heise PlusAbo
Anzeige

Bis 500.000.000 Euro Schaden: Wie die Bahnbranche das Deutschlandticket riskiert

Interne Dokumente, die heise vorliegen, zeichnen ein desaströses Bild beim Deutschlandticket. Der Schaden durch die Uneinigkeit in der Branche ist immens.

vorlesen Druckansicht 352 Kommentare lesen
Deutschlandticket in einer Hand vor einem Bahnwaggon

(Bild: Firn/Shutterstock.com)

Lesezeit: 13 Min.
Von
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Das Deutschlandticket gilt als Leuchtturmprojekt der Verkehrswende: Etwa 14 Millionen Menschen nutzen das deutschlandweit gültige Monatsabo für den öffentlichen Personenverkehr. Für ein Großprojekt wurde es in Rekordzeit umgesetzt. Doch immer wieder kommt es zu Betrugsfällen.

Unsere Recherchen zeigen das tatsächliche Ausmaß des Betrugs beim Deutschlandticket auf und belegen, dass sich die Verkehrsbetriebe trotz früher Kenntnis der Missstände seit 18 Monaten auf keine gemeinsame Strategie gegen den systematischen Missbrauch einigen konnten. Stattdessen haben sie sich auf Ausgleichszahlungen von Bund und Ländern verlassen.

heise investigativ

Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Wie heise online exklusiv vorliegende interne Dokumente belegen, wussten die Verantwortlichen schon früh, dass es beim Deutschlandticket diverse Lücken gibt, die einen Missbrauch begünstigen. Bereits 2023 registrierten die Verkehrsunternehmen monatlich eine "Differenz in Höhe von 60.000 bis 1.000.000 Tickets zwischen gemeldeten Verkäufen und per Marktforschung ermittelten Nutzerzahlen" – ein deutliches Indiz für massiven Betrug. Anfang 2024 lagen den Entscheidungsträgern Prognosen vor, die jährliche Verluste im dreistelligen Millionenbereich durch Manipulation und Fälschung vorhersagten.

Dennoch blieben konkrete GegenmaĂźnahmen weitgehend aus. Vertrauliche Sitzungsprotokolle des Verbands Deutscher Verkehrsunternehmen (VDV) dokumentieren strukturelles Versagen. Ein zentrales Problem dabei ist die fehlende ĂĽbergeordnete Verantwortlichkeit. Statt an einem Strang zu ziehen, verfolgen die beteiligten Verkehrsunternehmen eigene Interessen. Mehrere Versuche, einheitliche Sicherheitsstandards zu etablieren, scheiterten bisher an langwierigen Abstimmungsprozessen und mangelndem Kooperationswillen.

Erst seitdem parallel zur politischen Debatte um die Zukunft des Deutschlandtickets weitere Betrugsfälle bekannt wurden, bewegen sich die Beteiligten. Denn die wachsenden finanziellen Verluste durch die klaffenden Sicherheitslücken in den Vertriebs- und Kontrollsystemen seien "weder der Gesellschaft noch der Politik zu vermitteln", heißt es in den Protokollen.

Ein von heise online öffentlich gemachter Betrugsfall beleuchtete kürzlich einen Teil der strukturellen Probleme beim Deutschlandticket: Der nicht autorisierte Fahrkartenshop "D-ticket.su" konnte monatelang tausende Fahrkarten mit einem gültigen Kryptoschlüssel verkaufen. Wie der Shop in den Besitz dieses Schlüssels gekommen war, ist weiterhin ungeklärt.

Aufgefallen sind diese Tickets durch die verdächtige Kennzeichnung "Senior", die im bundesweiten Tarifsystem nicht existiert. Bei einer nachträglichen Prüfung fand die Deutsche Bahn etwa 50.000 solcher Tickets in ihren Kontrollprotokollen – die Dunkelziffer dürfte jedoch erheblich höher liegen.

Personalausfall: Untätigkeit wegen Unterbesetzung

Wie aus einem vertraulichen VDV-Sitzungsprotokoll vom 18. Februar 2025 hervorgeht, hat die verantwortliche Deutschlandtarifverbund GmbH (DTVG) bereits im Dezember 2024 von dem Missbrauch gewusst. Dennoch wurden "die fälschlichen Schlüssel auf Druck der DTVG" erst zum Februar 2025 "aus dem System genommen".

