39C3: Massive Schwachstellen erlauben Betrug beim Deutschlandticket
Träge Bankensysteme, gestohlene Schlüssel und offline arbeitende Scanner: Das digitale Deutschlandticket leidet unter massiven Mängeln. Forscher zeigen nun, wie Kriminelle diese Lücken systematisch für Betrügereien in dreistelliger Millionenhöhe nutzen.
Hinweise auf Sicherheitsprobleme gab es bereits zuvor, das nun beschriebene Ausmaß fällt jedoch deutlich größer aus. Die Forschenden Maya "551724" Boeckh und Q Misell wollen ihre Ergebnisse Ende Dezember 2025 auf dem 39. Chaos Communication Congress (39C3) in Hamburg vorstellen.
Nach ihren Angaben liegt das zentrale Problem in der verzögerten Verarbeitung von Zahlungsdaten. Viele Verkehrsunternehmen und Drittanbieter stellen das Ticket unmittelbar nach Vertragsabschluss in der App bereit. Die Prüfung der Bankverbindung per SEPA-Lastschrift dauert im Bankensystem jedoch bis zu sechs Tage. In diesem Zeitraum können mit gefälschten, zunächst plausiblen Kontodaten Tickets erstellt werden.
Diese werden häufig über Messenger-Dienste weiterverkauft und genutzt, bevor die Lastschrift scheitert und das Ticket gesperrt wird. Wie Q Misell in einem Interview mit der Taz erklärte, identifizierten die Forschenden rund drei Millionen potenziell betrügerische Tickets. Die angenommene Schadenssumme im dreistelligen Millionenbereich ergibt sich aus einer Hochrechnung sowie aus dem Vergleich offizieller Verkaufszahlen mit Umfragen zur tatsächlichen Nutzung des Deutschlandtickets.
Erschwert wird die Betrugsbekämpfung durch die notwendige Offline-Fähigkeit der Kontrollsysteme. Die Technik des Deutschlandtickets, die auf VDV-KA-Standards oder UIC-Spezifikationen basiert, muss auch ohne Internetverbindung funktionieren, etwa in Bussen oder auf ländlichen Strecken.
Gesperrte oder ungültige Tickets werden über Sperrlisten erkannt, die auf die Kontrollgeräte übertragen werden müssen. Nach Angaben der Forscher geschieht dies häufig unregelmäßig oder verspätet. Solange ein Ticket nicht auf der lokalen Sperrliste vermerkt ist und die Signatur gültig erscheint, wird es auch nach einer geplatzten Lastschrift akzeptiert.
Nutzt ihr das digitale Ticket oder setzt ihr lieber auf die klassische Chipkarte? Wir sind gespannt, wie ihr die Sicherheit des Systems einschätzt. Schreibt es uns in die Kommentare!
Siehe auch:
Systematischer Betrug beim Deutschlandticket
Zwei IT-Sicherheitsforscher haben nach eigenen Angaben gravierende Schwachstellen im System des digitalen Deutschlandtickets entdeckt. Nach ihren Analysen könnten dadurch Betrugsfälle in dreistelliger Millionenhöhe möglich sein.Hinweise auf Sicherheitsprobleme gab es bereits zuvor, das nun beschriebene Ausmaß fällt jedoch deutlich größer aus. Die Forschenden Maya "551724" Boeckh und Q Misell wollen ihre Ergebnisse Ende Dezember 2025 auf dem 39. Chaos Communication Congress (39C3) in Hamburg vorstellen.
Nach ihren Angaben liegt das zentrale Problem in der verzögerten Verarbeitung von Zahlungsdaten. Viele Verkehrsunternehmen und Drittanbieter stellen das Ticket unmittelbar nach Vertragsabschluss in der App bereit. Die Prüfung der Bankverbindung per SEPA-Lastschrift dauert im Bankensystem jedoch bis zu sechs Tage. In diesem Zeitraum können mit gefälschten, zunächst plausiblen Kontodaten Tickets erstellt werden.
Diese werden häufig über Messenger-Dienste weiterverkauft und genutzt, bevor die Lastschrift scheitert und das Ticket gesperrt wird. Wie Q Misell in einem Interview mit der Taz erklärte, identifizierten die Forschenden rund drei Millionen potenziell betrügerische Tickets. Die angenommene Schadenssumme im dreistelligen Millionenbereich ergibt sich aus einer Hochrechnung sowie aus dem Vergleich offizieller Verkaufszahlen mit Umfragen zur tatsächlichen Nutzung des Deutschlandtickets.
