39C3: Wie Betrüger das Deutschlandticket um Millionen erleichterten

Gute Nachrichten zuerst: Im Kampf gegen den massiven Betrug beim Deutschlandticket bewegt sich etwas. Wie die Sicherheitsforscher Q Misell und Maya „551724“ Boeckh in ihrem Vortrag „All my Deutschlandtickets gone“ auf dem 39. Chaos Communication Congress (39C3) berichteten, nutzen inzwischen diverse Verkehrsunternehmen eine zentrale Sperrliste für sogenannte UIC-Tickets des Deutschlandtarifverbund (DTVG). Dabei handelt es sich um elektronische oder ausgedruckte Zugtickets, bei denen die Fahrkartendaten in einem 2D-Barcode nach dem Standard des UIC (Union internationale des chemins de fer) kodiert werden, der sich im Vorfeld als besonders leicht zu fälschen erwiesen hatte.

Die Deutsche Bahn führt derzeit 98 Prozent aller Abfragen dieser Sperrliste durch. Hinzu kommen laut den Vortragsfolien die bConn GmbH, deren System die Magdeburger Verkehrsbetriebe, Autobus Oberbayern, das Busunternehmen Lehner und die Harzer Schmalspurbahnen nutzen. Über die AMCON GmbH sind Transdev, die Nahverkehrsgesellschaft Hochstift, Elbe-Weser, VGE ZOB, der Landkreis Würzburg sowie die Unternehmen Kalmer und Veelker angebunden. Auch INSA nutzt die Sperrliste für die PVGS Altmarkkreis Salzwedel. Zudem arbeite die Branche an einer zentralen Ausstellung von UIC-Deutschlandtickets, um künftige Sicherheitslücken zu schließen.

Doch der Weg dorthin war lang – und der Vortrag dokumentiert ein erschreckendes Ausmaß an Versäumnissen. Er fasst viele der Betrugsfälle zusammen, welche die Sicherheitsforschenden Q Misell und Flüpke zusammen mit heise online Anfang des Jahres öffentlich gemacht hatten. Es lohnt sich aber auch jeden Fall, die Aufzeichnung des Talks anzuschauen, weil Q und Maya die gesamte Geschichte sehr unterhaltsam aufgerollt haben.

Zahlungsbetrug in dreistelliger Millionenhöhe

Den größten Schaden verursacht der sogenannte Dreiecksbetrug: Kriminelle kaufen mit gestohlenen Bankdaten echte Tickets bei Verkehrsverbünden und verkaufen diese über Telegram-Kanäle weiter. Wie Q Misell im Februar aufdeckte, boten zahlreiche illegale Shops Deutschlandtickets für 5 bis 30 Euro an.

Das Grundproblem: Viele Verkehrsunternehmen stellen Tickets sofort aus, bevor die SEPA-Lastschrift vollständig verarbeitet ist. Eine Validierung der Kontodaten findet oft nicht statt. Der Gesamtschaden durch alle Betrugsarten belief sich auf bis zu 267 Millionen Euro allein für den Zeitraum Januar bis Oktober 2024. Insgesamt dürfte bis dato sogar bis zu einer halben Milliarde Euro an entgangenen Ticketeinnahmen aufgelaufen sein.

Besonders dreist waren die Betreiber des illegalen Ticketshops d-ticket.su. Dieser hatte monatelang Deutschlandtickets verkauft, die mit einem offenbar entwendeten kryptografischen Schlüssel der Vetter Verkehrsbetriebe signiert waren. Die Deutsche Bahn fand bei einer nachträglichen Prüfung rund 50.000 solcher Tickets in ihren Kontrollprotokollen – was einem Mindestschaden von 2,9 Millionen Euro entspricht. Die tatsächliche Summe dürfte deutlich höher liegen, da nicht alle Tickets bei der DB kontrolliert werden.

