Die Slotmaschine rattert, blinkt und klingelt, während ihre Walzen rotieren. Die Lootbox schüttelt sich und pulsiert, als würde sie gleich explodieren, begleitet von anschwellenden Glockenklängen. Für viele Gamer*innen bedeutet das Spaß und Nervenkitzel, ob beim klassischen (Online-)Glücksspiel für Erwachsene oder in Glücksspiel-ähnlichen Games, die teils sogar für Kinder freigegeben sind.
Für die Psychologin und Neurowissenschaftlerin Elke Smith bedeutet Glücksspiel dagegen Arbeit. Denn sie erforscht an der Universität zu Köln menschliche Entscheidungs- und Lernprozesse – darunter jene Mechanismen, die beim Zocken im Hintergrund ablaufen. In ihrem Vortrag auf dem 39. Chaos Communication Congress erklärt Smith die zentralen Tricks von Glücksspiel, die sich inzwischen auch in klassischen Online-Games ausbreiten.
Geschätzt 2,4 Prozent der deutschen Bevölkerung zwischen 18 und 70 Jahren sind laut Gesundheitsministerium süchtig nach Glücksspielen, haben also eine als Krankheit anerkannte Verhaltensstörung. Derweil liegen die Umsätze für legales Glücksspiel in Deutschland bei knapp 63,5 Milliarden Euro. Dennoch kommt der Vortrag der Glücksspiel-Forscherin Smith ohne Verteufelung aus. Vielmehr umreißt sie den Graubereich zwischen Spaß und Suchtgefahr.
Ein besonders auffälliger Glücksspiel-Mechanismus, den Smith hervorhebt, sind audiovisuelle Effekte, die bei hohen Gewinnen noch stärker werden. Darunter fallen zum Beispiel die zu Beginn erwähnten klingelnden und glitzernden Slotmaschinen und Lootboxen. Gerade bei einem Gewinn können virtuelle Funken sprühen, Goldmünzen hageln und Fanfaren blasen. Solche Elemente sind kein bloßes Beiwerk, sondern tragen dazu bei, Menschen durch Reize zu belohnen und damit zum Weiterspielen zu motivieren.
Sogenannte Near Misses sind Fälle, in denen Spieler*innen den Eindruck bekommen, nur ganz knapp verloren zu haben, etwa wenn bei der Slotmaschine das Gewinnsymbol fast getroffen wurde. Zwar macht es finanziell keinen Unterschied, ob man knapp oder deutlich verliert – es fühlt sich aber anders an.
Ein weiterer Mechanismus, den Smith hervorhebt, sind als Verluste getarnte Gewinne, auf Englisch: losses disguised as wins. In diesem Fall bekommen Spielende einen Bruchteil ihres Einsatzes als scheinbaren Gewinn zurück, begleitet mit audiovisuellen Belohnungsreizen.
Bei der Jagd nach Verlusten („chasing losses“) versuchen Spieler*innen wiederum, das verlorene Geld aus vorigen Runden durch immer weitere Einsätze wieder zurückzuholen.
Nicht zuletzt kann sich Glücksspiel auch der sogenannten Kontroll-Illusion („illusion of control“) bedienen. Das ist eine kognitive Verzerrung: Üblicherweise können Menschen durch ihre Entscheidungen tatsächlich ihre Umwelt beeinflussen, dazu lernen und ihre Fähigkeiten verbessern. Beim Glücksspiel dagegen haben Entscheidungen oftmals keinen Einfluss auf das Ergebnis – es fühlt sich nur so an. Als Beispiel nennt Smith die Entscheidung, wann genau man bei einer Slotmaschine den Knopf drückt, um die rollenden Walzen zu stoppen.
Diese und weitere Mechanismen sind nicht auf (Online-)Casinos begrenzt, sondern verbreiten sich auch in klassischen Spiele-Apps, wie Smith ausführt. Die Integration von Glücksspiel-Elementen wie Zufall, Risiko und Belohnung nennt sie „Gamblification“ – und deren Effekte hat sie selbst untersucht.
