Monday, Jun 09, 2025

Deutschlandticket soll endlich fälschungssicherer werden

2025-06-09
In wirtschaft
vom admin

Die Finanzierung für das Deutschlandticket ist gesichert - zumindest für dieses Jahr. Aber ist es auch sicher? Schon lange bekannte Sicherheitslücken sollen jetzt endlich gestopft werden. Betrüger konnten monatelang Zehntausende gefälschte Tickets verkaufen.

Zwei Jahre alt ist das Deutschlandticket mittlerweile. Mit dem Abo-Ticket sind Bus- und Bahnfahrten im Nahverkehr in ganz Deutschland erschwinglich - von der Ostsee zum Bodensee, von der Oder zum Rhein, von der Zugspitze bis Sylt.

Obwohl das Deutschlandticket längst nicht mehr nur 9 Euro kostet, sondern seit Anfang des Jahres 58 Euro, sind immer mehr Menschen damit unterwegs: mittlerweile fast jeder und jede Sechste. Insgesamt rund 14,5 Millionen Menschen in Deutschland haben eins.

Viele Reisende sind allerdings monatelang unfreiwillig schwarzgefahren, hat das Portal Heise im Februar berichtet. Ihre digitalen Deutschlandtickets auf ihren Smartphones waren plötzlich nicht mehr gültig. Auch Antonia Rafaela Agyena aus Bielefeld ist auf das Angebot hereingefallen. Ein halbes Jahr lang ist alles glattgelaufen - dann musste sie bei einer Kontrolle plötzlich 60 Euro Strafe zahlen, berichtet sie bei ntv.

Sie und andere Betroffene hatten ihr Ticket über den nicht offiziellen Fahrkartenshop D-Ticket gekauft. Er hatte Tickets günstiger und als Monatskarte angeboten, ohne Abo - was beim echten Deutschlandticket nicht möglich ist. Monatelang hat der Betrugsshop auf diesem Weg Tausende falsche Deutschlandtickets verkauft. Im Nachhinein hat die Deutsche Bahn etwa 50.000 solcher Fake-Tickets entdeckt. Wahrscheinlich sind es aber noch viele mehr. Aufgeflogen sind sie laut dem Heise-Bericht durch die Kennzeichnung "Senior" auf dem Ticket. Die gibt es eigentlich gar nicht.

Der Betreiber der Website - RouteVibe Limited - besitzt, wie es aussieht, nur eine virtuelle Büro-Adresse in London. Mittlerweile laufen laut Bild mehrere Strafanzeigen.

Sicherheitslücken seit 2023 bekannt

Der Deutschlandtarifverbund (DTVG) soll schon im Dezember vorigen Jahres von dem Betrug gewusst haben. Reagiert hat er erst zwei Monate später, im Februar. Der Grund für die Verzögerung: der zuständige Mitarbeiter war, wie es aussieht, krank und danach im Urlaub - eine Vertretung habe es "aufgrund enger Personaldecke" nicht gegeben.

Überraschend kann der Betrug aber kaum gewesen sein. Schon 2023, im Startjahr des Deutschlandtickets, sollen die Verantwortlichen von den Sicherheitslücken im System gewusst haben. Zumal der massive Missbrauch auch an den Nutzerzahlen deutlich zu sehen war: Es sind viel mehr Menschen mit dem Deutschlandticket gereist, als offiziell verkauft wurden - 60.000 bis zu 1.000.000 mehr - pro Monat. Heise wertet das als ein deutliches Zeichen für massiven Betrug.

Auch wenn die Sicherheitslücken bekannt waren, hätten es die Verkehrsunternehmen anderthalb Jahre lang nicht geschafft, einheitliche Sicherheitsstandards einzuführen. Das lag auch an der überstürzten Einführung des Tickets, sagt Lars Wagner, Sprecher beim Verband Deutscher Verkehrsunternehmen (VDV) zu RTL/ntv. Vertriebs- und Kontrollprozesse hätten in kürzester Zeit angepasst und digitalisiert werden müssen. "Dadurch entstehen Angriffspunkte für Betrugsversuche. Seitdem bemüht sich die Branche, das zu verhindern", so Wagner.

Gestohlener Kryptoschlüssel genutzt

Beim Start im Mai 2023 sind zwei Systeme benutzt worden, um die Tickets auszustellen. Ein sicheres und ein unsicheres, erklärt Heise. Dadurch habe das Deutschlandticket schnell starten können, auch mit kleineren Verkehrsunternehmen an Bord.