Die Begründung für die Verzögerung ist ebenso ernüchternd wie alarmierend: "Ein Sperren des Ticketschlüssels noch im Dezember 2024 wurde aufgrund von Urlaub und Krankheit des verantwortlichen Mitarbeiters nicht durchgeführt. Ein Back-up für diese Fälle existiert bei der DTVG aufgrund enger Personaldecke nicht."

Erschwerend sei hinzugekommen, dass die DTVG gegenüber dem eigentlichen Schlüsselinhaber, den Vetter Verkehrsbetrieben aus Sachsen-Anhalt, keine Sanktionen verhängen konnte: "Die Durchgriffsmöglichkeit auf den Vertragspartner ist aufgrund unzureichender Vertragslage rechtlich nicht durchsetzbar. Das betroffene Verkehrsunternehmen hat sich auch sehr lange zu dem Vorfall, ob ein Missbrauch vorliegt, nicht geäußert."

Zweigleisige Ticketlandschaft

Doch das ist nicht das einzige Problem, das Betrugsfälle beim Deutschlandticket begünstigt. Um das deutschlandweit gültige Ticket schnell einzuführen und auch kleinere Verkehrsunternehmen zu integrieren, wurden zwei Systeme zur Ticketerstellung implementiert: Das UIC-Verfahren des Internationalen Eisenbahnverbands in seiner einfachsten Form als statischer Barcode, wie es auch von der nicht autorisierten Seite D-ticket.su genutzt wurde, und das deutlich aufwendigere Verfahren VDV-KA (Kern-Applikation). Letzteres verwendet ein zentrales Schlüsselmanagement, spezielle Secure Access Modules zur Ticket-Signierung und eine zentrale, manipulationssichere Erfassung aller ausgestellten Tickets.

Der DTVG-verwaltete Bereich weist gravierende Sicherheitsmängel auf: Anstatt Kryptoschlüssel für Ticketsignaturen zentral zu kontrollieren, generieren Verkehrsbetriebe ihre privaten Schlüssel selbstständig und hinterlegen lediglich die öffentlichen Pendants auf einem SharePoint-Server der DTVG. Wer Zugriff auf einen gültigen Private Key erlangt, kann beliebig viele Tickets erzeugen.

Der TĂśV Rheinland ist bereits Ende 2023 zu dem Schluss gekommen, dass das VDV-System technisch besser aufgestellt sei als das DTVG-System. Letzteres weise erhebliche SicherheitslĂĽcken auf, insbesondere im Bereich der SchlĂĽsselverwaltung (Public Key Infrastructure) und der Sperrlisten.

Es fehlt bisher allerdings eine übergreifende, "deutschlandweit zugängliche Sperrliste" für individuelle Tickets, sodass im Fall von D-ticket.su alle mit dem betroffenen Schlüssel signierten Fahrkarten gesperrt werden mussten. Und das unabhängig davon, ob es sich um legitime Käufer der Vetter Verkehrsbetriebe oder Besitzer gefälschter Tickets handelte. Die beteiligten Verkehrsunternehmen wurden erst Ende Januar über den Vorfall informiert, bis dahin konnte der betroffene Shop weiterhin Tickets mit dem zu sperrenden Schlüssel verkaufen.

Die Gegenüberstellung der groben Systemarchitekturen von DTVG und VDV aus einem Gutachten des TÜV Rheinland zeigt erhebliche Unterschiede in der Komplexität auf.

Schäden in dreistelliger Millionenhöhe

Doch selbst wenn mit dem entwendeten Kryptoschlüssel zehntausende Deutschlandtickets ausgestellt wurden – immerhin einige Millionen Euro –, macht das nur einen kleinen Teil des Betrugsschadens aus. Der Gesamtschaden durch andere Betrugsarten liegt mehrere Größenordnungen darüber.

Im Protokoll einer weiteren VDV-Sondersitzung vom 6. März 2025 heißt es dazu: "Der finanzielle Verlust im Zeitraum Januar 2024 bis Oktober 2024 beläuft sich rechnerisch auf bis zu 267 Millionen Euro. Diese Einnahmen fehlen wiederum den Verkehrsunternehmen. Der vereinbarte Ausgleich von Mindererlösen führt dazu, dass Bund und Länder diesen Verlust aktuell finanzieren."