Gemeinsam mit Forschungskolleg*innen hat Smith gemessen, wie Zuschauer*innen auf YouTube-Videos reagieren, in denen Gamer*innen sich beim Öffnen von Lootboxen filmen. Solche Videos erreichen auf YouTube ein Millionenpublikum und zeigen: Glücksspiel-Mechanismen wirken möglicherweise sogar dann, wenn man anderen nur beim Spielen zuschaut.
Konkret haben die Forschenden Views, Likes und Kommentare von 22.000 Gaming-Videos mit und ohne Lootboxen miteinander verglichen. Das Ergebnis: Der Lootbox-Content hat das Publikum messbar stärker eingenommen als anderer Gaming-Content: mehr Views, mehr Likes, mehr Kommentare. „Dieses erhöhte Engagement könnte mit den Glücksspiel-ähnlichen Eigenschaften der durch Lootboxen vermittelten Belohnungsstruktur zusammenhängen“, heißt es auf Englisch in dem Paper, das im Mai 2025 beim Journal Scientific Reports erschienen ist.
Um ihre Online-Spiele zu optimieren, können Anbieter auf A/B-Testing mit großen empirischen Datenmengen zurückgreifen, erklärt Smith in ihrem Vortrag. Das heißt: Sie können Features einfach ausprobieren und messen, was am besten funktioniert. Schließlich bekommen sie täglich kostenlos neue Daten von Millionen Gamer*innen. Auf diese Weise entstehen Produkte, die von Anfang an so gestaltet sind, dass sie die Belohnungsmechanismen der Spieler*innen am besten ausnutzen. Smith nennt das „Neuroexploitation by design“.
Gegen Ende ihres Vortags geht Smith auf Ansätze ein, um die Gefahren von Glücksspiel-Mechanismen einzudämmen. In Deutschland gibt es etwa den Glücksspielstaatsvertrag. Manche Normen zielen direkt auf Glücksspiel-Mechanismen ab: So muss bei einem virtuellen Automatenspiel etwa ein einzelnes Spiel mindestens fünf Sekunden dauern, der Einsatz darf einen Euro pro Spiel nicht übersteigen. Das soll das Feuerwerk aus Risiko und Belohnung eindämmen.
Ob Lootboxen in die Kategorie Glücksspiel fallen, beschäftigt internationale Gerichte und Gesetzgeber bereits seit Jahren. In Deutschland hatte jüngst der Bundesrat strengere Regeln gefordert. Am 21. November hielten die Länder fest, dass Lootboxen und andere Glücksspiel-ähnliche Mechanismen in Videospielen besser reguliert werden sollen, um Suchtgefahr zu reduzieren. In Belgien und den Niederlanden gibt es bereits strengere Regeln.
Auf EU-Ebene gibt es derzeit kein spezifisches Recht zur Regulierung von Lootboxen, wie die Wissenschaftlichen Dienste des Bundestags den Sachstand im Herbst 2024 zusammenfassen. Allerdings kommen je nach Kontext verschiedene EU-Gesetze in Frage, etwa das Gesetz über digitale Dienste (DSA), das manche Anbieter dazu verpflichtet, Risiken für ihre Nutzer*innen zu erkennen und zu minimieren. Derzeit plant die EU-Kommission zudem den Digital Fairness Act, der Lücken im Verbraucherschutz schließen soll.
„Ich denke, es wäre wichtig, vor allem junge Menschen vor diesen Mechanismen zu schützen“, warnt Smith mit Blick auf Glücksspiel-Mechaniken in Spielen. Damit verweist die Forscherin auf eine Leerstelle in den aktuellen Debatten um Jugendschutz im Netz, die vor allem um Alterskontrollen für soziale Medien kreisen.
