Bis 500.000.000 Euro Schaden: Wie die Bahnbranche das Deutschlandticket riskiert
Interne Dokumente, die heise vorliegen, zeichnen ein desaströses Bild beim Deutschlandticket. Der Schaden durch die Uneinigkeit in der Branche ist immens.
(Bild: Firn/Shutterstock.com)
Das Deutschlandticket gilt als Leuchtturmprojekt der Verkehrswende: Etwa 14 Millionen Menschen nutzen das deutschlandweit gültige Monatsabo für den öffentlichen Personenverkehr. Für ein Großprojekt wurde es in Rekordzeit umgesetzt. Doch immer wieder kommt es zu Betrugsfällen.
Unsere Recherchen zeigen das tatsächliche Ausmaß des Betrugs beim Deutschlandticket auf und belegen, dass sich die Verkehrsbetriebe trotz früher Kenntnis der Missstände seit 18 Monaten auf keine gemeinsame Strategie gegen den systematischen Missbrauch einigen konnten. Stattdessen haben sie sich auf Ausgleichszahlungen von Bund und Ländern verlassen.
Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
Wie heise online exklusiv vorliegende interne Dokumente belegen, wussten die Verantwortlichen schon früh, dass es beim Deutschlandticket diverse Lücken gibt, die einen Missbrauch begünstigen. Bereits 2023 registrierten die Verkehrsunternehmen monatlich eine "Differenz in Höhe von 60.000 bis 1.000.000 Tickets zwischen gemeldeten Verkäufen und per Marktforschung ermittelten Nutzerzahlen" – ein deutliches Indiz für massiven Betrug. Anfang 2024 lagen den Entscheidungsträgern Prognosen vor, die jährliche Verluste im dreistelligen Millionenbereich durch Manipulation und Fälschung vorhersagten.
Dennoch blieben konkrete GegenmaĂźnahmen weitgehend aus. Vertrauliche Sitzungsprotokolle des Verbands Deutscher Verkehrsunternehmen (VDV) dokumentieren strukturelles Versagen. Ein zentrales Problem dabei ist die fehlende ĂĽbergeordnete Verantwortlichkeit. Statt an einem Strang zu ziehen, verfolgen die beteiligten Verkehrsunternehmen eigene Interessen. Mehrere Versuche, einheitliche Sicherheitsstandards zu etablieren, scheiterten bisher an langwierigen Abstimmungsprozessen und mangelndem Kooperationswillen.
Erst seitdem parallel zur politischen Debatte um die Zukunft des Deutschlandtickets weitere Betrugsfälle bekannt wurden, bewegen sich die Beteiligten. Denn die wachsenden finanziellen Verluste durch die klaffenden Sicherheitslücken in den Vertriebs- und Kontrollsystemen seien "weder der Gesellschaft noch der Politik zu vermitteln", heißt es in den Protokollen.
Ein von heise online öffentlich gemachter Betrugsfall beleuchtete kürzlich einen Teil der strukturellen Probleme beim Deutschlandticket: Der nicht autorisierte Fahrkartenshop "D-ticket.su" konnte monatelang tausende Fahrkarten mit einem gültigen Kryptoschlüssel verkaufen. Wie der Shop in den Besitz dieses Schlüssels gekommen war, ist weiterhin ungeklärt.
Aufgefallen sind diese Tickets durch die verdächtige Kennzeichnung "Senior", die im bundesweiten Tarifsystem nicht existiert. Bei einer nachträglichen Prüfung fand die Deutsche Bahn etwa 50.000 solcher Tickets in ihren Kontrollprotokollen – die Dunkelziffer dürfte jedoch erheblich höher liegen.
Personalausfall: Untätigkeit wegen Unterbesetzung
Wie aus einem vertraulichen VDV-Sitzungsprotokoll vom 18. Februar 2025 hervorgeht, hat die verantwortliche Deutschlandtarifverbund GmbH (DTVG) bereits im Dezember 2024 von dem Missbrauch gewusst. Dennoch wurden "die fälschlichen Schlüssel auf Druck der DTVG" erst zum Februar 2025 "aus dem System genommen".
Die Begründung für die Verzögerung ist ebenso ernüchternd wie alarmierend: "Ein Sperren des Ticketschlüssels noch im Dezember 2024 wurde aufgrund von Urlaub und Krankheit des verantwortlichen Mitarbeiters nicht durchgeführt. Ein Back-up für diese Fälle existiert bei der DTVG aufgrund enger Personaldecke nicht."
Erschwerend sei hinzugekommen, dass die DTVG gegenüber dem eigentlichen Schlüsselinhaber, den Vetter Verkehrsbetrieben aus Sachsen-Anhalt, keine Sanktionen verhängen konnte: "Die Durchgriffsmöglichkeit auf den Vertragspartner ist aufgrund unzureichender Vertragslage rechtlich nicht durchsetzbar. Das betroffene Verkehrsunternehmen hat sich auch sehr lange zu dem Vorfall, ob ein Missbrauch vorliegt, nicht geäußert."
Zweigleisige Ticketlandschaft
Doch das ist nicht das einzige Problem, das Betrugsfälle beim Deutschlandticket begünstigt. Um das deutschlandweit gültige Ticket schnell einzuführen und auch kleinere Verkehrsunternehmen zu integrieren, wurden zwei Systeme zur Ticketerstellung implementiert: Das UIC-Verfahren des Internationalen Eisenbahnverbands in seiner einfachsten Form als statischer Barcode, wie es auch von der nicht autorisierten Seite D-ticket.su genutzt wurde, und das deutlich aufwendigere Verfahren VDV-KA (Kern-Applikation). Letzteres verwendet ein zentrales Schlüsselmanagement, spezielle Secure Access Modules zur Ticket-Signierung und eine zentrale, manipulationssichere Erfassung aller ausgestellten Tickets.
Der DTVG-verwaltete Bereich weist gravierende Sicherheitsmängel auf: Anstatt Kryptoschlüssel für Ticketsignaturen zentral zu kontrollieren, generieren Verkehrsbetriebe ihre privaten Schlüssel selbstständig und hinterlegen lediglich die öffentlichen Pendants auf einem SharePoint-Server der DTVG. Wer Zugriff auf einen gültigen Private Key erlangt, kann beliebig viele Tickets erzeugen.
Der TĂśV Rheinland ist bereits Ende 2023 zu dem Schluss gekommen, dass das VDV-System technisch besser aufgestellt sei als das DTVG-System. Letzteres weise erhebliche SicherheitslĂĽcken auf, insbesondere im Bereich der SchlĂĽsselverwaltung (Public Key Infrastructure) und der Sperrlisten.
Es fehlt bisher allerdings eine übergreifende, "deutschlandweit zugängliche Sperrliste" für individuelle Tickets, sodass im Fall von D-ticket.su alle mit dem betroffenen Schlüssel signierten Fahrkarten gesperrt werden mussten. Und das unabhängig davon, ob es sich um legitime Käufer der Vetter Verkehrsbetriebe oder Besitzer gefälschter Tickets handelte. Die beteiligten Verkehrsunternehmen wurden erst Ende Januar über den Vorfall informiert, bis dahin konnte der betroffene Shop weiterhin Tickets mit dem zu sperrenden Schlüssel verkaufen.
