Deutschlandticket: Mehr illegale Ticketshops und Zahldatenbetrug aufgedeckt

Inhaltsverzeichnis

Aufgrund zunehmender Betrugsfälle beim Deutschlandticket hatte der Rhein-Main-Verkehrsverbund (RMV) kürzlich die Zahlungsmethoden eingeschränkt. Insbesondere wurden Lastschrift und Kreditkarte als Zahlungsoptionen in der RMVgo-App für Neukunden deaktiviert, wie die FAZ berichtete. Diese Maßnahmen habe der RMV ergriffen, nachdem aufgefallen war, dass es zu einer "sehr hohen Anzahl von automatisiert vorgenommenen Betrugsversuchen gekommen sei". Laut FAZ war dem RMV bereits Anfang des vergangenen Jahres durch derartige Betrugsfälle ein Schaden von rund einer Million Euro entstanden. Über alle Verkehrsverbünde hinweg dürften sich die entgangenen Einnahmen sogar im dreistelligen Millionenbereich bewegen.

Die auch als "Dreiecksbetrug" bekannte Masche läuft im Falle der Deutschlandtickets folgendermaßen ab: Betrüger bieten auf dubiosen Plattformen Deutschlandtickets zu Niedrigpreisen an. Kaufinteressenten übermitteln ihre Daten, während die Betrüger mit gestohlenen Bankdaten Dritter echte Tickets bei einem Verkehrsverbund erwerben und diese an die Käufer weiterleiten. Bemerken die rechtmäßigen Karteninhaber die unerlaubten Abbuchungen und stornieren die Tickets, werden diese ungültig. Oft geschieht das zu spät, sodass die Käufer unbehelligt mit dem so lange gültigen Deutschlandticket fahren können. Andernfalls stehen sie plötzlich ohne gültiges Ticket da.

Illegale Angebote auf Telegram

Bei unseren Recherchen sind wir auf mehrere illegale Shops gestoßen, die häufig über Telegram(-Bots) Deutschlandtickets anbieten – zwischen 5 und 30 Euro, nicht selten auch auf Russisch. Ein Betreiber eines solchen Kanals gibt der potenziellen Kundschaft explizite Tipps: "Für Eure und meine Sicherheit, Tickets immer mit einem kleinen Fehler im Namen erwerben". Außerdem erklärt er, warum nur Deutschlandtickets und keine ICE-Tickets angeboten werden, weil die "derzeitigen Methoden Schäden für Dritte verursachen könnten. Dies könnte zu rechtlichen Konsequenzen führen, und ich möchte vermeiden, dass irgendjemand Unannehmlichkeiten erleidet, mich eingeschlossen". Spätestens bei solchen Erklärungen dürfte den Käufern klar sein, dass es sich um illegale Angebote handelt, mal abgesehen davon, dass es keine offiziellen Verkaufskanäle für Deutschlandtickets auf Telegram unter Namen wie "DB Ticket Store" oder "D-Ticket Manager" gibt.

Weitere illegale Ticketshops entdeckt

Bei der Untersuchung solcher betrügerischen Ticketshops entdeckten Q Misell vom Max-Planck-Institut für Informatik und andere auch die Webseite dticket.online, die sich bei genauerer Untersuchung als eine der Quellen des Zahldatenbetrugs zulasten des Rhein-Main-Verkehrsverbunds und anderen Verkehrsunternehmen herausstellte. Aufgrund von Schwachstellen im System (etwa die Nutzung von Django im Debug-Modus in der Produktionsumgebung) konnten die Sicherheitsexperten fast 1200 der im dortigen "Ticketportal" hinterlegten Tickets abrufen und analysieren. Auf dticket.online gab es zu dem Zeitpunkt der Recherche keine aktive Kauffunktion: Der Bestellen-Button führte zurück auf die Webseite. In einer archivierten Fassung der Webseite war dort jedoch ein Link auf einen Telegram-Kanal hinterlegt.

heise online hat exemplarisch einige Barcodes dieser Tickets untersucht. Dazu eignen sich etwa die Webseite Train Tickets to Wallet Passes von Q Misell und die Android-App protraQ.

Dabei stellte sich heraus, dass die untersuchten Fahrkarten dem Ticketstandard VDV-KA (Verband Deutscher Verkehrsunternehmen – Kernapplikation) entsprachen. Um Betrug und Fälschungen vorzubeugen, setzt das Sicherheitssystem der im VBV zusammengeschlossenen Verkehrsunternehmen auf drei Säulen: ein zentrales Schlüsselmanagement durch den VDV eTicket Service, spezielle Secure Access Modules zur Ticket-Signierung und einer zentralen, manipulationssicheren Erfassung aller ausgestellten Tickets.

Der illegale Ticketshop dticket.su hatte hingegen Deutschlandtickets nach dem UIC-Standard (Union internationale des chemins de fer) ausgestellt. Bei diesem Verfahren ist gegenwärtig jedes beim Deutschlandtarifverbund registrierte Unternehmen selbst für die Erzeugung der Schlüsselpaare zur Signierung der Tickets verantwortlich, ebenso für die Meldung der verkauften Deutschlandtickets. Wer Zugriff auf einen gültigen Private Key erlangt, kann damit anders als bei VDV-KA beliebig viele Deutschlandtickets erzeugen.