Ein fertiges Regulierungs-Konzept für Glücksspiel-Mechanismen hat die Forscherin zwar nicht. In welchem Spannungsfeld man sich bei dem Thema bewegt, bringt sie jedoch in Reaktion auf eine Frage aus dem Publikum auf den Punkt: „Gibt es einen Bereich vom Spieldesign, der Spaß macht, Nervenkitzel birgt, profitabel ist für die Anbieter und im Bereich des sicheren Spielens liegt?“
Um Diagnosen, Laborberichte oder Therapiepläne untereinander auszutauschen, nutzen Arztpraxen und Krankenhäuser standardmäßig ein spezielles Mail-System namens „Kommunikation im Medizinwesen“, kurz: KIM.
KIM verspricht, sensible Daten verschlüsselt zu übermitteln, damit Unbefugte sie nicht abfangen und einsehen können. Doch bei der Sicherheit hapert es gewaltig, wie der IT-Sicherheitsforscher Christoph Saatjohann heute auf dem 39. Chaos Communication Congress in Hamburg zeigte. Der NDR und die Süddeutsche Zeitung hatten zuvor über die Recherchen zum Thema berichtet.
Demnach weist das KIM-System seit Jahren gravierende Sicherheitslücken auf. Mit geringem Aufwand können Angreifer unter anderem gefälschte Mail-Adressen anlegen und damit vermeintlich seriös wirkende Nachrichten versenden. Auf diese Weise lassen sich Praxissysteme infiltrieren, um beispielsweise Patient:innendaten zu stehlen.
KIM wurde 2021 bundesweit eingeführt, etwa 100 Millionen Nachrichten werden jedes Jahr über das System verschickt. Neben der elektronischen Patientenakte (ePA) und dem E-Rezept gilt der Dienst als weitere wichtige Säule des digitalen Gesundheitswesens.
Um einen sicheren Nachrichtenversand zu gewährleisten, versieht KIM Nachrichten mit einer digitalen Signatur. Diese bestätigt dem Empfänger, dass die Nachricht tatsächlich über das System verschickt wurde. Allerdings besteht laut Saatjohann keine Sicherheit darüber, ob der Absender der ist, der er vorgibt zu sein.
Um eine KIM-Mail-Adresse bei einem KIM-Fachdienst wie T-Systems registrieren zu lassen, braucht es aktuell nur einen Ausweis für eine medizinische Einrichtung, eine sogenannte SMB-C-Karte. Auf eine solche Karte haben mehrere hunderttausend Menschen im Gesundheitswesen Zugriff. Und auch auf eBay würden diese Ausweise hin und wieder verkauft, sagt Saatjohann.
Liegt eine solche Karte vor, können Angreifer eine beliebige Mail-Adresse nach einem bestimmten Muster erstellen: namederpraxis.ort@anbieter.kim.telematik. Die gewünschten Adressen werden nicht auf Plausibilität geprüft. Das Ergebnis ist Saatjohann zufolge vergleichbar mit einem versiegelten Brief, bei dem der Absendername aber falsch sein kann. Angreifer könnten die gefälschte Absender-Adresse dazu nutzen, echt erscheinende Mails zu versenden, die Schadsoftware oder Phishing-Links enthalten.
Saatjohann sieht die Verantwortung für die Lücken vorrangig bei der Gematik. Die staatseigene GmbH ist für die Spezifikation und Prüfung des KIM-Systems verantwortlich. Und die hier vorgegebenen Sicherheitsstandards habe die Agentur offenkundig nicht ausreichend überprüft, so Saatjohann.
Am 15. September übermittelte der IT-Forscher der Agentur seine Funde. Knapp zwei Monate später veröffentlichte die Gematik einen sogenannten Hotfix, der viele der aufgezeigten Sicherheitslücken schließt. Nach eigenen Angaben arbeitet die Gematik daran, die weiteren Lücken ebenfalls zu schließen. Auch T-Systems habe Saatjohann über die Lücken informiert, das Unternehmen habe bis zum heutigen Tag aber nicht reagiert.
Es werde noch dauern, bis alle Praxen die Sicherheitsupdates eingespielt haben. Vor allem aber sei es weiterhin mit geringem Aufwand möglich, eine eigene Mail-Adresse für das KIM-System zu erhalten, ohne dass diese auf Plausibilität geprüft wird. Ein Angreifer kann sich also auch weiterhin als eine behandelnde Person seiner Wahl ausgeben. „Ich sehe keine Möglichkeit, das schnell zu verbessern“, sagt Saatjohann. „In der aktuellen Architektur ist das kaum lösbar und deshalb bleibt eine Restunsicherheit.“ Um diese zu beseitigen, müsse wohl das gesamte KIM-System überholt werden.
Auf dem diesjährigen 39C3 stellt sich damit einmal mehr die Frage, wie sicher unsere Patient:innendaten sind.
Schon im vergangenen Jahr stand die Gematik massiv in der Kritik. Im Dezember 2024 hatten die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich Schwachstellen bei der elektronischen Patientenakte (ePA) vorgestellt.
Die Agentur versprach daraufhin, die Lücken zu schließen. Doch im Mai dieses Jahres konnten die beiden Fachleute in Zusammenarbeit mit Saatjohann erneut Zugriff auf die digitalen Patientenakten erlangen. Und bis heute sind nicht alle der damals aufgezeigten Sicherheitslücken bei der ePA geschlossen.
Der IT-Sicherheitsforscher Christoph Saatjohann ist kein Unbekannter in der Welt der medizinischen IT. Seit 2019 beobachtet er die Einführung der Telematikinfrastruktur (TI) kritisch. Bereits in den vergangenen Jahren legte er den Finger in die Wunde eines Systems, das eigentlich den Austausch im deutschen Gesundheitswesen absichern soll. Unter dem Label „Kommunikation im Medizinwesen“ (KIM), werden täglich Arztbriefe, elektronische Arbeitsunfähigkeitsbescheinigungen und Laborbefunde verschickt. Doch die Bilanz, die Saatjohann nun in Hamburg auf dem 39. Chaos Communication Congress (39C3) zog, ist entzaubernd: Das Versprechen einer schier lückenlosen Sicherheit ist auch nach Jahren voller Korrekturen noch nicht erfüllt.
Weiterlesen nach der Anzeige
Nicht alles ist schlecht. Saatjohann räumte ein, dass KIM in den Praxen mittlerweile gut angekommen sei und die Gematik bereits früher gemeldete Schwachstellen – wie etwa gravierende Fehler bei der Schlüsselverwaltung – geschlossen habe. Doch kaum ist ein Loch gestopft, tun sich neue Abgründe auf. So berichtete der Professor für eingebettete und medizinische IT-Sicherheit an der FH Münster von einem „KIM of Death“: Durch fehlerhaft formatierte E-Mails konnten Angreifer das Clientmodul – die Software-Schnittstelle beim Arzt – gezielt zum Absturz bringen.
In einem Fall musste Saatjohann in einer Praxis, in der er nebenberuflich an Wochenenden experimentieren darf, selbst Hand anlegen und ein Python-Skript schreiben, um die blockierenden Nachrichten manuell vom Server zu löschen. „Es war knapp, dass die Praxis am Montag wieder funktioniert hat“, kommentierte er die Tragweite eines solchen Denial-of-Service-Angriffs. Ein solcher könnte theoretisch alle rund 200.000 KIM-Adressen gleichzeitig lahmlegen.
Als besonders perfide erwiesen sich Schwachstellen beim neuen KIM-Attachment-Service (KAS), der den Versand von Dateien bis zu 500 MB ermöglicht. Da das Clientmodul dabei Anhänge von externen Servern nachlädt, können Angreifer laut Saatjohann dem System eigene Server als Download-Quelle unterschieben. Das Ergebnis sei ein „IP-Mining“ im großen Stil. Übeltäter könnten so ein präzises Lagebild einer kritischen Infrastruktur erhalten: einbezogen wären die IP-Adressen von Praxen, Apotheken und Krankenkassen, die den Anhang herunterladen wollen.