Die zugrundeliegenden Zahlen wurden aus der Differenz zwischen den durch die Verkehrsbetriebe aktiv gemeldeten Ticketverkäufen und mittels Marktforschung (rx/forsa und YouGov) ermittelten Hochrechnungen über die im Umlauf befindlichen Fahrkarten bestimmt. Sie betrug in den ausgewerteten zehn Monaten 5,45 Millionen Tickets. Bei einem Deutschlandticketpreis von 49 Euro im Jahr 2024 entsprach dies den genannten 267 Millionen Euro, seit dem 1. Januar 2025 kostet das Deutschlandticket 58 Euro monatlich. Doch auch wenn in dem Protokoll betont wird, "dass nach den gemachten Erfahrungen die Marktforschung ausgesprochen treffsicher ist!", ist diese Zahl mit Vorsicht zu genießen. Denn es ist nicht überprüfbar, ob die Tickets auch zum regulären Preis gekauft worden wären.

In den ersten zehn Monaten des Jahres 2024 beliefen sich die entgangenen Einnahmen laut einer Schätzung auf 267 Millionen Euro, mit steigender Zahl von Betrugsfällen in der zweiten Jahreshälfte. Aufs Jahr hochgerechnet dürfte der Deutschlandticket-Betrug für einen Schaden von mehr als 300 Millionen Euro allein im Jahr 2024 verantwortlich sein.

(Bild: Screenshot aus "Sachbericht zur Genese und den Grundlagen des Standards für die Ausgabe und Kontrolle von Fahrscheinen für das D-Ticket sowie der Transparenz und Verlusten bei Einnahmen" des VDV.)

Finanzierung des Deutschlandtickets

Das "Zehnte Gesetz zur Änderung des Regionalisierungsgesetzes" sieht vor, dass Bund und Länder "finanzielle Nachteile aufgrund des Rückgangs von Fahrgeldeinnahmen durch das Deutschlandticket" ausgleichen. Der Soll-Wert entspricht den mittels Marktforschung hochgerechneten Fahrgeldeinnahmen, die ohne das Deutschlandticket erwartet worden wären, abzüglich der tatsächlichen Einnahmen aus dem Deutschlandticket-Verkauf.

Für die Jahre 2023 bis 2025 wurden insgesamt 9 Milliarden Euro bereitgestellt – je 1,5 Milliarden Euro pro Jahr vom Bund und dieselbe Summe von den Ländern, also 3 Milliarden Euro jährlich.

Signalstörung bei der Entscheidungsfindung

Aber warum haben die Verkehrsunternehmen angesichts dieser Schäden nicht gehandelt? Einerseits haben Bund und Länder die entstandenen Lücken ausgeglichen, andererseits scheiterten wichtige Abstimmungen an bürokratischen Hürden und Partikularinteressen.

Denn tatsächlich wurden bereits in einer Präsidiumssitzung des VDV im Oktober 2023 IT-Mindestsicherheitsanforderungen vorgeschlagen, die einen Teil der Betrugsfälle adressiert hätten. So sollte die Schlüsselerzeugung und -verwahrung für Deutschlandtickets ausschließlich in speziell gesicherten Trustcentern erfolgen, eine zentrale Sperrliste verpflichtend genutzt werden und alle ausgegebenen Tickets automatisiert und revisionssicher an eine zentrale Stelle gemeldet werden.

Aus einem Schreiben des beim Verkehrsverbund Rhein-Ruhr angesiedelten Kompetenzcenters Digitalisierung NRW geht hervor, dass bereits im Mai 2024 mit einem dreistelligen Millionenschaden durch Deutschlandticketbetrug gerechnet wurde. Doch über die zu erarbeitenden Gegenmaßnahmen sollte erst in einer "Sonder-Teilnehmersitzung der eTicket Deutschland" im November 2024 verbindlich abgestimmt werden – ein halbes Jahr später.

Zu einer Einigung kam es aber auch dann nicht. Sogar die Forderung nach Trustcentern fĂĽr die zentrale SchlĂĽsselerzeugung scheiterte knapp an der erforderlichen Dreiviertelmehrheit (73,46 statt 75 Prozent). Verhindert wurde dies damals ausgerechnet durch VDV-Mitglieder mit hohen Stimmanteilen wie DB Vertrieb und Transdev Vertrieb.

Insbesondere aufgrund der Ablehnung durch DB Vertrieb und Transdev Vertrieb scheitert der Beschluss zur sicheren VerschlĂĽsselung von Deutschlandtickets am 28. November 2024.

(Bild: Screenshot aus "Sachbericht zur Genese und den Grundlagen des Standards für die Ausgabe und Kontrolle von Fahrscheinen für das D-Ticket sowie der Transparenz und Verlusten bei Einnahmen" des VDV.)

