Geschrieben von Whitebird am 22.12.2025 um 13:23:
Deutschlandticket-Betrug erreicht dreistellige MillionenhöheDeutschlandticket-Betrug erreicht dreistellige Millionenhöhe
IT-Sicherheitsforscher haben massive Schwachstellen beim Deutschlandticket aufgedeckt. Der Schaden durch Betrug liegt im dreistelligen Millionenbereich.
22. Dezember 2025 um 09:29 Uhr / Michael Linden
Das Deutschlandticket ist zum Einfallstor für systematischen Betrug geworden. Die IT-Sicherheitsforscher Q Misell und maya haben Schwachstellen im System untersucht und gehen von einem Schaden in dreistelliger Millionenhöhe aus, berichtet die Taz. Ihre Erkenntnisse werden sie Ende Dezember 2025 auf dem 39. Chaos Communication Congress in Hamburg präsentieren.
Die Sicherheitslücken betreffen sowohl technische als auch organisatorische Abläufe. Laut Misell konnten Hacker vor allem die fehlende Verifikation beim Bezahlvorgang ausnutzen. So lassen sich nicht existierende Bankkontonummern erzeugen, die zunächst echt aussehen. Viele Verkehrsunternehmen stellen das Deutschlandticket sofort aus – noch bevor die Zahlung geprüft wurde.
Was ist das Problem? – Sechs Tage bis zur Zahlungsprüfung
Die Schwierigkeit liegt im Zeitverzug. Die Bank benötigt bis zu sechs Tage, um die Zahlung zu verarbeiten und zu prüfen, ob das Konto existiert und gedeckt ist. Das Ticket ist zu diesem Zeitpunkt jedoch bereits ausgestellt. Die Hacker verkaufen die betrügerischen Tickets dann weiter, bevor der Betrug auffliegt.
Misell konnte nach eigenen Angaben drei Millionen betrügerische Tickets identifizieren. Den Rest der geschätzten Schadenssumme extrapolierten die Forscher durch einen Vergleich. Sie verglichen die Anzahl der verkauften Tickets mit Umfragedaten, in denen Menschen angaben, mit dem Deutschlandticket zu reisen.
Die technischen Mängel gehen über das Bezahlsystem hinaus. Die Tickets werden digital mit Barcodes und kryptografischen Schlüsseln signiert. Die Sicherheitsstandards für diese privaten Schlüssel seien jedoch sehr lax, kritisiert Misell. Die Hacker fanden mindestens einen Fall, in dem ein Verkehrsunternehmen die Kontrolle über seinen privaten Schlüssel verloren hatte.
Wie lief der Schlüsseldiebstahl ab? – Kleines Busunternehmen als Einfallstor
Betroffen war ein kleines Busunternehmen aus Sachsen-Anhalt. Die Forscher vermuten, dass das Unternehmen aufgrund seiner Größe nicht über ausreichende Erfahrung mit Datensicherheit verfügte. Dies ermöglichte den Hackern den Diebstahl des Schlüssels. Mit dem gestohlenen Schlüssel konnten sie Tickets im Namen des Unternehmens ausstellen.
Das betroffene Unternehmen selbst trug dabei keinen direkten Schaden davon. Es gibt in der Vereinbarung zum Deutschlandticket keine Regeln, die Unternehmen für betrügerische Tickets haftbar machen. Den Schaden trugen stattdessen alle Unternehmen, die diese Tickets akzeptierten und die Fahrgäste damit reisen ließen. Eine Kompensation aus dem Topf aller verkauften Deutschlandtickets gab es nicht.
An höheren Sicherheitsstandards wird gearbeitet. Verfahren zum Schutz der Schlüssel werden formalisiert. Beim Zahlungsverfahren ist jedoch weniger geschehen. Dies bleibt weitgehend Sache der einzelnen Firmen.
Warum ändert sich nichts? – Alle zeigen mit dem Finger aufeinander
Der Deutschlandtarifverbund arbeitet an einem Verfahren, mit dem Tickets zurückgeholt und entwertet werden können. Er bemüht sich auch um eine Zentralisierung der Ticket-Signierung. Der Tarifverbund verfügt über bessere Organisation und mehr Sicherheits-Knowhow als die einzelnen Unternehmen. Das entsprechende Sicherheitsportal nahmen bisher jedoch nur zwei Unternehmen an.
Die Forscher haben seit Oktober vergangenen Jahres an dem Thema gearbeitet. Niemand wolle Verantwortung übernehmen, berichtet Misell. Die Politiker sagen, es sei das Problem der Verkehrsunternehmen. Die Verkehrsunternehmen verweisen darauf, nur vorgeschriebene Vorgaben umzusetzen. Der Tarifverbund erklärt, nicht die Macht zur Regulierung zu haben.
quelle: golem.de