Probleme mit der digitalen Signatur
Zusätzlich stellten die Experten technische Mängel bei der Absicherung der Tickets fest. Diese werden in der Regel als QR- oder Aztec-Codes ausgegeben und kryptografisch signiert. Nach den Recherchen wurden die dafür benötigten privaten Schlüssel bei einzelnen Ausgabestellen nicht ausreichend geschützt. Gelangen solche Schlüssel in fremde Hände, lassen sich beliebige Tickets erzeugen, die von Kontrollgeräten als gültig erkannt werden. Infografik: Cyberkriminalität in Deutschland bleibt auf hohem Niveau
Offline-Kontrolle als Schwachstelle
Ein Fall betrifft ein Busunternehmen aus Sachsen-Anhalt, das offenbar die Kontrolle über seinen privaten Signaturschlüssel verlor. Dritte konnten damit Tickets im Namen des Unternehmens ausstellen. Da die derzeitigen Regelungen des Deutschlandtarifs keine klare Haftung für solche Sicherheitsversäumnisse vorsehen, entstand dem Unternehmen kein direkter Schaden. Die Kosten tragen andere Verkehrsunternehmen, die die gefälschten Tickets kontrollieren und Fahrgäste befördern, ohne entsprechende Einnahmen zu erhalten.Erschwert wird die Betrugsbekämpfung durch die notwendige Offline-Fähigkeit der Kontrollsysteme. Die Technik des Deutschlandtickets, die auf VDV-KA-Standards oder UIC-Spezifikationen basiert, muss auch ohne Internetverbindung funktionieren, etwa in Bussen oder auf ländlichen Strecken.
Gesperrte oder ungültige Tickets werden über Sperrlisten erkannt, die auf die Kontrollgeräte übertragen werden müssen. Nach Angaben der Forscher geschieht dies häufig unregelmäßig oder verspätet. Solange ein Ticket nicht auf der lokalen Sperrliste vermerkt ist und die Signatur gültig erscheint, wird es auch nach einer geplatzten Lastschrift akzeptiert.
Kompetenzstreit bremst Lösungen
Obwohl die grundlegenden Probleme seit Oktober des Vorjahres bekannt sind, kommen Gegenmaßnahmen nur langsam voran. Der Deutschlandtarifverbund arbeitet an zentralen Verfahren für Rückrufe und Signaturen. Bislang haben jedoch nur zwei Unternehmen das entsprechende Sicherheitsportal vollständig umgesetzt.Nutzt ihr das digitale Ticket oder setzt ihr lieber auf die klassische Chipkarte? Wir sind gespannt, wie ihr die Sicherheit des Systems einschätzt. Schreibt es uns in die Kommentare!
Wie funktionieren die Ticket-Fälschungen?
Die Sicherheitsforscher Q Misell und Maya "551724" Boeckh haben eine gravierende Lücke im Bezahlprozess identifiziert. Da beim Kauf per Lastschrift keine sofortige Verifikation stattfindet, können Betrüger laut den Berichten gefälschte, aber valide erscheinende Bankverbindungen angeben.
Das Problem liegt im Zeitversatz: Während die Bank bis zu sechs Tage benötigt, um die Deckung oder Existenz des Kontos zu prüfen, stellen viele Verkehrsunternehmen das digitale Ticket sofort aus. In diesem Zeitfenster werden die Tickets massenhaft weiterverkauft und genutzt, bevor der Betrug auffällt.
Das Problem liegt im Zeitversatz: Während die Bank bis zu sechs Tage benötigt, um die Deckung oder Existenz des Kontos zu prüfen, stellen viele Verkehrsunternehmen das digitale Ticket sofort aus. In diesem Zeitfenster werden die Tickets massenhaft weiterverkauft und genutzt, bevor der Betrug auffällt.
Sind meine eigenen Daten in Gefahr?
Die aktuellen Berichte fokussieren sich primär auf das Erzeugen neuer Tickets mit Fantasiedaten und nicht auf den Abfluss bestehender Kundendatenbanken. Dennoch deutet der Diebstahl kryptografischer Schlüssel auf teils laxe Sicherheitsstandards bei kleineren Verkehrsbetrieben hin.
Für IT-Profis und Endanwender bedeutet dies: Es besteht zwar keine akute Warnung vor einem Datenleck persönlicher Daten, jedoch zeigt der Vorfall, dass die IT-Infrastruktur im ÖPNV teilweise erhebliche Schwachstellen aufweist. Ein generelles Misstrauen gegenüber der Datensicherheit kleinerer Anbieter scheint angebracht.
Für IT-Profis und Endanwender bedeutet dies: Es besteht zwar keine akute Warnung vor einem Datenleck persönlicher Daten, jedoch zeigt der Vorfall, dass die IT-Infrastruktur im ÖPNV teilweise erhebliche Schwachstellen aufweist. Ein generelles Misstrauen gegenüber der Datensicherheit kleinerer Anbieter scheint angebracht.
