Gegen Betrug: Einigung auf Sicherheitsmaßnahmen beim Deutschlandticket erzielt

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Nach monatelangem Hin und Her haben sich die deutschen Verkehrsunternehmen und -verbünde bei der Teilnehmerversammlung der VDV eTicket Service GmbH & Co. KG am 6. Mai auf neue Sicherheitsstandards für das Deutschlandticket geeinigt. Damit gibt es nun vertragliche Rahmenbedingungen, um den seit eineinhalb Jahren grassierenden systematischen Betrug beim Deutschlandticket einzudämmen, der trotz der beschlossenen Maßnahmen rechnerisch noch bis auf die Summe von 500 Millionen Euro anwachsen wird.

Alleine in den ersten zehn Monaten des vergangenen Jahres waren rechnerisch 267 Millionen Euro durch verschiedene Betrugsmaschen entstanden. Eine Arbeitsgruppe der Branchenverbände VDV, BSN und Mofair hatte bereits vorgeschlagene technische Vorgaben konkretisiert und entwickelt. Dazu zählen beim Kauf eine verpflichtende Bankkontoverifizierung, zentrale Sperrlisten für ungültige Tickets, eine sichere Schlüsselverwaltung für die Signierung der Fahrkarten und Kopierschutzmaßnahmen für Handytickets. Schon bis zum 30. Juni sollen wesentliche technische Schritte umgesetzt werden. Ab dem 1. Oktober sollen nur noch Deutschlandtickets gültig sein, die die neuen Sicherheitsstandards erfüllen.

Daniel Ackers, Leiter Kommunikation und Strategie beim VDV eTicket Service, sprach gegenüber heise online von einem "Branchenkonsens". "Alle relevanten Punkte zur IT-Sicherheit wurden beschlossen. Damit haben wir eindeutige Ergebnisse erhalten, die durch die gesamte ÖV-Branche gemeinsam getragen werden. Durch die Teilnehmerversammlung sind damit auf Basis der Ergebnisse der Taskforce zur Ticketsicherheit, [...] die vertraglichen Rahmenbedingungen geschaffen worden, die für alle Markteilnehmer identische und verbindliche Vorgaben zur sicheren Ausgabe und Kontrolle des Deutschlandtickets definieren." Bisher gab es unterschiedliche Sicherheitsanforderungen für die eingesetzten Ticketsysteme und auch unterschiedliche vertragliche Bestimmungen, die unterschiedlichen Betrugsmaschen Vorschub leisteten.

Auch die Deutsche Bahn begrüßte die Beschlüsse auf Nachfrage von heise online ausdrücklich. "Unser klares Ziel: Unsere Kundinnen und Kunden sowie alle Branchenpartner vor Betrugsversuchen mit dem Deutschlandticket zu schützen", erklärte ein Bahnsprecher. Bemerkenswert ist dabei der Sinneswandel des Unternehmens – bei einer vergleichbaren Abstimmung im November 2024 hatte DB Regio gegen gemeinsame Sicherheitsstandards für das Deutschlandticket gestimmt, was aufgrund des hohen Stimmengewichts von DB Regio dazu führte, dass die nötige Mehrheit nicht erreicht wurde. Eine Anfrage nach den Gründen für das Umdenken ließ die Deutsche Bahn bisher unbeantwortet.

Bis zu 500.000.000 Euro Betrugsschäden

Die Diskussion um einheitliche Sicherheitsstandards wurde spätestens nach mehreren aufgedeckten Betrugsfällen in größerem Umfang lauter – nicht zuletzt im Rahmen der Diskussion um die Zukunft des Deutschlandtickets. Wie heise online aufzeigen konnte, dürfte sich der rechnerische Gesamtschaden durch verschiedene Betrugsmaschen bis zur vollständigen Umsetzung der Sicherheitsmaßnahmen auf bis zu einer halben Milliarde Euro summieren.

Obwohl den Beteiligten bereits seit Anfang 2023 klar war, dass das schnell umgesetzte Großprojekt diverse Betrugsszenarien begünstigte, haben eine fehlende übergeordnete Verantwortlichkeit, Partikularinteressen der Unternehmen und daraus resultierende gescheiterte Abstimmungen über einheitliche Sicherheitsstandards zu Verzögerungen geführt. Zwar hatten einige Verkehrsverbünde bereits eigene Sicherheitsmaßnahmen eingeführt. So verlangt die Deutsche Bahn seit Ende 2023 eine Kontoverifizierung über externe Dienstleister. Der Rhein-Main-Verkehrsverbund (RMV) nutzt seit dem Sommer die Open-Banking-Plattform Tink zur Überprüfung von Kontodaten bei neuen Lastschriften. Dennoch konnten Betrüger immer wieder Lücken anderer Verkehrsunternehmen ausnutzen, etwa durch

1. Zahlungsmittelbetrug, welcher zu Rückbuchungen und direkten finanziellen Verlusten führt.
2. Ticketkopien: Ein einzelnes Ticket wird durch mehrfaches Kopieren von verschiedenen Personen gleichzeitig genutzt.
3. Gefälschte Tickets: Technisch versierte Betrüger erstellen täuschend echte Fälschungen durch Manipulation der Sicherheitsmerkmale.
4. Einnahmeverschleierung: Unvollständige oder manipulierte Meldungen von Ticketverkäufen durch Verkehrsbetriebe verhindern eine faire Verteilung der Einnahmen.

Mehr zu den Hintergründen lesen Sie in dem folgenden Investigativbeitrag:

(vza)