Aufgrund zunehmender Betrugsfälle beim Deutschlandticket hatte der Rhein-Main-Verkehrsverbund (RMV) kürzlich die Zahlungsmethoden eingeschränkt. Insbesondere wurden Lastschrift und Kreditkarte als Zahlungsoptionen in der RMVgo-App für Neukunden deaktiviert, wie die FAZ berichtete. Diese Maßnahmen habe der RMV ergriffen, nachdem aufgefallen war, dass es zu einer "sehr hohen Anzahl von automatisiert vorgenommenen Betrugsversuchen gekommen sei". Laut FAZ war dem RMV bereits Anfang des vergangenen Jahres durch derartige Betrugsfälle ein Schaden von rund einer Million Euro entstanden. Über alle Verkehrsverbünde hinweg dürften sich die entgangenen Einnahmen sogar im dreistelligen Millionenbereich bewegen.
Anzeige
Die auch als "Dreiecksbetrug" bekannte Masche läuft im Falle der Deutschlandtickets folgendermaßen ab: Betrüger bieten auf dubiosen Plattformen Deutschlandtickets zu Niedrigpreisen an. Kaufinteressenten übermitteln ihre Daten, während die Betrüger mit gestohlenen Bankdaten Dritter echte Tickets bei einem Verkehrsverbund erwerben und diese an die Käufer weiterleiten. Bemerken die rechtmäßigen Karteninhaber die unerlaubten Abbuchungen und stornieren die Tickets, werden diese ungültig. Oft geschieht das zu spät, sodass die Käufer unbehelligt mit dem so lange gültigen Deutschlandticket fahren können. Andernfalls stehen sie plötzlich ohne gültiges Ticket da.
Bei unseren Recherchen sind wir auf mehrere illegale Shops gestoßen, die häufig über Telegram(-Bots) Deutschlandtickets anbieten – zwischen 5 und 30 Euro, nicht selten auch auf Russisch. Ein Betreiber eines solchen Kanals gibt der potenziellen Kundschaft explizite Tipps: "Für Eure und meine Sicherheit, Tickets immer mit einem kleinen Fehler im Namen erwerben". Außerdem erklärt er, warum nur Deutschlandtickets und keine ICE-Tickets angeboten werden, weil die "derzeitigen Methoden Schäden für Dritte verursachen könnten. Dies könnte zu rechtlichen Konsequenzen führen, und ich möchte vermeiden, dass irgendjemand Unannehmlichkeiten erleidet, mich eingeschlossen". Spätestens bei solchen Erklärungen dürfte den Käufern klar sein, dass es sich um illegale Angebote handelt, mal abgesehen davon, dass es keine offiziellen Verkaufskanäle für Deutschlandtickets auf Telegram unter Namen wie "DB Ticket Store" oder "D-Ticket Manager" gibt.
Bei der Untersuchung solcher betrügerischen Ticketshops entdeckten Q Misell vom Max-Planck-Institut für Informatik und andere auch die Webseite dticket.online, die sich bei genauerer Untersuchung als eine der Quellen des Zahldatenbetrugs zulasten des Rhein-Main-Verkehrsverbunds und anderen Verkehrsunternehmen herausstellte. Aufgrund von Schwachstellen im System (etwa die Nutzung von Django im Debug-Modus in der Produktionsumgebung) konnten die Sicherheitsexperten fast 1200 der im dortigen "Ticketportal" hinterlegten Tickets abrufen und analysieren. Auf dticket.online gab es zu dem Zeitpunkt der Recherche keine aktive Kauffunktion: Der Bestellen-Button führte zurück auf die Webseite. In einer archivierten Fassung der Webseite war dort jedoch ein Link auf einen Telegram-Kanal hinterlegt.
Die Webseite dticket.online bietet Deutschlandtickets an, kaufen kann man sie dort jedoch derzeit nicht. In einer älteren Fassung vom 31. Dezember 2024 verweist der Bestellen-Button auf den Telegram-Kanal @deutschland_ticket_flugtickets garniert mit dem folgenden russischen Text:
"Здравствуйте, выберите способ оплаты:
heise online hat exemplarisch einige Barcodes dieser Tickets untersucht. Dazu eignen sich etwa die Webseite Train Tickets to Wallet Passes von Q Misell und die Android-App protraQ.
Dabei stellte sich heraus, dass die untersuchten Fahrkarten dem Ticketstandard VDV-KA (Verband Deutscher Verkehrsunternehmen – Kernapplikation) entsprachen. Um Betrug und Fälschungen vorzubeugen, setzt das Sicherheitssystem der im VBV zusammengeschlossenen Verkehrsunternehmen auf drei Säulen: ein zentrales Schlüsselmanagement durch den VDV eTicket Service, spezielle Secure Access Modules zur Ticket-Signierung und einer zentralen, manipulationssicheren Erfassung aller ausgestellten Tickets.
Der illegale Ticketshop dticket.su hatte hingegen Deutschlandtickets nach dem UIC-Standard (Union internationale des chemins de fer) ausgestellt. Bei diesem Verfahren ist gegenwärtig jedes beim Deutschlandtarifverbund registrierte Unternehmen selbst für die Erzeugung der Schlüsselpaare zur Signierung der Tickets verantwortlich, ebenso für die Meldung der verkauften Deutschlandtickets. Wer Zugriff auf einen gültigen Private Key erlangt, kann damit anders als bei VDV-KA beliebig viele Deutschlandtickets erzeugen.
Doch auch wenn VDV-KA ein höheres Sicherheitsniveau bietet als die gegenwärtig mittels UIC ausgestellten Deutschlandtickets, ist es genauso wenig gegen Zahldatenbetrug gefeit.
Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.https://heise.de/investigativ
Kommentare