Doch auch wenn VDV-KA ein höheres Sicherheitsniveau bietet als die gegenwärtig mittels UIC ausgestellten Deutschlandtickets, ist es genauso wenig gegen Zahldatenbetrug gefeit.

heise investigativ

Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Diverse Verkehrsverbünde betroffen

Eine ausführliche Analyse der knapp 1200 VDV-Tickets des betrügerischen Portals dticket.online durch Q Misell & Co. ergab, dass eine Vielzahl verschiedener Verkehrsunternehmen Opfer des Dreiecksbetrugs sind, darunter die Deutsche Bahn AG, der Rhein-Main-Verkehrsverbund GmbH, WSW mobil GmbH und andere. RMV war jedoch besonders häufig betroffen (797 von 1184 Tickets seit August 2024), mit steigender Tendenz bis Januar 2025.

Besonders auffällig ist laut Q Misell, dass bei den vom RMV ausgestellten Tickets alle mit einem Zahlungstypcode versehen sind, der auf SEPA-Lastschrift hinweise. Damit ist es relativ einfach, Geld von fremden Konten einzuziehen, da lediglich die Angabe der Kontodaten und eine Einwilligung des Kontoinhabers (die von Betrügern einfach angeklickt werden kann) erforderlich sind. Kontoinhaber können solche Lastschriften allerdings auch problemlos rückgängig machen, wenn sie diese bemerken. Dies könnte den Grund für die Entscheidung des RMV erklären, die Möglichkeit neuer Bestellungen per SEPA-Lastschrift einzustellen. Die Entscheidung, auch Kreditkartenzahlungen zu deaktivieren, könnte als Vorsichtsmaßnahme getroffen worden sein, obwohl Kreditkartenzahlungen in Echtzeit validiert werden. Der RMV plant, die Zahlungsmethoden je nach Betrugsaufkommen schrittweise wieder freizugeben, schreibt die "Allgemeine Zeitung" aus Mainz.

Vielzahl individueller Ticketshops fördert Betrug

Das eigentliche Problem für den Dreiecksbetrug liegt also nicht in den Ticketstandards UIC oder VDV-KA selbst, sondern in der Vielzahl individuell gestalteter Ticketshops der verschiedenen Verkehrsbetriebe. Jeder verfolgt bei der technischen Umsetzung des Zahlungsvorgangs einen eigenen Ansatz, wodurch die Wahrscheinlichkeit steigt, dass Betrüger auf Shops stoßen, die bei der Validierung der Zahlungsinformationen nachlässig sind und sich somit für Betrug eignen. Dabei ist insbesondere das SEPA-Lastschriftverfahren schwer abzusichern, da hier kein zweiter Faktor vorgesehen ist, wie es etwa in Form von "3D Secure" von Kreditkarten bekannt ist. Beim Lastschriftverfahren gibt es im Grunde zwei gängige Möglichkeiten: Entweder eine Schufa-Abfrage mit Abgleich von Bankverbindung und Identität. Das funktioniert aber nur, wenn die Betrüger nicht auch die Adressdaten erbeutet haben. Oder ein Abgleich direkt im Bankkonto mithilfe eines von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zugelassenen Kontoinformationsdienstes (KID) wie Tink, wie es die Deutsche Bahn praktiziert. Dabei muss man sich über den KID mit seinen Zugangsdaten im Bankkonto einloggen, der gleicht dort Name und IBAN ab und schickt dem Händler dann ein Ja oder Nein und löscht die Daten anschließend wieder.

Obwohl Kunden laut "Allgemeine Zeitung" bei der Einrichtung einer neuen SEPA-Lastschrift seit dem vergangenen Jahr ihre Kontodaten über die von Visa bereitgestellte Plattform Tink für Zahlungsdienste verifizieren müssen, kommt es jedoch weiterhin zu Betrugsfällen. Die Deutsche Bahn hatte bereits Ende 2023 eine Kontobestätigung für Abos per Lastschrift mittels Tink oder Verimi verlangt.

Was Bahnfahrer tun sollten

Wer ein Deutschlandticket erwerben möchte, sollte sich an die offiziellen Ticketshops halten (siehe Tarifbedingungen des Deutschlandtarifs, S. 20) und etwa bei den örtlichen Verkehrsbetrieben oder der Deutschen Bahn kaufen. Andernfalls riskiert man, dass das Ticket plötzlich gesperrt und man als Schwarzfahrer aus dem Verkehr gezogen wird – sofern man überhaupt ein Ticket erhält. Wer seine Konto- oder Kreditkartendaten einem illegalen Ticketshop anvertraut, läuft außerdem Gefahr, dass die Daten missbraucht oder im Darknet feilgeboten werden.

Wessen Bankverbindung für den Dreiecksbetrug missbraucht wurde, der kann sich das Geld meist über seine Bank zurückholen. Bei unberechtigten Abbuchungen durch nicht autorisierte Lastschriften ohne Einzugsermächtigung kann man eine Lastschrift bis zu 13 Monate lang zurückbuchen lassen. Man sollte sich aber in jedem Fall mit dem Verkehrsbetrieb in Verbindung setzen und den Vorfall dort melden. Sonst leiten die Unternehmen routinemäßig ein Mahnverfahren und anschließend Inkasso ein. Zum Sperren von Online-Banking oder Kreditkarten sind im Bedarfsfall das eigene Institut über Chat oder Telefon und außerhalb der Servicezeiten die bundesweite Sperr-Hotline 116 116 eine gute Anlaufstelle.

In eigener Sache: heise online bei WhatsApp

Keine Tech-News mehr verpassen: heise online auch bei WhatsApp abonnieren!

Wir schicken einmal am Tag die wichtigsten Nachrichten aus der Redaktion.

(vza)