1 week ago
3
Wer das Deutschlandticket nutzt, schätzt vor allem die Einfachheit: Ein Ticket, ganz Deutschland, kein Tarifdschungel. Doch hinter den Kulissen scheint es gewaltig zu rumoren. Auf dem 39. Chaos Communication Congress (39C3) haben die Sicherheitsforscher Q Misell und Maya Boeckh einen tiefen Blick in die Abgründe des Systems geworfen – und was sie dort fanden, ist alles andere als fahrgastfreundlich.
Das größte Problem ist aktuell der sogenannte Dreiecksbetrug. Das Prinzip ist simpel, aber effektiv: Kriminelle kaufen mit gestohlenen Bankdaten gültige Tickets und verscherbeln diese für schmales Geld über Kanäle wie Telegram weiter.
Warum das so einfach klappt? Weil viele Verkehrsverbünde die Tickets sofort ausstellen, noch bevor die Zahlung überhaupt final bestätigt oder die Kontodaten validiert wurden. Das Ergebnis ist ein massiver finanzieller Schaden, der laut Schätzungen mittlerweile bei bis zu einer halben Milliarde Euro liegen soll.
Besonders kurios (und erschreckend) ist ein Fall rund um die Vetter Verkehrsbetriebe und den Technologiepartner mo.pla. Monatelang war ein illegaler Shop aktiv, der Tickets verkaufte, die mit einem echten kryptografischen Schlüssel von Vetter signiert waren. Zehntausende dieser Tickets landeten allein im System der Deutschen Bahn.
Wie dieser Schlüssel in die falschen Hände geriet, bleibt unklar. Die Forscher kritisieren hier jedoch deutlich die Sicherheitsstandards und die Code-Qualität. Zeitweise war es bei mo.pla wohl sogar möglich, Tickets mit komplett leeren PayPal-Konten zu kaufen.
Man möchte es fast nicht glauben, aber die Reaktion der DTVG (Deutschlandtarif Verbund GmbH) auf den Missbrauch ist laut Bericht schon echt krass. Obwohl das Problem bereits im Dezember 2024 bekannt war, dauerte es bis Februar 2025, bis der kompromittierte Schlüssel gesperrt wurde.
Der Grund für die Verzögerung? Urlaub und Krankheit des zuständigen Mitarbeiters sowie fehlendes Backup-Personal. Erst als der öffentliche Druck stieg, bewegte sich etwas.
Immerhin gibt es mittlerweile erste Konsequenzen:
* Verkehrsunternehmen nutzen nun verstärkt eine zentrale Sperrliste, um gefälschte Tickets schneller zu identifizieren.
* Neue Sicherheitsstandards wie die Bankkontoverifizierung sollen verhindern, dass Tickets mit Fantasie-Daten oder gestohlenen Konten ohne Prüfung gebucht werden.
Wer sich die volle Ladung technischer Details geben möchte, dem sei die Aufzeichnung des 39C3-Vortrags wärmstens ans Herz gelegt, es ist eine spannende, wenn auch ernüchternde Analyse.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