Die sichere Variante nennt sich VDV-Kernapplikation (VDV-KA) vom Verband Deutscher Verkehrsunternehmen - der einzige anerkannte Standard für elektronische ÖPNV-Tickets in Deutschland. Und laut TÜV Rheinland technisch besser aufgestellt als die zweite Variante: der UIC-Barcode vom Internationalen Eisenbahnverband. Den hat auch der Ticketshop D-Ticket genutzt. Er war offenbar an einen privaten Schlüssel der Vetter Verkehrsbetriebe aus Sachsen-Anhalt herangekommen. Diesen Kryptoschlüssel können die Verkehrsbetriebe selbst erstellen. Damit konnte D-Ticket die Zehntausenden gefälschten Fahrkarten verkaufen. Wie die Fake-Seite an den Schlüssel gekommen ist, ist noch nicht klar.

Im Januar ist der Betrug dann aufgeflogen - zum Februar sind alle Tickets mit dem Schlüssel der Vetter Verkehrsbetriebe gesperrt worden - unabhängig davon, ob sie echt waren oder nicht.

"Die Verkehrsunternehmen haben geschludert und zu spät reagiert", kritisiert Detlef Neuß, der Bundesvorsitzende des Fahrgastverbands Pro Bahn, bei ntv. "Es gibt Verkehrsunternehmen, deren IT ist anfällig und nicht ausreichend gesichert, deswegen sind diese Betrugsfälle möglich."

Schaden in Millionenhöhe

Beim Deutschlandticket wurde aber nicht nur mit Kryptoschlüsseln betrogen. Eine häufige Betrugsmasche ist der Lastschriftbetrug: Tickets werden mit falschen, fremden oder gestohlenen Kontodaten gekauft. "In dem Moment, wo derjenige merkt, dass seine Bankdaten zu Unrecht benutzt wurden, lässt er diese Lastschrift platzen - und dann ist natürlich auch das Ticket ungültig", sagt VDV-Sprecher Wagner. Eine weitere Betrugsmasche seien digitale Ticketkopien. Dadurch würden den Verkehrsunternehmen Einnahmen entgehen.

Der gesamte Schaden ist riesig. Er liegt laut Wagner im dreistelligen Millionenbereich und die Dunkelziffer sei hoch. Heise sieht einen Gesamtschaden durch manipulierte oder kopierte Tickets von bis zu einer halben Milliarde Euro kommen.

Allein in den zehn Monaten von Januar bis Oktober 2024 gab es einen Verlust von 267 Millionen Euro. Das ist die Differenz zwischen den Tickets, die im Umlauf waren und den tatsächlich verkauften Fahrkarten - immerhin 5,45 Millionen Tickets.

Neue Sicherheitsstandards bis Oktober

Der dreistellige Millionenschaden war offenbar schon lange abzusehen, seit Mai 2024. Doch erst jetzt, ein Jahr später, haben sich die Verkehrsunternehmen und -verbünde geeinigt. Es soll einheitliche Sicherheitsstandards für das Deutschlandticket geben. Die sollen es Fälschern schwerer machen.

Käufer müssen in Zukunft ihr Bankkonto verifizieren, die Kryptoschlüssel für die Tickets sollen sicherer verwaltet, Handytickets einen Kopierschutz bekommen und ungültige Tickets zentral erfasst werden.

Das alles soll schrittweise umgesetzt werden - bis spätestens Ende September. Ab 1. Oktober sollen nur noch Deutschlandtickets gelten, die die neuen Sicherheitsstandards erfüllen. Ein "sehr straffer Zeitplan", sagt Wagner, die Verkehrsunternehmen würden bereits am besseren Sicherheitsniveau arbeiten. "Digitale Prozesse brauchen eine gewisse Zeit. Wir sind auf technische Dienstleister angewiesen, die so etwas umsetzen können - von denen gibt es aber nicht unendlich viele."

Trotz aller Sicherheitslücken soll das Abo-Ticket bleiben, hat die neue Bundesregierung aus Union und SPD im Koalitions­vertrag vereinbart. Und auch der Preis soll erstmal weiterhin bei 58 Euro liegen. Erst in vier Jahren, ab 2029, soll er "schritt­weise und sozial­verträglich" steigen.

Streit droht aber noch bei der Finanzierung: Denn der Zuschuss vom Bund ist nur noch für dieses Jahr festgelegt - Bund und Länder geben pro Jahr je 1,5 Milliarden Euro dazu. Viel zu wenig, kritisiert der VDV. Er sagt, die Verkehrsbetriebe nehmen durch das Deutschlandticket weniger ein. Der neue Bundesverkehrsminister Patrick Schnieder will schnell klären, wie das Ticket bezahlt wird. Spätestens bis Oktober.

Deutschlandticket Verkehrspolitik Deutsche Bahn Nahverkehr TÜV Sachsen-Anhalt Patrick Schnieder Regierung SPD CDU CSU Bundesregierung

Verwandte Artikel

© 2025 by GermanyLoop.