Schlimmer noch: Da T-Systems als Mailserver-Betreiber zeitweise das Feld für den Absender („Mail-From“) nicht validierte, ließen sich KIM-Nachrichten mit beliebigem Absender fingieren – etwa im Namen des Bundesministeriums für Gesundheit. Der Professor warnte: Da solche E-Post einen „besonderen Vertrauensvorschuss“ genieße, wäre dies die perfekte Basis für hochwirksame Phishing-Kampagnen.
Auch die Identitätsprüfung innerhalb des Walled-Garden-Systems der TI stellte sich als löchrig heraus. Saatjohann demonstrierte, wie er sich problemlos eine KIM-Adresse unter falschem Namen erstellen konnte, da die Plausibilität der Adressen nicht geprüft wurde. Zudem war es ihm möglich, KIM-Nachrichten mit einem beliebigen TI-Schlüssel zu signieren, ohne dass das Empfängermodul Alarm schlug: die Prüfung zwischen Signatur und tatsächlichem Absender fehlte. Selbst das Mitlesen verschlüsselter Nachrichten war unter bestimmten Bedingungen möglich. Durch das Unterschieben eines eigenen POP3-Servers und die Ausnutzung einer mangelhaften Zertifikatsprüfung der Clientmodule konnten Nachrichten im Klartext an einen Angreifer weitergeleitet werden.
Weiterlesen nach der Anzeige
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte auf die Enthüllungen besorgt, bemühte sich aber um Schadensbegrenzung. Gegenüber NDR und Süddeutscher Zeitung erklärte die Behörde, die gefundenen Sicherheitslücken seien nur mit technischen Fachkenntnissen ausnutzbar. Ein unmittelbares Risiko für die Patienten sei unwahrscheinlich.
Dennoch bleibt die Kritik an der Sicherheitskultur im KIM-System bestehen. Während die Gematik auf Saatjohanns Meldungen schnell reagierte und Mitte November Hotfixes für die Clientmodule sowie schärfere Zertifikatsprüfungen auf den Weg brachte, reagierte T-Systems gegenüber dem Forscher nicht. Laut Saatjohann wurden die Schwachstellen dort zwar stillschweigend gefixt, eine transparente Kommunikation oder Dokumentation habe jedoch gefehlt.
Trotz der neuen Mängel zog Saatjohann ein differenziertes Fazit. Er hob hervor, dass die Architektur zwar an vielen Stellen „strukturell falsch“ sei. Das liege auch an der Komplexität von über 130 verschiedenen Praxisverwaltungssystemen, die alle eigene Sicherheitsanforderungen erfüllen müssten. Das System KIM agiere aber grundsätzlich „auf recht hohem Niveau“. Das Sicherheitsrisiko sei im Vergleich zum völlig unverschlüsselten Fax-Versand oder herkömmlichen E-Mails immer noch geringer. Er selbst würde sensible Daten eher über KIM verschicken als über die konventionellen Wege.
Der Wissenschaftler gab zugleich zu bedenken: „Eine Restunsicherheit bleibt.“ Die Gematik plane zwar über eine zur Konsultation freigegebene Vorabveröffentlichung bereits weitere Schutzmaßnahmen wie eine zusätzliche Signatur in den Mail-Headern. Doch solange die Authentifizierung der Clientmodule nicht verpflichtend und die freie Wahl der Absendernamen möglich sei, bleibe KIM eine Lösung, deren Vertrauensanker auf tönernen Füßen stehe.
(nie)
Gute Nachrichten zuerst: Im Kampf gegen den massiven Betrug beim Deutschlandticket bewegt sich etwas. Wie die Sicherheitsforscher Q Misell und Maya „551724“ Boeckh in ihrem Vortrag „All my Deutschlandtickets gone“ auf dem 39. Chaos Communication Congress (39C3) berichteten, nutzen inzwischen diverse Verkehrsunternehmen eine zentrale Sperrliste für sogenannte UIC-Tickets des Deutschlandtarifverbund (DTVG). Dabei handelt es sich um elektronische oder ausgedruckte Zugtickets, bei denen die Fahrkartendaten in einem 2D-Barcode nach dem Standard des UIC (Union internationale des chemins de fer) kodiert werden, der sich im Vorfeld als besonders leicht zu fälschen erwiesen hatte.
Weiterlesen nach der Anzeige
Die Deutsche Bahn führt derzeit 98 Prozent aller Abfragen dieser Sperrliste durch. Hinzu kommen laut den Vortragsfolien die bConn GmbH, deren System die Magdeburger Verkehrsbetriebe, Autobus Oberbayern, das Busunternehmen Lehner und die Harzer Schmalspurbahnen nutzen. Über die AMCON GmbH sind Transdev, die Nahverkehrsgesellschaft Hochstift, Elbe-Weser, VGE ZOB, der Landkreis Würzburg sowie die Unternehmen Kalmer und Veelker angebunden. Auch INSA nutzt die Sperrliste für die PVGS Altmarkkreis Salzwedel. Zudem arbeite die Branche an einer zentralen Ausstellung von UIC-Deutschlandtickets, um künftige Sicherheitslücken zu schließen.
Inzwischen nutzen zahlreiche Verkehrsunternehmen und -verbände die zentrale Sperrliste für UIC-Tickets der DTVG – aber noch längst nicht alle.
(Bild: Q Misell, Maya Boekh)
Doch der Weg dorthin war lang – und der Vortrag dokumentiert ein erschreckendes Ausmaß an Versäumnissen. Er fasst viele der Betrugsfälle zusammen, welche die Sicherheitsforschenden Q Misell und Flüpke zusammen mit heise online Anfang des Jahres öffentlich gemacht hatten. Es lohnt sich aber auch jeden Fall, die Aufzeichnung des Talks anzuschauen, weil Q und Maya die gesamte Geschichte sehr unterhaltsam aufgerollt haben.
Den größten Schaden verursacht der sogenannte Dreiecksbetrug: Kriminelle kaufen mit gestohlenen Bankdaten echte Tickets bei Verkehrsverbünden und verkaufen diese über Telegram-Kanäle weiter. Wie Q Misell im Februar aufdeckte, boten zahlreiche illegale Shops Deutschlandtickets für 5 bis 30 Euro an.
Das Grundproblem: Viele Verkehrsunternehmen stellen Tickets sofort aus, bevor die SEPA-Lastschrift vollständig verarbeitet ist. Eine Validierung der Kontodaten findet oft nicht statt. Der Gesamtschaden durch alle Betrugsarten belief sich auf bis zu 267 Millionen Euro allein für den Zeitraum Januar bis Oktober 2024. Insgesamt dürfte bis dato sogar bis zu einer halben Milliarde Euro an entgangenen Ticketeinnahmen aufgelaufen sein.
Besonders dreist waren die Betreiber des illegalen Ticketshops d-ticket.su. Dieser hatte monatelang Deutschlandtickets verkauft, die mit einem offenbar entwendeten kryptografischen Schlüssel der Vetter Verkehrsbetriebe signiert waren. Die Deutsche Bahn fand bei einer nachträglichen Prüfung rund 50.000 solcher Tickets in ihren Kontrollprotokollen – was einem Mindestschaden von 2,9 Millionen Euro entspricht. Die tatsächliche Summe dürfte deutlich höher liegen, da nicht alle Tickets bei der DB kontrolliert werden.
