auch dazu genutzt werden, mit dem Unternehmen in Kontakt zu treten und insbesondere auch offene Rechnungen zu bezahlen. Online-Sicherheit ist hierbei sicher wichtig, ScoreControl betont daher auch, dass die Webseite nach neuesten Sicherheitsaspekten mit einer SSL-Verschlüsselung und einem gültigen Zertifikat versehen ist.
Leider nützen allerdings weder SSL-Verschlüsselung noch gültiges Zertifikat gegen unsorgfältige Programmierung oder schlichte Fahrlässigkeit. Dies führte dazu, dass der Zugang bei ScoreControl zumindest bis Ende letzten Jahres nur unzureichend geschützt war.
Auf der Login-Seite von meine-schuld.ch ist ersichtlich, dass der Zugriff auf die eigenen Daten auf zwei Arten erfolgen kann:
- Via einem Zugangscode, so man bereits einen solchen hat
- Via Referenznummer und Postleitzahl (die Mobil-Nummer ist für die Authentisierung nicht relevant, dazu gleich mehr)
Wie kommt man als Schuldner nun zu seinen Login-Daten? Der Erstkontakt von ScoreControl erfolgt typischerweise per Brief-Post. Mit der Referenznummer aus diesem Schreiben und der eigenen Postleitzahl kann man sich dann einen Zugangscode per SMS zustellen lassen (daher die Mobil-Nummer). Mit diesem Zugangscode kann man sich anschliessend einloggen und erhält so Zugriff auf seine persönlichen Daten und auf die Auflistung seiner an das Inkasso-Unternehmen abgetretenen Schulden.
Das Verfahren zum Generieren eines Zugangscodes ist in dieser Form nicht unbedingt hochgradig sicher, aber vermutlich zweckmässig. Zweckmässig zumindest, falls die Referenznummern hinreichend unvorhersehbar sind, und die Webseite die Zahl der Fehlversuche einschränkt (damit ein Angreifer nicht schlicht alle Kombinationen durchprobieren kann). Der Umstand, dass man in CH über die Mobiltelefon-Nummer identifizierbar ist, dürfte für neugierige Hacker ebenfalls abschreckend wirken. Sicherer wäre es natürlich, wenn der Erstkontakt-Brief kundenspezifische Login-Daten enthalten würde.
Soweit die Theorie. Allerdings dürfte jede halbwegs versierte Hackerin bereits verschiedene Elemente von potenziellen Angriffsszenarien erkannt haben:
- Lässt sich die Referenznummern erraten (weil sie, wie im Screenshot ersichtlich, nur eine wenig überraschende Ziffernfolge zu sein scheint)?
- Erkennt die Webseite einen Trial- & Error-Angriff, bei dem einfach so lange Kombinationen von Referenznummern und Postleitzahlen durchgespielt werden, bis ein Treffer erfolgt?
- Funktioniert die SMS-Übermittlung auch an ausländische Mobiltelefone (was die Nachverfolgung erschweren würde)?
- Wie zufällig sind die generierten Zugangscodes? Lassen sich diese durch Trial- & Error-Angrife erraten?
Das sind die Fragen, welche sich rein beim Anblick der Login-Maske aufdrängen. Und da hat sich die Hackerin noch nicht mal die Mühe gemacht, die Kommunikation zwischen Webseite und ScoreControl-Server selbst auf potenzielle Lücken abzusuchen. Zumindest bis Ende Jahr war das auch gar nicht nötig, der Zugangsschutz war schlicht fehlerhaft und wies kritische Lücken auf.
- Die Dateneingabe wurde nicht validiert, dadurch war es insbesondere möglich, mittels einer SQL-Injection (siehe unten) die Überprüfung der Postleitzahl auszuhebeln. Dadurch war es mit reinem Erraten von Referenznummern möglich, einen Zugangscode für einen fremden Account zu erhalten.
- Die Zugangscodes selbst waren achtstellige Zahlen. Zwar könnte man davon ausgehen, dass es recht unwahrscheinlich ist, einen solchen zu erraten. Da es aber keine Begrenzung der Login-Versuche gab, konnte ein Angreifer schlicht alle Zahlen von 10’000’000 bis 99’999’999 durchprobieren und auf diese Weise aktuell gültige Zugangscodes erhalten.
Was ist eine SQL-Injection?
SQL ist eine weitverbreitete Datenbankabfragesprache, welche auch bei vielen Web-Applikationen zum Einsatz kommt. Meist werden Teile der auf der Webseite eingegebenen Daten dabei auch für die Datenabfrage verwendet, im konkreten Fall zum Beispiel wurde versucht, den zu Referenznummer und PLZ des Schuldners gehörige Zugangscode aus der Datenbank zu selektieren:
SELECT zugangscode FROM user_access WHERE referenznr = ‚Eingabe1‘ AND plz = ‚Eingabe2‘;
Wenn Benutzereingaben (wie in unserem Fall die Text-Eingaben in der Login-Maske) ungenügend kontrolliert/bereinigt werden, kann diese Abfrage derart vereinfacht werden, dass die Überprüfung der PLZ übersprungen wird. Dazu genügt es, im PLZ-Feld den Text ' OR '1'=1 einzugeben. Die Datenbankanweisung liest sich dann folgendermassen
SELECT zugangscode FROM user_access WHERE referenznr = ‚Eingabe1‘ AND plz = ‚‚ OR ‚1‘ = ‚1‚;
Da der Teil plz = “ OR ‚1‘ = ‚1‘ immer wahr ist, wird die Abfrage auf diese Weise auf die Prüfung der Referenznummer reduziert. Die zugehörige Postleitzahl muss der Angreifer gar nicht kennen.
SQL-Injections sind seit über 20 Jahren eine weitverbreitete Schwachstelle in Web-Applikationen. Allerdings bieten heutzutage alle üblichen Entwicklungsumgebungen Hilfsbibliotheken an, mit welchen sich Benutzereingaben vor der Verwendung validieren lassen (sofern man nicht ganz auf die Verwendung von SQL im Klartext verzichtet).
Auf diese Weise war es einem Angreifer problemlos möglich, auf die persönlichen Daten anderer Schuldner zuzugreifen (darunter Name, Adresse, Email-Adresse, Geburtsdatum) und all derer offenen Rechnungen einzusehen. Er hätte sich über die Webseite gegenüber ScoreControl auch als dieser andere Schuldner ausgeben und in dessen Namen kommunizieren können.
ScoreControl hat auf Anfrage bestätigt, dass im Januar eine Sicherheitslücke behoben wurde. Aufgrund ihrer Analysen gehen sie davon aus, dass nur der Entdecker der Lücke Daniel Gnägi selbst diese auch zu Testzwecken genutzt hat. Sie haben daher von einer Meldung an den EDÖB abgesehen. Auch planen sie, ihre Entwicklungsprozesse anzupassen, und wollen in Zukunft mit einem Partner zusammenarbeiten, um die Sicherheit der Webseite regelmässig zu prüfen.
Soweit wir feststellen konnten, sind die oben beschriebenen Lücken in der Tat geschlossen worden. Ein Brute Force-Angriff auf den Zugangscode scheint allerdings nach wie vor möglich zu sein, hier wurden nur die Anzahl Stellen erhöht und der Code neu zufällig festgelegt.
Anmerkung am Rande: Inkassobüros zählen in der Schweiz nicht als kritische Infrastruktureinrichtung und müssen daher auch keine gravierenden Cyberattacken (gemäss der Meldepflicht des Informationssicherheitsgesetzes) an das Bundesamt für Cybersecurity BACS melden.
Ein Einzelfall?
Inkasso-Büros geniessen einen schlechten Ruf. Das hat einerseits damit zu tun, dass sie beim Eintreiben offener Schulden oft ziemlich rücksichtslos vorgehen, andererseits damit, dass Fehler zulasten der Schuldner offenbar in Kauf genommen werden. So verschicken sie durchaus auch mal fehlerhafte Mahnbriefe und setzen die (oft eh schon massiv Verschuldeten) psychologisch unter Druck. Da kann wegen versäumter Rechnungen dann halt auch mal eine ganze Existenz zerstört werden. Nicht ganz überraschend gibt es eine umfangreiche Medienberichterstattung von Konsumentenschutzmagazinen zu Inkassobüros. Dass auch unsichere Schuldner-Portale kein Einzelfall sind, zeigt eine ähnlich gelagerte Lücke beim Inkassounternehmen Intrum, über welche der „Beobachter“ berichtet hatte. Das Schuldnerportal von Intrum wies eine krasse Sicherheitslücke auf.
„Zu sehen waren nicht nur die Namen der Schuldner, sondern sämtliche Betreibungen, Rechnungen oder Kontodaten. Denn betroffen vom Leck war ausgerechnet das Kundenportal, auf dem betriebene Personen ihre offenen Forderungen sehen und begleichen können.“
Dafür musste man keine Hacker-Skills haben, sondern simpel ein paar Zahlen eintippen:
„Üblicherweise können Schuldner auf ihre Profile bei Intrum nur zugreifen, wenn sie ihr Passwort und ihren Nutzernamen in Form eines verschlüsselten Zahlencodes eingeben. Während des Sicherheitslecks reichte es jedoch, beim Benutzernamen eine beliebige Nummer einzutippen. Das Feld des Passworts konnte man frei lassen und auf «Anmelden» klicken. War die Nummer einem Schuldner zugeordnet, konnte man das persönliche Profil der Person anschauen.
Der Beobachter hat es mit mehreren siebenstelligen Nummern ausprobiert und erhielt innert kürzester Zeit Einblick in die hochsensiblen Daten von mehreren Personen. Glück brauchte es dafür nicht. Und viel Geduld ebenfalls nicht.“
Das liest sich ähnlich wie die Lücke bei ScoreControl, der Schutz der persönlichen Daten war in diesem Fall sogar noch schlechter ausgestaltet. In beiden Fällen sind die Leidtragenden schlussendlich aber die Schuldner selbst, deren Daten durch solche Lücken allzu leicht den Weg in die Öffentlichkeit finden. Mit den im Code of Conduct der Schweizer Inkasso-Unternehmen festgelegten Zielsetzungen hat ein derart fahrlässiger Umgang mit Schuldner-Daten jedenfalls wenig zu tun.
Vom Inkasso zur Bonität
Über das eigentliche Inkasso hinaus nutzen Inkassobüros ihre Daten seit der Digitalisierung vermehrt auch für die Bewertung von Bonität/Kreditwürdigkeit von Individuen und Unternehmen.
Bemerkung am Rande: Auch da ist es mit dem Datenschutz eher schlecht bestellt. Die ethische Hackerin Lilith Wittmann zeigte beim CCC Kongress 2023 auch auf, wie sie mit ein paar Kniffs an die Bonitätsrating des ehemaligen Gesundheitsministers der CDU Jens Spahn kam. Sie tippte über die Entwicklertools im Browser Spahns Name ein und erhielt seine Bonitätsauskunft von Bonify – eine Online-Anwendung der Kreditauskunftei Schufa (samt Wohnadresse und Geburtsdatum).
Die bereits erwähnte Intrum bietet seit 1. Oktober 2024 KI-gestützte Bonitätsscores in der Schweiz an.
„Durch die Auswertung von über 86 Variablen, im Vergleich zu den bisher üblichen 15, ermöglicht das neue Scoring-Modell eine noch detailliertere und genauere Einschätzung von Kreditrisiken. Das kontinuierliche Scoring-Modell mit einer Skala von 100 bis 999 erlaubt es Unternehmen, eine flexible und nuancierte Bewertung vorzunehmen, die ideal auf individuelle Geschäftsanforderungen zugeschnitten ist.“
Dadurch erhofft sich das Inkassobüro präzisere Kreditwürdigkeitsbewertungen für Unternehmen. Genutzt werden diese Bewertungen beispielsweise durch Online-Händler, welche entscheiden müssen, ob sie Kunden eine Bestellung nur gegen Vorkasse/Kreditkarte oder auch gegen Rechnung ausliefern. Oder durch Telekom-Unternehmen, wenn es beim Handy-Abo um die Frage Pre- oder Post-Paid geht.
Bonitätsauskünfte werden immer wieder von der digitalen Zivilgesellschaft als Beispiel für KI-gestützte Entscheidungssysteme zitiert, die es zu regulieren gilt. Die von Intrum neu gewählte Form von KI-Rating könnte theoretisch unter Artikel 21 des Schweizer Datenschutzgesetzes fallen, einer der wenigen bereits existierenden KI-Bestimmungen. Denn: Es handelt sich hier um ein automatisiertes System, das Entscheidungen trifft. Trifft ein KI-System eine Entscheidung „mit Rechtsfolge“ oder „beeinträchtigt“ die Person erheblich, so muss sie zwingend über die Maschine hinter der Entscheidung informiert werden. Bonitätsscores könnten durchaus in diese Kategorie fallen, wenn dadurch zum Beispiel ein Kredit verweigert wird.
Werden wir alle informiert über die Datenbearbeitung unserer Daten durch den KI-gestützten Bonitätsscore bei den Unternehmen, die mit Intrum zusammenarbeiten? Nein. Denn Intrum sieht sich nicht in der Pflicht, weil sie ja nicht direkt mit der betroffenen Kundin zu tun haben, die keinen Kredit erhält. Das Inkassobüro biete ja nur die Daten und den Service an:
Intrum trifft im Rahmen der Bonitätsprüfung (dazu gehört auch der von Ihnen angesprochene AI Credit Score) keine automatisierten Einzelentscheidungen. Wir stellen unseren Kunden (d.h. unseren Vertragspartnern) lediglich Informationsgrundlagen zur Verfügung, die diese dann gegebenenfalls in eigener Verantwortung für eine automatisierte Einzelentscheidung verwenden. Intrum unterliegt daher in diesem Fall grundsätzlich keiner Informationspflicht nach Art. 21 DSG.
Mediensprecherin Intrum
Ob nun die Intrum-Kundin – eine eCommere-Anbieterin – über einen Einsatz des Bonitätsscores informieren muss, dass eine Internetnutzerin nicht auf Rechnung zahlen kann in ihrem Online-Shop? Sehr wahrscheinlich nicht, wenn sie alternative Zahlungsmöglichkeiten wie Kreditkarte oder Paypal zur Verfügung stellt. Dennoch würde damit die Kundin im Ungewissen gelassen, warum sie nicht auf Rechnung zahlen kann und wer oder eher was hinter der Entscheidung steckt.
Fazit
Inkassobüros bearbeiten Personendaten (teilweise sogar besonders schützenswerte, wenn es zum Beispiel um Arzt- oder Krankenkassen-Rechnungen geht) und unterstehen daher dem Datenschutzgesetz. Wie obige Beispiele zeigen, gehen sie aber teilweise ziemlich locker mit dessen Anforderungen um. Man könnte fast vermuten, dass sie davon ausgehen, dass Schuldner neben ihren Geldproblemen nicht auch noch die Energie haben, um einen DSG-konformen Schutz ihrer Daten einzufordern.
So kommen die Inkassobüros sowohl bezüglich IT-Sicherheit als auch bezüglich Transparenz nach aussen in Bezug auf ihre eigenen KI-Systeme relativ glimpflich davon. Dies könnte sich vielleicht bei einer Schweizer Adaption des EU-Gesetzes „Cyber Resilience Act“ ändern, sofern ein Online-Bonitätsregister als Produkt mit digitalen Elementen eingestuft würde (und die Schweiz sich hier an den EU-Normen orientiert). Doch die gesetzgeberischen Arbeiten dazu sind noch ganz am Anfang. Denn das Parlament hat eine ähnlich lautende Motion erst im Dezember 2024 an den Bundesrat überwiesen.
