Die Schufa‑Tochter Forteil, Betreiberin der Bonitäts‑App Bonify, hat am 1. Oktober 2025 einen Sicherheitsvorfall bestätigt. Demnach hätten Unbekannte in einem begrenzten Zeitraum Identifizierungsunterlagen abgegriffen, die im Rahmen sogenannter „Face‑to‑Face“-Prüfungen über einen externen Dienstleister verarbeitet wurden. Betroffen sind vor allem Ausweisdaten, Adressangaben sowie Foto‑ und Videoaufnahmen aus dem Videoident‑Prozess. Kontozugangsdaten, Passwörter oder in der App einsehbare Schufa‑Informationen seien nach aktuellem Stand nicht kompromittiert, betont das Unternehmen.
Was bekannt ist – und was nicht
Bonify informiert betroffene Kund:innen individuell per E‑Mail oder Post. Wie groß der Kreis ist und auf welchen Registrierungszeitraum sich der Vorfall bezieht, bleibt offen. Klar ist: Wer sich ausschließlich über eID, Brief‑Ident oder via Bankkonto legitimiert hat, soll nach derzeitigem Wissensstand nicht betroffen sein.
Schwachstelle im Umfeld der Video-Identifikation
Die Spur führt zum Videoident‑Verfahren, das Bonify üblicherweise über den spezialisierten Anbieter IDnow abwickelt. Ob die undichte Stelle dort, in der eigenen Infrastruktur oder entlang der Schnittstellen lag, ist Gegenstand der Untersuchungen. Branchenexperten verweisen seit Jahren darauf, dass KYC‑Schnittstellen sensible Angriffsflächen darstellen – gerade, wenn Bewegtbild‑Identifikationen und Dokumentenprüfungen zusammenkommen.
Erste Maßnahmen und Unterstützung
Neben der forensischen Analyse in Zusammenarbeit mit Behörden und externen Sicherheitsexperten bietet Bonify Betroffenen für sechs Monate kostenfreien „Identitätsschutz“ an – ein Monitoring persönlicher Daten im Netz mit Hinweisen bei möglichem Missbrauch. Von Hinweisen auf einen Weiterverkauf kompletter Datensätze kursieren derzeit keine belastbaren Anzeichen.
Wie hoch ist das Risiko?
Ausweisdaten lassen sich in der Praxis missbrauchen – etwa, um Verträge mit geringeren Identitätsanforderungen (Telekommunikation, einfache Online‑Abschlüsse) zu initiieren. Für streng regulierte Finanzprodukte sind zwar zusätzliche Nachweise notwendig, doch schon ein gutes Ausweisfoto kann Aufwand und Ärger verursachen, wenn Dritte es nutzen. Expert:innen raten deshalb zu erhöhter Aufmerksamkeit für ungewöhnliche Vertragsabschlüsse, Schreiben oder Anrufe.
Das sollten Betroffene jetzt tun
- Wachsam bleiben bei Mails, SMS oder Anrufen, die nach Ausweisdaten fragen – nichts herausgeben.
- Konten, Verträge und Posteingänge engmaschig prüfen.
- Bei Anzeichen von Identitätsmissbrauch sofort Anzeige erstatten.
- Einen möglichen Identitätsbetrug bei der Schufa melden, damit Abfragen/Einträge geprüft und geschützt werden.
- Wenn Ausweisdokumente betroffen sind: im Zweifel neues Dokument beantragen und das alte sperren lassen.
Unternehmenskommunikation und Kontakt
Forteil spricht von einer „kriminellen Tat“ und hält Details – etwa zu möglichen Erpressungsforderungen – aus ermittlungstaktischen Gründen zurück. Für Rückfragen verweist das Unternehmen auf eine Informationsseite mit Hotline und Kontakt zum Datenschutzteam; die Datenschutzaufsicht sei informiert.
Warum der Zeitpunkt heikel ist
Der Vorfall trifft die Schufa in einer Phase, in der sie mit einem neuen, transparenteren Score‑Modell Vertrauen zurückgewinnen will. Der Roll‑out des überarbeiteten Scores ist für 2026 angekündigt – eine Reform, die Erklärbarkeit und Nachvollziehbarkeit betonen soll. Ein Datenabfluss im Umfeld der eigenen App lenkt den Blick nun erneut auf Sicherheits‑ und Governance‑Fragen bei Auskunfteien.
Einordnung
Cyberangriffe auf Identitätsprozesse sind kein Randthema mehr, sondern ein systemisches Risiko: Wo Identität digital zur Eintrittskarte wird, sind die Dokumente und Bewegtdaten darum herum für Kriminelle wertvoll. Der Bonify‑Fall zeigt, wie kritisch die Absicherung der gesamten Kette – Anbieter, Dienstleister, Schnittstellen – ist. Ebenso wichtig ist eine schnelle, klare Kommunikation gegenüber Betroffenen und ein niedrigschwelliger Schutz‑ und Support‑Pfad. Genau daran wird sich die Branche messen lassen
