URI: 

       # taz.de -- Hacker über Deutschlandticket: „Die Sicherheitsstandards sind sehr lax“
       
       > Hacker Q Misell und maya boeckh haben Sicherheitslücken beim
       > Deutschlandticket entdeckt. Sie rechnen mit einem Schaden in
       > dreistelliger Millionenhöhe.
       
   IMG Bild: Kann sein, dass das Ticket auf dem Handy Produkt eines Betrugs ist: Reisende am Bahnhof Hannover
       
       taz: Q Misell, wie kommen Sie darauf, dass die öffentlichen
       Verkehrsunternehmen im großen Maßstab Opfer eines Betruges mit dem
       Deutschlandticket wurden? 
       
       Q Misell: Es gibt zwei Gründe dafür. Einer besteht in technischen Fehlern,
       der andere in Verfahrensfehlern.
       
       taz: Sie sprechen von Verlusten in dreistelliger Millionenhöhe. Wie kommen
       Sie zu dieser Schätzung? 
       
       Q Misell: Das basiert auf betrügerischen Tickets, die wir zählen konnten.
       Drei Millionen solcher Tickets konnten wir identifizieren. Den Rest haben
       wir extrapoliert aus einem Vergleich der Leute, die in Umfragen angaben,
       mit dem Deutschlandticket zu reisen, mit den von den Verkehrsunternehmen
       verkauften Tickets.
       
       taz: Wie gingen die Betrüger vor? 
       
       Q Misell: In Deutschland ist es üblich, dass man per Direktüberweisung
       bezahlt. Dabei gibt es aber kein Verfikationsverfahren. Sie können echt
       aussehende, aber nicht existierende Bankkonten erzeugen. Viele
       Verkehrsunternehmen stellen Ihnen sofort ein Deutschlandticket aus, wenn
       Sie den Vertrag abschließen. Es kann aber sechs Tage dauern, bis die Bank
       die Zahlung verarbeitet hat und feststellt, ob es das Konto gibt und ob es
       gedeckt ist. Doch zu diesem Zeitpunkt ist das Ticket ja bereits ausgestellt
       worden, und es ist schwierig, es zurückzuholen, weil es von den Betrügern
       weiterverkauft wurde.
       
       taz: Wo liegen die technischen Fehler? 
       
       Q Misell: Die Tickets werden mit Barcodes ausgestattet und digital
       signiert, wobei [1][Kryptografie mit öffentlich-privaten Schlüsseln]
       verwendet wird. Die Sicherheitsstands für den privaten Teil der Schlüssel
       sind sehr lax. Wie haben mindestens einen Fall gefunden, wo ein
       Verkehrsunternehmen die Kontrolle über seinen privaten Schlüssel verloren
       hat. Das war ein kleines Busunternehmen aus Sachsen-Anhalt. Wir vermuten,
       dass es wegen seiner Größe nicht viel Erfahrung mit
       Datensicherheitstechnologie hat. Das ermöglichte es, den Schlüssel zu
       stehlen und Tickets in dessen Namen auszustellen.
       
       taz: Wurde das Unternehmen dadurch direkt geschädigt? 
       
       Q Misell: Nicht wirklich. In einer idealen Welt gäbe es Strafen dafür, bei
       der Informationssicherheit so zu schludern. Aber bis heute gibt es keine
       Regeln in der Vereinbarung zum Deutschlandticket, die Unternehmen für
       betrügerische Tickets haftbar machen. Den Schaden trugen [2][alle
       Unternehmen] davon, die diese Tickets akzeptierten und die Leute damit
       reisen ließen, ohne dass es dafür eine Kompensation aus dem Topf [3][aller
       verkauften Deutschlandtickets] gab.
       
       taz: Was wäre zu tun, um so einen Betrug in Zukunft zu verhindern? 
       
       Q Misell: Es wird an höheren Sicherheitsstands gearbeitet, indem Verfahren,
       die Schlüssel zu schützen, formalisiert werden. Nicht so viel ist
       unternommen worden, um Verbesserungen beim Zahlungsverfahren zu
       formalisieren. Das ist immer noch sehr die Sache der einzelnen Firmen.
       [4][Der Deutschlandtarifverbund arbeitet an einem Verfahren], das es
       ermöglicht, ein Ticket zurückzuholen und zu entwerten. Er bemüht sich auch
       darum, das Signieren der Tickets zu zentralisieren, weil der Tarifverbund
       besser organisiert ist und mehr Sicherheits-Knowhow hat als die einzelnen
       Unternehmen. Das entsprechende Sicherheitsportal des Verbundes ist aber
       bisher nur von zwei Unternehmen angenommen worden.
       
       taz: Sie sagten, niemand wäre bereit, Verantwortung für diese Mängel zu
       übernehmen … 
       
       Q Misell: Wir haben an diesem Thema seit Oktober vergangenen Jahres
       gearbeitet. Die allgemeine Tendenz war, zu sagen: Das ist nicht unser
       Problem. Die Politiker sagen, das sei das Problem der Verkehrsunternehmen,
       die Verkehrsunternehmen sagen: „Wir tun nur, was uns vorgeschrieben ist“,
       und dann gibt es in der Mitte den Tarifverbund, der sagt: „Wir haben nicht
       die Macht, das zu regulieren.“ Alle zeigen mit dem Finger aufeinander.
       
       21 Dec 2025
       
       ## LINKS
       
   DIR [1] /Verschluesselung-im-Alltag/!5046103
   DIR [2] /Ist-das-Deutschlandticket-noch-sozial/!6114531
   DIR [3] /Oeffentlicher-Nahverkehr/!6131675
   DIR [4] https://www.deutschlandtarifverbund.de/
       
       ## AUTOREN
       
   DIR Gernot Knödler
       
       ## TAGS
       
   DIR Schwerpunkt Chaos Computer Club
   DIR Datenschutz
   DIR Deutschlandticket
   DIR Verkehrswende
   DIR Verkehr
   DIR Betrug
   DIR Hamburg
   DIR Social-Auswahl
   DIR Verdi
   DIR Verkehr
   DIR Deutsche Bahn (DB)
       
       ## ARTIKEL ZUM THEMA
       
   DIR Verdi und Klima-Allianz zu ÖPNV: Verkehrswende wird nichts ohne gute Arbeitsbedingungen
       
       Soll der Nahverkehr ausgebaut werden, muss man neues Personal mit
       attraktiven Konditionen locken. Das sei nicht teuer, so das Ergebnis einer
       Studie.
       
   DIR Deutschlandticket: Bis 2030 finanziert, doch der Preis steigt
       
       Der Bundestag beschließt, das Monatsabo bis 2030 mit jährlich 1,5
       Milliarden Euro zu subventionieren. Dennoch droht das Ticket teurer zu
       werden.
       
   DIR Wenig Zuwachs im Nahverkehr: Zahl der Fahrgäste in Bussen und Bahnen steigt kaum noch
       
       Der bisherige Boom durch das Deutschlandticket ist vorbei. Im Fernverkehr
       sind die Fahrgastzahlen im ersten Halbjahr hingegen deutlich gestiegen.