Wie der Schlüssel in falsche Hände geriet, ist bis heute ungeklärt. Die Forscher präsentierten mehrere mögliche Szenarien: von kryptografischen Schwächen des verwendeten DSA-1024-Verfahrens mit SHA-1 über klassischen Diebstahl bis zu schlichter Nachlässigkeit – etwa einem öffentlich zugänglichen Schlüssel. Besonders brisant: Der Technologiepartner mo.pla, ein Münchner Startup, hatte bei einer Firmenübernahme offenbar auch alte Schlüssel von Vetter übernommen. Ob diese dabei „verloren gingen“, bleibt Spekulation. Nachdem Vetter in der Vergangenheit engere Zusammenarbeit mit mo.pla bestritten hatte, hat Q Misell etwas gegraben und nachvollziehbare Verbindungen gefunden.

Startup-Code auf Stack Overflow

Besonders kritisch bewerteten Q und Maya in ihrem Talk die Sicherheitspraktiken des Technologiepartners mo.pla. Sie dokumentierten eine Schwachstelle im PayPal-Zahlungsprozess, die es ermöglichte, mit einem leeren PayPal-Konto Tickets zu erwerben. Der Fehler sei inzwischen behoben. Bezeichnend: Code von mo.pla-Entwicklern fand sich auf Stack Overflow – „typischer Startup-Code“, hieß es in dem Vortrag.

Zudem weigere sich mo.pla, am branchenweiten Sperrsystem teilzunehmen, und habe stattdessen ein eigenes Revokationssystem etabliert. Das bedeutet zusätzlichen Integrationsaufwand für alle Unternehmen, die mo.pla-Tickets kontrollieren wollen.

Schlüsselsperrung verzögerte sich wochenlang

Obwohl die DTVG bereits im Dezember 2024 von dem Missbrauch durch d-ticket.su wusste, wurde der kompromittierte Schlüssel erst Anfang Februar 2025 gesperrt. Die Begründung war bezeichnend: „Ein Sperren des Ticketschlüssels noch im Dezember 2024 wurde aufgrund von Urlaub und Krankheit des verantwortlichen Mitarbeiters nicht durchgeführt. Ein Back-up für diese Fälle existiert bei der DTVG aufgrund enger Personaldecke nicht.“

Auf Nachfrage von heise online hatte Vetter damals behauptet, man tausche Schlüssel inzwischen „regelmäßig“ aus. Die Forscher widerlegten dies im Vortrag: Ein aktuell gekauftes Vetter-Ticket werde weiterhin mit demselben Schlüssel signiert wie im März.

Branche reagierte erst nach öffentlichem Druck

Erst nachdem das Ausmaß des Betrugs und die Untätigkeit der Verantwortlichen publik wurden, bewegte sich die Branche. Interne Protokolle hatten belegt, dass den Entscheidungsträgern die Probleme seit Anfang 2024 bekannt waren – konkrete Gegenmaßnahmen aber an Partikularinteressen und gescheiterten Abstimmungen scheiterten.

Im Mai 2025 einigten sich die Verkehrsunternehmen schließlich auf verbindliche Sicherheitsmaßnahmen. Dazu gehören eine verpflichtende Bankkontoverifizierung, zentrale Sperrlisten, sichere Schlüsselverwaltung in Trustcentern und ab 2026 kopiergeschützte Handytickets. Seit Oktober 2025 sollten eigentlich nur noch Tickets gültig sein, welche die neuen Standards erfüllen. Dieses Ziel ist bisher nur in Teilen erreicht worden.

Immerhin ist die Finanzierung des Deutschlandtickets inzwischen bis 2030 gesichert. Der Preis steigt allerdings zum Jahreswechsel auf 63 Euro. Ob die nun beschlossenen Sicherheitsmaßnahmen den Betrug tatsächlich eindämmen können, wird sich zeigen. Die Forscher bedankten sich am Ende ihres Vortrags bei den Mitarbeitern der DTVG und der Deutschen Bahn, die bei der Aufklärung geholfen hatten – und machten deutlich, dass ohne externen Druck wohl wenig passiert wäre.

(vza)