Weiterlesen nach der Anzeige
Wie der Schlüssel in falsche Hände geriet, ist bis heute ungeklärt. Die Forscher präsentierten mehrere mögliche Szenarien: von kryptografischen Schwächen des verwendeten DSA-1024-Verfahrens mit SHA-1 über klassischen Diebstahl bis zu schlichter Nachlässigkeit – etwa einem öffentlich zugänglichen Schlüssel. Besonders brisant: Der Technologiepartner mo.pla, ein Münchner Startup, hatte bei einer Firmenübernahme offenbar auch alte Schlüssel von Vetter übernommen. Ob diese dabei „verloren gingen“, bleibt Spekulation. Nachdem Vetter in der Vergangenheit engere Zusammenarbeit mit mo.pla bestritten hatte, hat Q Misell etwas gegraben und nachvollziehbare Verbindungen gefunden.
Besonders kritisch bewerteten Q und Maya in ihrem Talk die Sicherheitspraktiken des Technologiepartners mo.pla. Sie dokumentierten eine Schwachstelle im PayPal-Zahlungsprozess, die es ermöglichte, mit einem leeren PayPal-Konto Tickets zu erwerben. Der Fehler sei inzwischen behoben. Bezeichnend: Code von mo.pla-Entwicklern fand sich auf Stack Overflow – „typischer Startup-Code“, hieß es in dem Vortrag.
Zudem weigere sich mo.pla, am branchenweiten Sperrsystem teilzunehmen, und habe stattdessen ein eigenes Revokationssystem etabliert. Das bedeutet zusätzlichen Integrationsaufwand für alle Unternehmen, die mo.pla-Tickets kontrollieren wollen.
Obwohl die DTVG bereits im Dezember 2024 von dem Missbrauch durch d-ticket.su wusste, wurde der kompromittierte Schlüssel erst Anfang Februar 2025 gesperrt. Die Begründung war bezeichnend: „Ein Sperren des Ticketschlüssels noch im Dezember 2024 wurde aufgrund von Urlaub und Krankheit des verantwortlichen Mitarbeiters nicht durchgeführt. Ein Back-up für diese Fälle existiert bei der DTVG aufgrund enger Personaldecke nicht.“
Auf Nachfrage von heise online hatte Vetter damals behauptet, man tausche Schlüssel inzwischen „regelmäßig“ aus. Die Forscher widerlegten dies im Vortrag: Ein aktuell gekauftes Vetter-Ticket werde weiterhin mit demselben Schlüssel signiert wie im März.
Erst nachdem das Ausmaß des Betrugs und die Untätigkeit der Verantwortlichen publik wurden, bewegte sich die Branche. Interne Protokolle hatten belegt, dass den Entscheidungsträgern die Probleme seit Anfang 2024 bekannt waren – konkrete Gegenmaßnahmen aber an Partikularinteressen und gescheiterten Abstimmungen scheiterten.
Im Mai 2025 einigten sich die Verkehrsunternehmen schließlich auf verbindliche Sicherheitsmaßnahmen. Dazu gehören eine verpflichtende Bankkontoverifizierung, zentrale Sperrlisten, sichere Schlüsselverwaltung in Trustcentern und ab 2026 kopiergeschützte Handytickets. Seit Oktober 2025 sollten eigentlich nur noch Tickets gültig sein, welche die neuen Standards erfüllen. Dieses Ziel ist bisher nur in Teilen erreicht worden.
Immerhin ist die Finanzierung des Deutschlandtickets inzwischen bis 2030 gesichert. Der Preis steigt allerdings zum Jahreswechsel auf 63 Euro. Ob die nun beschlossenen Sicherheitsmaßnahmen den Betrug tatsächlich eindämmen können, wird sich zeigen. Die Forscher bedankten sich am Ende ihres Vortrags bei den Mitarbeitern der DTVG und der Deutschen Bahn, die bei der Aufklärung geholfen hatten – und machten deutlich, dass ohne externen Druck wohl wenig passiert wäre.
(vza)
Illustrierte Reise nach New York City › PAGE online
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
SK Rapid Wien erneuert visuelle Identität
Neue PC-Spiele im November 2025: „Anno 117: Pax Romana“
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Donnerstag: Deutsches Flugtaxi-Start-up am Ende, KI-Rechenzentren mit ARM-Chips
Arndt Benedikt rebranded GreatVita › PAGE online