Wie gelang der Diebstahl der Signatur?
Neben dem Bezahlbetrug wurde auch die kryptografische Signatur der Tickets kompromittiert. Deutschlandtickets nutzen asymmetrische Verschlüsselung (Private/Public Key), um die Echtheit des Barcodes zu garantieren. Den Hackern gelang es offenbar, einen solchen Private Key zu entwenden.
Betroffen war laut den Quellen ein kleines Busunternehmen in Sachsen-Anhalt. Es wird vermutet, dass dort aufgrund fehlender Expertise in der IT-Sicherheit unzureichende Schutzmaßnahmen für die sensiblen Schlüssel implementiert waren. Mit diesem Schlüssel konnten Dritte gültige Tickets im Namen des Unternehmens generieren.
Betroffen war laut den Quellen ein kleines Busunternehmen in Sachsen-Anhalt. Es wird vermutet, dass dort aufgrund fehlender Expertise in der IT-Sicherheit unzureichende Schutzmaßnahmen für die sensiblen Schlüssel implementiert waren. Mit diesem Schlüssel konnten Dritte gültige Tickets im Namen des Unternehmens generieren.
Wer haftet für den Millionenschaden?
Hier offenbart sich eine organisatorische Lücke: Es gibt laut den Forschern keine Regelung, die das ausgebende Unternehmen (das den Schlüssel verlor oder die Bonität nicht prüfte) haftbar macht. Der Schaden entsteht stattdessen bei den Verkehrsbetrieben, die das gefälschte Ticket bei einer Kontrolle akzeptieren.
Da es keinen Ausgleichsmechanismus gibt, bleiben die kontrollierenden Unternehmen auf den Beförderungskosten sitzen. Das betroffene Busunternehmen in Sachsen-Anhalt, dessen Schlüssel gestohlen wurde, erlitt dadurch selbst keinen direkten finanziellen Schaden.
Da es keinen Ausgleichsmechanismus gibt, bleiben die kontrollierenden Unternehmen auf den Beförderungskosten sitzen. Das betroffene Busunternehmen in Sachsen-Anhalt, dessen Schlüssel gestohlen wurde, erlitt dadurch selbst keinen direkten finanziellen Schaden.
Wie hoch ist der geschätzte Schaden?
Die Sicherheitsforscher gehen von einer Schadenssumme im dreistelligen Millionenbereich aus. Diese Zahl basiert auf einer Extrapolation: Rund drei Millionen betrügerische Tickets wurden direkt identifiziert.
Zusätzlich verglichen die Experten offizielle Verkaufszahlen mit Umfragewerten zur tatsächlichen Nutzung des Deutschlandtickets. Die Diskrepanz legt nahe, dass eine massive Anzahl an Reisenden mit unrechtmäßig erstellten Tickets unterwegs ist.
Zusätzlich verglichen die Experten offizielle Verkaufszahlen mit Umfragewerten zur tatsächlichen Nutzung des Deutschlandtickets. Die Diskrepanz legt nahe, dass eine massive Anzahl an Reisenden mit unrechtmäßig erstellten Tickets unterwegs ist.
Wo finde ich weitere Informationen?
Die detaillierten Ergebnisse der Untersuchung werden von den Forschern Q Misell und Maya "551724" Boeckh auf dem 39. Chaos Communication Congress (39C3) in Hamburg vorgestellt. Der Vortrag trägt den Titel "All my Deutschlandtickets gone: Fraud at an Industrial Scale".
Für technisch interessierte Anwender lohnt sich ein Blick auf die Veröffentlichungen des Chaos Computer Clubs oder die Berichterstattung rund um den Kongress Ende Dezember 2025, um tiefere Einblicke in die technischen Details der Schwachstellen zu erhalten.
Für technisch interessierte Anwender lohnt sich ein Blick auf die Veröffentlichungen des Chaos Computer Clubs oder die Berichterstattung rund um den Kongress Ende Dezember 2025, um tiefere Einblicke in die technischen Details der Schwachstellen zu erhalten.
Zusammenfassung
- IT-Forscher decken Millionenbetrug beim Deutschlandticket auf
- Zeitfenster bei Zahlungsprüfung ermöglicht systematischen Betrug
- Mangelhafte Schlüsselsicherung erlaubt Erstellung falscher Tickets
- Offline-Kontrollgeräte erkennen gesperrte Tickets nicht zuverlässig
- Unklare Zuständigkeiten verzögern Lösungen der Sicherheitsprobleme
- Schadenssumme liegt im dreistelligen Millionenbereich
- Präsentation der Ergebnisse am 39C3 Ende Dezember 2025
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen