Fall von “Autsch”, aber heftig. Die Itsmydata GmbH betreibt ein Webportal, über das Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einholen können. Lilith Wittmann hat sich das zunutze gemacht, um die Bonität von Jens Spahn mal wieder abzufragen.

Was macht die Itsmydata GmbH?

Die Itsmydata GmbH ist ein in München residierendes Unternehmen, welches über ein gleichnamiges Portal Mietern gegen “Geld und gut Worte” das Erstellen einer “Mieter-Mappe” ermöglicht. Mit dieser Mappe, die “Wohnungsunterlagen” enthält, soll sich ein Mietinteressent gegenüber einem Vermieter bezüglich der Bonität ausweisen können.

Das Webportal ermöglicht Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einzuholen und in der “Hausmappe” bereitzustellen. Das Versprechen des Unternehmens: “Sicheres Datenkonto. Bei itsmydata kannst du kostenlos deine Daten sicher speichern. Sie sind einzelverschlüsselt und nur du kannst auf sie zugreifen.”

Ich konnte mir nicht verkneifen, die Werbung von itsmydata auf X.com per Screenshot zu dokumentieren.

Die versprechen “mir als Mieter” also die Macht über meine Daten auf Basis der DSGVO zurück zu geben. Der informierte Zeitgenossen weiß “wo DSGVO drauf steht, ist oft was anderes drin”. Aber der Geschäftsführer von Haus & Grund jubelt, dass die itsmydata Mietermappe ein echter Vorteil für Mieter sei – ein großer Schritt in den digitalen Abgrund – vornehm als “digitale Vermietung” betitelt. 

Wittmann: Frag doch mal nach

Lilith Wittmann hat dieses Angebot so interessant gefunden – keine Ahnung, ob sie eine Wohnung sucht oder zu vermieten hat – dass sie das alles etwas genauer unter die Lupe genommen hat. Schnell ein Konto bei itsmydata erstellt und verifizieren lassen. Und schon konnte es losgehen – nicht mit der Mietermappe, sondern mit der Bonitätsauskunft von fremden Daten. 

Lieblings-Interessent von Wittman ist unser Ex Gesundheitsminister Jens Spahn – keine Ahnung, warum sie einen Narren an dem gefressen hat. Aber im Juli 2023 hatte sie über die App Schufa-Tochter Bonify die Bonitätsdaten von Herrn Spahn anzeigen lassen.

Ich hatte dies im Beitrag Schufa Bonify-App: Sicherheitslücke ermöglicht beliebige Daten abzufragen hier im Blog aufgegriffen. Aber erinnerungsmäßig gibt es einen Film mit dem Titel “Mach’s noch mal Sam …”, scheint Wittmann auch zu kennen.

Jedenfalls hat sie im Portal von itsmydata dann mal nach Jens Spahn gefragt – dessen Meldeadresse hat sie ja. DSGVO hin, DSGVO her, sowohl Creditreform/Boniversum als auch Experian haben dann die Daten herausgerückt (siehe obiger Screenshot von X oder auf Mastodon). Also Pustekuchen mit dem itsmydata-Versprechen “Du hast die Kontrolle über deine Daten”, denn ich kann mir nun nicht vorstellen, dass her Spahn zugestimmt hat, dass die Daten von Litlith Wittmann eingesehen werden können.

Sprich: Ein weiteres Beispiel, wo ein Portal ein Versprechen abgibt, das aber wegen Implementierungsproblemen nicht einhalten kann. Mit Hilfe der angezeigten Daten konnten auch die Zertifikate auf dieser Webseite überprüft werden.

Wittmann empfiehlt itsmydata das Portal abzuschalten. Ein Gutes hat die Sache – wir wissen jetzt, dass die Bonitätsdaten von “Jens Spahn” besser geworden sind. Insgesamt ist das alles “nicht gut” – und der oben bejubelte Schritt in Richtung digitale Vermietung ist ein weiterer Schritt in den digitalen Abgrund.

Ergänzung: Wittman scheint noch nichts zu den Details veröffentlicht zu haben. Aber ich Golem hat hier noch einige Erläuterungen veröffentlicht. Wittmann hat keine Details zur Schwachstelle veröffentlicht, aber gegenüber Golem gab sie an, dass es im Grunde die gleiche Sicherheitslücke wie bei Bonify gewesen sei, die aber leichter ausnutzbar war. Da freuen wir uns doch auf die Digitalisierung. Und dem Open-Data-Ansatz sind wir ein Stückchen näher gerückt – “wir haben ja nix zu verbergen”.