 |
# taz.de -- Hacker über Deutschlandticket: „Die Sicherheitsstandards sind se… |
|
|
|
> Die Hacker Q Misell und maya haben Sicherheitslücken beim |
|
> Deutschlandticket entdeckt. Sie rechnen mit einem Schaden in |
|
> dreistelliger Millionenhöhe. |
|
|
 |
Bild: Kann sein, dass das Ticket auf dem Handy Produkt eines Betrugs ist: Reise… |
|
|
|
taz: Q Misell, wie kommen Sie darauf, dass die öffentlichen |
|
Verkehrsunternehmen im großen Maßstab Opfer eines Betruges mit dem |
|
Deutschlandticket wurden? |
|
|
|
Q Misell: Es gibt zwei Gründe dafür. Einer besteht in technischen Fehlern, |
|
der andere in Verfahrensfehlern. |
|
|
|
taz: Sie sprechen von Verlusten in dreistelliger Millionenhöhe. Wie kommen |
|
Sie zu dieser Schätzung? |
|
|
|
Q Misell: Das basiert auf betrügerischen Tickets, die wir zählen konnten. |
|
Drei Millionen solcher Tickets konnten wir identifizieren. Den Rest haben |
|
wir extrapoliert aus einem Vergleich der Leute, die in Umfragen angaben, |
|
mit dem Deutschlandticket zu reisen, mit den von den Verkehrsunternehmen |
|
verkauften Tickets. |
|
|
|
taz: Wie gingen die Betrüger vor? |
|
|
|
Q Misell: In Deutschland ist es üblich, dass man per Direktüberweisung |
|
bezahlt. Dabei gibt es aber kein Verfikationsverfahren. Sie können echt |
|
aussehende, aber nicht existierende Bankkonten erzeugen. Viele |
|
Verkehrsunternehmen stellen Ihnen sofort ein Deutschlandticket aus, wenn |
|
Sie den Vertrag abschließen. Es kann aber sechs Tage dauern, bis die Bank |
|
die Zahlung verarbeitet hat und feststellt, ob es das Konto gibt und ob es |
|
gedeckt ist. Doch zu diesem Zeitpunkt ist das Ticket ja bereits ausgestellt |
|
worden, und es ist schwierig, es zurückzuholen, weil es von den Betrügern |
|
weiterverkauft wurde. |
|
|
|
taz: Wo liegen die technischen Fehler? |
|
|
|
Q Misell: Die Tickets werden mit Barcodes ausgestattet und digital |
|
signiert, wobei [1][Kryptografie mit öffentlich-privaten Schlüsseln] |
|
verwendet wird. Die Sicherheitsstands für den privaten Teil der Schlüssel |
|
sind sehr lax. Wie haben mindestens einen Fall gefunden, wo ein |
|
Verkehrsunternehmen die Kontrolle über seinen privaten Schlüssel verloren |
|
hat. Das war ein kleines Busunternehmen aus Sachsen-Anhalt. Wir vermuten, |
|
dass es wegen seiner Größe nicht viel Erfahrung mit |
|
Datensicherheitstechnologie hat. Das ermöglichte es, den Schlüssel zu |
|
stehlen und Tickets in dessen Namen auszustellen. |
|
|
|
taz: Wurde das Unternehmen dadurch direkt geschädigt? |
|
|
|
Q Misell: Nicht wirklich. In einer idealen Welt gäbe es Strafen dafür, bei |
|
der Informationssicherheit so zu schludern. Aber bis heute gibt es keine |
|
Regeln in der Vereinbarung zum Deutschlandticket, die Unternehmen für |
|
betrügerische Tickets haftbar machen. Den Schaden trugen [2][alle |
|
Unternehmen] davon, die diese Tickets akzeptierten und die Leute damit |
|
reisen ließen, ohne dass es dafür eine Kompensation aus dem Topf [3][aller |
|
verkauften Deutschlandtickets] gab. |
|
|
|
taz: Was wäre zu tun, um so einen Betrug in Zukunft zu verhindern? |
|
|
|
Q Misell: Es wird an höheren Sicherheitsstands gearbeitet, indem Verfahren, |
|
die Schlüssel zu schützen, formalisiert werden. Nicht so viel ist |
|
unternommen worden, um Verbesserungen beim Zahlungsverfahren zu |
|
formalisieren. Das ist immer noch sehr die Sache der einzelnen Firmen. |
|
[4][Der Deutschlandtarifverbund arbeitet an einem Verfahren], das es |
|
ermöglicht, ein Ticket zurückzuholen und zu entwerten. Er bemüht sich auch |
|
darum, das Signieren der Tickets zu zentralisieren, weil der Tarifverbund |
|
besser organisiert ist und mehr Sicherheits-Knowhow hat als die einzelnen |
|
Unternehmen. Das entsprechende Sicherheitsportal des Verbundes ist aber |
|
bisher nur von zwei Unternehmen angenommen worden. |
|
|
|
taz: Sie sagten, niemand wäre bereit, Verantwortung für diese Mängel zu |
|
übernehmen … |
|
|
|
Q Misell: Wir haben an diesem Thema seit Oktober vergangenen Jahres |
|
gearbeitet. Die allgemeine Tendenz war, zu sagen: Das ist nicht unser |
|
Problem. Die Politiker sagen, das sei das Problem der Verkehrsunternehmen, |
|
die Verkehrsunternehmen sagen: „Wir tun nur, was uns vorgeschrieben ist“, |
|
und dann gibt es in der Mitte den Tarifverbund, der sagt: „Wir haben nicht |
|
die Macht, das zu regulieren.“ Alle zeigen mit dem Finger aufeinander. |
|
|
|
21 Dec 2025 |
|
|
|
## LINKS |
|
|
 |
[1] /Verschluesselung-im-Alltag/!5046103 |
|
[2] /Ist-das-Deutschlandticket-noch-sozial/!6114531 |
|
[3] /Oeffentlicher-Nahverkehr/!6131675 |
|
[4] https://www.deutschlandtarifverbund.de/ |
|
|
|
## AUTOREN |
|
|
|
Gernot Knödler |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Chaos Computer Club |
|
Datenschutz |
|
Deutschlandticket |
|
Verkehrswende |
|
Verkehr |
|
Betrug |
|
Hamburg |
|
Social-Auswahl |
|
Verdi |
|
Verkehr |
|
Deutsche Bahn (DB) |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Verdi und Klima-Allianz zu ÖPNV: Verkehrswende wird nichts ohne gute Arbeitsbe… |
|
|
|
Soll der Nahverkehr ausgebaut werden, muss man neues Personal mit |
|
attraktiven Konditionen locken. Das sei nicht teuer, so das Ergebnis einer |
|
Studie. |
|
|
|
Deutschlandticket: Bis 2030 finanziert, doch der Preis steigt |
|
|
|
Der Bundestag beschließt, das Monatsabo bis 2030 mit jährlich 1,5 |
|
Milliarden Euro zu subventionieren. Dennoch droht das Ticket teurer zu |
|
werden. |
|
|
|
Wenig Zuwachs im Nahverkehr: Zahl der Fahrgäste in Bussen und Bahnen steigt ka… |
|
|
|
Der bisherige Boom durch das Deutschlandticket ist vorbei. Im Fernverkehr |
|
sind die Fahrgastzahlen im ersten Halbjahr hingegen deutlich gestiegen. |
