Von Ralf Keuper
Der Hack der größten amerikanischen Kreditauskunftei Equifax, bei dem die Daten von 145 Millionen Kunden abgegriffen wurden, wirft die Frage auf, ob das Credit Scoring in seiner heutigen Form überhaupt noch eine Zukunft hat. Durch den Hack ist die Hälfte aller US-Bürger ein potenzielles Betrugsopfer, wie u.a. in “Schlimmster Datenverlust aller Zeiten” berichtet wurde. Bei der Anhörung im amerikanischen Kongress musste der mittlerweile in den Ruhestand versetzte Ex-CEO von Equifax einräumen, dass ein Patch für die Behebung der Sicherheitslücke nicht eingespielt wurde (Vgl. dazu: Equifax-CEO erhöht Opferzahl und gibt zu, dass nicht gepatcht wurde). Hinzu kommen noch organisatorische Mängel, so dass ein US-Senator in der Anhörung im Kongress an den Ex-CEO von Equifax gerichtet sagte: Equifax Can’t Be Trusted With Americans’ Personal Data.
Ein Horrorszenario für jede Auskunftei.
Der Fall Equifax wirft einen Schatten auf die gesamte Branche, so dass die Frage schon zwingend ist, ob das Credit Scoring in den Händen von Unternehmen belassen werden kann, die sich technologisch und organisatorisch allem Anschein nach schwer damit tun, für die nötige Sicherheit zu sorgen.
In Our entire credit bureau system is broken verortet der Autor Russell Brandom das Problem auf einer tieferen, grundsätzlicheren Ebene.
The credit bureau system is broken, and it’s been broken for a long time. The entire concept of a breach—hackers stealing corporate-held data for identity theft—is the result of a failed identity model that’s long outlived its usefulness. It’s easy to point to Equifax as the problem, and its poor handling of the breach (and possible insider trading) certainly doesn’t help. But the problem is bigger than any single company. In a world flooded with information, we’re still relying on a tiny set of sensitive data to protect us from fraud, and putting the burden on the average consumer when that data leaks out. We treat data as private when it’s already been exposed in breach after breach. This system has reached its breaking point. It’s time to burn it all down and start over.
Es stellt für den Verbraucher demnach ein nicht mehr tragbares Risiko dar, dass seine sensitiven Daten von Unternehmen verwaltet und verwertet werden, die ihn im Fall des Verlusts seinem Schicksal überlassen und bestenfalls ihr Bedauern ausdrücken. Die Folgen hat der Verbraucher zu tragen.
Als Lösung bieten sich nach Ansicht von Branchenbeobachtern die Services einiger aufstrebender Fintech-Startups und das (eigenverantwortliche) Management digitaler Identitäten an, wie u.a. in Rethinking Credit Scores in the Age of Fintech zu lesen ist.
The Equifax débâcle turned up the volume on the call for change. We’re about to see more innovative ways of looking at credit, most of them built by mobile-first fintech companies. We’re also going to demand more secure customer login at credit agencies, and we’re going to demand systems that give the customer control of locking and unlocking their own accounts for creditors to see. The mantra “your data belongs to you and should be made available with your permission in order to get something that you want” will be heard across the payment/lending landscape.
In The Equifax Breach And The Case For Digital Identity beschreibt Dante Disparte das strukturelle Problem der Auskunftei- und Finanzbranche, das nach anderen Lösungen verlangt, die bereits zur Verfügung stehen:
In the world of analog identity, which labors under high-friction, opacity, fraud, moral hazards and conflicts of interest, to name but a few challenges, creditors, banks and lending institutions require intermediaries like Equifax for decision support. In a flat world where digital identify is owned at the granular citizen level, much of this senseless risk-prone friction goes away and the true custodian of an identify – people – become the most important actor. How can identities become digitally native making massive breaches like Equifax a thing of the past? Firms like Civic, ID.me and global initiatives like the World Identity Network, among others, are staking their claim and future on answering this question.
Die Vermutung liegt nahe, dass die Blockchain die Technologie der Stunde ist. In Can Blockchain Prevent the Next Equifax? Not So Fast gibt Robert Hackett zu bedenken:
While consumers and companies could use a blockchain to access the score, it’s still up to the credit bureaus to protect the underlying pool of personal information. Doing that, says Treat, requires segregating sensitive data and properly encrypting it.
Das Problem liegt mittlerweile auf einer anderen Ebene: Ist es überhaupt noch nötig, dass die Kreditauskunfteien im Besitz der Daten sind? Gibt es nicht schon längst, wie die anderen Autoren betonen, Alternativen, womit nicht nur das Social oder Algo-Scoring gemeint sind. Neben den genannten Beispielen wäre noch Bloom zu erwähnen (Vgl. dazu: Credit Scoring auf Blockchain-Basis: Bloom).
Fest steht, dass das momentane System, die derzeitige Infrastruktur den Anforderungen der Nutzer und der Sicherheit kaum noch gerecht werden. Wir benötigen hier – ähnlich wie im Bereich der Mobilität – einen Systemwechsel, der bereits unterwegs ist.
Wenn Daten und Digitale Identitäten das neues Öl sind, dann ist es ohnehin nicht mehr nachvollziehbar, dass die Produzenten und Eigentümer nicht an den Erträgen beteiligt werden, die Risiken jedoch zu tragen haben. Ein schlechter Deal.
In The value of data gibt das World Economic Forum die Richtung vor:
The fundamental issue will become “Who owns the data and has intellectual property rights on it”? The global data economy is pegged at $3 trillion and consumers also need to reap the benefits of their self generated data. Data does have value in understanding, predicting and influencing individual behaviour and decisions, but it is exactly this power that makes it dangerous. As the world moves towards a universal online presence and open data systems, it is important to keep discussing the issues surrounding open dataand work towards resolving them, as opposed to viewing and evaluating data through the sole economic lens of a commodity.
Eine Lösung könnten Personal Data bzw. Identity Banks sein. Der Bedarf danach wird m.E. immer offensichtlicher. Mit der Umsetzung der GDPR und mit PSD2 kommt in das Thema zusätzliche Dynamik.