Warum unter anderem die beiden Stimmschwergewichte dagegen waren, wollten sie auf Nachfrage von heise online nicht beantworten. Stattdessen betonte die Deutsche Bahn, sie unterstütze "alle Aktivitäten der Nahverkehrsbranche, um Sicherheitsstandards bei der Ticketausgabe und -kontrolle kontinuierlich zu verbessern." Die gesamte Branche habe es sich zum Ziel gesetzt, die Bereitstellung der Deutschlandtickets so sicher wie möglich zu machen und Kontrollen gemäß den bundesweit geltenden Tarifbestimmungen durchzuführen.

Auch Transdev ließ die Frage unbeantwortet, bestätigte aber immerhin, im vergangenen Jahr gegen den Beschluss in der Mitgliederversammlung gestimmt zu haben. Bezüglich des weiteren Vorgehens verwies ein Sprecher auf einen aktuellen Maßnahmenkatalog der "Taskforce Deutschlandticket Sicherheit" sowie einen Appell, der alle Verkehrsunternehmen auffordert, "ihre Verantwortung wahrzunehmen". Unterzeichnet haben den Appell die Präsidenten des Bundesverband SchienenNahverkehr (BSN), des Bündnisses für fairen Wettbewerb im Schienenpersonenverkehr (Mofair) und des VDV.

Zugzwang: Taskforce entwickelt Paket gegen Betrug

Um der Dringlichkeit Nachdruck zu verleihen, hat die übergreifende Taskforce "Deutschlandticket Sicherheit" ein Paket mit "Maßnahmen zum Schutz der Einnahmen der ÖV-Branche durch externen Betrug und interne fehleranfällige Prozesse beim Deutschlandticket" erarbeitet, dass die Betrugsmaschen auf allen Ebenen bekämpfen soll:

  1. Zahlungsmittelbetrug: Kriminelle nutzen gestohlene Zahlungsdaten für Ticketkäufe, was zu Rückbuchungen und direkten finanziellen Verlusten führt.
  2. Ticketkopien: Ein einzelnes Ticket wird durch mehrfaches Kopieren von verschiedenen Personen gleichzeitig genutzt.
  3. Einnahmeverschleierung: Unvollständige oder manipulierte Meldungen von Ticketverkäufen durch Verkehrsbetriebe verhindern eine faire Verteilung der Einnahmen.
  4. Gefälschte Tickets: Technisch versierte Betrüger erstellen täuschend echte Fälschungen durch Manipulation der Sicherheitsmerkmale.

Um Zahldatenbetrug vorzubeugen, fordert die Taskforce eine verpflichtende Bankkontoverifizierung im Kaufprozess, so wie es etwa die Deutsche Bahn mit den Diensten verimi und Tink tut.

Ergänzend verlangt sie den Einsatz von Systemen zur automatischen Erkennung verdächtiger Transaktionsmuster. Bei Auffälligkeiten sollen Bonitätsprüfungen durchgeführt werden, um die Identität des Käufers zu prüfen. Zudem sollen die Tickets an das Smartphone des Käufers gebunden werden und erkannte Betrugsfälle in eine deutschlandweite Sperrliste aufgenommen werden, die allen Verkehrsunternehmen zugänglich sein muss.

Die Taskforce will der missbräuchlichen Nutzung von Ticketkopien mit konsequenten Ausweiskontrollen bei jeder Ticketprüfung begegnen. Die Kontrollnachweise sollen zentral ausgewertet werden, um mehrfach genutzte Tickets schnell identifizieren zu können. Als langfristige Lösung setzt die Task Force auf die Einführung kopiergeschützter Handytickets wie Motics (Mobile Ticketing Crypto Service) ab 2026, die eine untrennbare Bindung des Barcodes an ein spezifisches Endgerät gewährleisten soll und damit Kopien technisch verhindert.

Für eine gerechte Verteilung der Einnahmen und zur Verhinderung von Manipulationen fordert die Taskforce transparente Einnahmemeldungen mit direkter Prüfmöglichkeit gegen tatsächlich ausgegebene Tickets. Alle legitim erstellten Deutschlandtickets sollen zentral und revisionssicher erfasst werden.

Um Fälle wie D-Ticket.su zu vermeiden, sollen alle Signaturschlüssel durch spezialisierte Trustcenter mit höchsten Sicherheitsstandards erzeugt und verwaltet werden. Bei erkannten Fälschungen verlangt die Taskforce die sofortige Sperrung kompromittierter Schlüssel und die umgehende Ausgabe neuer, sicherer Barcodes.

All das ist mit einem straffen Zeitplan versehen:

  • bis 30. Juni sollen die notwendigen zentralen Systeme bereitgestellt werden.
  • am 1. Juli sollen Gutachter die Betriebsbereitschaft feststellen.
  • bis 30. September: Implementierung der Sicherheitsvorgaben durch Dienstleister
  • ab 1. Oktober sollen Deutschlandtickets von Unternehmen ohne Teilnahmevertrag abgelehnt werden.
  • bis 1. Januar 2026: Umsetzung der Anpassungen durch die meisten kontrollierenden Unternehmen

Man darf gespannt sein, ob nach eineinhalb Jahren nun tatsächlich die entscheidenden Weichenstellungen gelingen. Dafür muss aber erst einmal Einigkeit im Koordinierungsrat von Bund und Ländern, in der Teilnehmerversammlung der eTicket Deutschland und in den Gesellschafterversammlungen der Deutschlandtarifverbund GmbH sowie der D-TIX GmbH & Co. KG hergestellt werden. Bis es so weit ist, dürften die Einnahmeverluste allerdings rechnerisch die Grenze von einer halben Milliarde Euro knacken.

Entscheidende Weichenstellung

Die erste und vermutlich wichtigste HĂĽrde ist eine Abstimmung in der Teilnehmerversammlung der eTicket Deutschland am 6. Mai. Nachdem sowohl Transdev als auch Deutsche Bahn anders als im vergangenen Jahr Zustimmung zu den MaĂźnahmen signalisiert haben, dĂĽrften die Chancen auf eine Dreiviertelmehrheit der Teilnehmer dieses Mal besser stehen.

Bei der Versammlung sollen verbindliche Spielregeln fĂĽr alle Verkehrsunternehmen festgelegt werden, die das Deutschlandticket ausgeben oder kontrollieren. Diese BeschlĂĽsse sind dann vertraglich bindend. So soll laut den heise online vorliegenden Beschlussvorlagen darĂĽber abgestimmt werden, die Tickets kryptografisch gegen Manipulation zu schĂĽtzen (Einsatz eines Trustcenters) und sie revisionssicher, automatisiert an eine zentrale Stelle zu melden. Diese MaĂźnahmen sollen fĂĽr alle Ticketausgabeverfahren, insbesondere auch das von der DTVG unterstĂĽtzte UIC, bindend sein.

Des Weiteren sieht die Beschlussvorlage vor, dass fĂĽr Deutschlandtickets "in anderen Barcode-Formaten als VDV-Barcode (z.B. UIC-Barcode)" ab dem 1. Januar 2026 ein einheitlicher SchlĂĽssel mit der Kennung ORG_ID 3000 verwendet werden soll.

Werden die Beschlüsse gefasst, wäre die DTVG verpflichtet, ihr System in entscheidenden Punkten dem des VDV anzugleichen. Dafür wären jedoch weitere Beschlüsse innerhalb der DTVG-Gremien, wie der Gesellschafterversammlung, notwendig. Ob und wann diese erfolgen, ist uns nicht bekannt. Allerdings arbeitet der Deutschlandtarifverbund bereits an einem UIC-Sicherheitsportal, in dem man API-Schlüssel verwalten, Sperrlisten herunterladen sowie Tickets suchen und (ent)sperren kann.

Zug bereits abgefahren?

Sollten die Sicherheitsmaßnahmen für das Deutschlandticket, wider Erwarten, nun tatsächlich beschlossen und implementiert werden, ließe sich ein jährlicher Betrugsschaden von bis zu 350 Millionen Euro vermeiden. Diese Einsparung könnte einen entscheidenden Unterschied für die langfristige Finanzierung des Tickets ausmachen und mögliche Preiserhöhungen abwenden.

Die aufgezeigten Versäumnisse werfen jedoch ernste Fragen zum Umgang mit öffentlichen Mitteln auf. Wie aus den uns vorliegenden internen Protokollen hervorgeht, haben die Beteiligten seit 18 Monaten praktisch tatenlos zugeschaut, wie sich der Betrugsschaden auf mehrere hundert Millionen Euro summierte, die letztlich von Steuerzahlern getragen werden mussten.

Die Zukunft des Deutschlandtickets hängt maßgeblich davon ab, ob die Verkehrsunternehmen ihre Partikularinteressen zurückstellen und den überfälligen Sicherheitsmaßnahmen zustimmen. Nur dann dürfte das Deutschlandticket auch langfristig eine Zukunft haben.

(vza)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten