Deutschlandticket: Fahrkartenshop fliegt auf, Kunden werden zu Schwarzfahrern
Ein Online-Shop hat unter mysteriösen Umständen Fahrkarten verkauft, die jetzt ungültig sind. Viele Reisende fahren unwissentlich ohne gültiges Ticket.
(Bild: Firn/Shutterstock.com)
Aktuell mehren sich Berichte von Bahnfahrern, die bei der Kontrolle ihres Deutschlandtickets als Schwarzfahrer aus dem Verkehr gezogen werden – obwohl sie dafür bezahlt haben. Der Grund ist anscheinend ein gut frequentierter Fahrkartenshop (D-Ticket.su), der die Tickets verkauft hat. Diese sind mit einem zunächst gültigen Kryptoschlüssel signiert, der jedoch Ende Januar unter mysteriösen Umständen widerrufen wurde. Die betroffenen Reisenden sind deshalb unwissentlich ohne gültiges Ticket unterwegs.
"Zunächst war ich sehr begeistert, über mehrere Monate kein Problem. Anteiliges Zahlen und super unterwegs mit der Bahn. Heute konnte der Barcode nicht gelesen werden. Mir wurde eine Fahrpreisnacherhebung über 60 € ausgestellt": Bewertungen dieser Art findet man aktuell zuhauf auf der Trustpilot-Seite des Fahrkartenshops "D-Ticket". Seit mehreren Tagen werden Deutschlandtickets des Anbieters von Fahrkartenkontrolleuren als ungültig deklariert, die unbedarften Bahnfahrer werden zu Schwarzfahrern und müssen meist eine Strafe zahlen.
Ein angeblicher Mitarbeiter des Shops, der bei Trustpilot den Namen Maximilian S. verwendet, versucht unterdessen, die frustrierten Kunden zu besänftigen und behauptet, es würde sich um einen Fehler handeln. Die Kunden sollen eine Mail an den Support senden, um eine Lösung zu finden. Dass der Support weiterhelfen kann, ist aber unwahrscheinlich – denn wie unsere Recherchen zeigen, handelt es sich bei D-Ticket offenbar um einen unseriösen Anbieter, der gar keine Tickets verkaufen darf.
Tickets zu Sonderkonditionen
D-Ticket wurde vielerorts als Geheimtipp gehandelt, weil der Shop ein Angebot macht, das es gar nicht geben dürfte: Deutschlandtickets für den laufenden Monat kann man dort vergünstigt erwerben, die bereits abgelaufene Zeit des Monats wird anteilig abgezogen. Eigentlich gibt es das Ticket nur im Abo, für 58 Euro pro Kalendermonat – ganz egal, wie lange der Monat schon läuft.
Der Shop hat über längere Zeit Deutschlandtickets verkauft, die bei der Fahrkartenkontrolle als gültig durchgegangen sind. Dies belegen zahlreiche positive Kundenbewertungen. Wer solche Tickets ausstellen will, muss als lizenziertes Verkehrsunternehmen tätig sein oder benötigt eine Partnerschaft mit einem solchen. Beides erscheint im Fall von D-Tickets äußerst unwahrscheinlich zu sein.
Der Shop ist unter anderem unter der Top-Level-Domain .su erreichbar. Anlass zur Sorge sei dies nicht, erklärte D-Ticket auf seiner Trustpilot-Seite: "Die Endung .su ist historisch bedingt und war ursprünglich für die Sowjetunion vorgesehen. Heute wird sie von Unternehmen und Projekten weltweit genutzt, die eine kurze, einprägsame Domain suchen. Für Sie als Nutzer hat dies keinerlei Auswirkungen. Ihre Nutzung bleibt unverändert. Sie können unseren Service weiterhin wie gewohnt nutzen – ohne Einschränkungen oder zusätzliche Schritte." d-ticket.com und de-ticket.com führen ebenfalls auf diesen Shop.
Allerdings wirkt auch das Impressum verdächtig: Der Shop wird angeblich von einer Firma namens RouteVibe Limited betrieben, die erst Ende 2024 registriert wurde und ihren Sitz in einem Londoner Hinterhof hat. Unter der Adresse bietet ein Dienstleister eine virtuelle Büroadresse an, hinter der sich Firmeninhaber verstecken können, schon für umgerechnet 26 Euro im Jahr.
Registriert ist das Unternehmen auf eine Person aus dem italienischen Porto Sant’Elpidio unweit der Adriaküste. Das heruntergekommene Gebäude, das als Wohnanschrift eingetragen ist, wurde Mitte Januar für rund 82.000 Euro zwangsversteigert.
Einen weiteren Hinweis darauf, dass an dem Shop etwas faul ist, liefert das Eisenbahnunternehmen Metronom in einem Beitrag zu Fake-Deutschlandtickets auf seinem Blog. Dort wird D-Ticket.su als Beispiel fĂĽr Fake-Shops genannt.
Digitale Signatur fĂĽhrt nach Sachsen-Anhalt
Aber wie kann so ein fragwĂĽrdiges Unternehmen gĂĽltige Deutschlandtickets anbieten? heise online liegt ein Ticket vor, das Ende vergangener Woche bei D-Ticket erworben wurde. Wir haben es aus dem Shop heruntergeladen und untersucht. Deutschlandtickets sind digital signiert und lassen sich mit Tools wie Train Tickets to Wallet Passes oder der Android-App protraQ gut analysieren.
Deutschlandtickets sind nach einem bestimmten Muster aufgebaut, bei dem die Daten in einen sogenannten Aztec-Code kodiert werden. Dabei handelt es sich um einen optisch lesbaren 2D-Code, der an einen QR-Code erinnert. In dem Code stecken unter anderem der GĂĽltigkeitszeitraum, der Name des Besitzers und eine Ticket-ID. AuĂźerdem gibt es die sogenannte RICS-Nummer (steht fĂĽr Railway Interchange Coding System), die fĂĽr den Aussteller des Tickets steht.
Auch anhand der digitalen Signatur lässt sich nachvollziehen, wer das Ticket ausgestellt hat, beziehungsweise wessen privater Kryptoschlüssel dafür verwendet wurde. Die digitale Signatur ist der Gültigkeitsnachweis eines Tickets, sie wird im Zug vom Lesegerät des Kontrolleurs überprüft. Dabei werden nur Tickets als gültig akzeptiert, die mit einem der Kryptoschlüssel befugter Verkehrsunternehmen signiert wurden. Wer sich für die Details interessiert, dem sei der Talk What's inside my train ticket? vom 38. Chaos Communication Congress (38C3) ans Herz gelegt.
Ticketanalyse
Die Analyse des Deutschlandtickets von D-Ticket zeigt, dass die Signatur offenbar mit einem Schlüssel der Vetter GmbH Omnibus- und Mietwagenbetrieb aus der Lutherstadt Wittenberg erstellt wurde, einem legitimen Anbieter von Deutschlandtickets. Auch die im Ticket angegebene RICS-Nummer 5211 ist der Vetter GmbH zugeordnet, wie man einer öffentlichen Liste (PDF) entnehmen kann.
Als Vertriebspartner des Deutschlandtickets verweist Vetter auf seiner Webseite allerdings nicht auf D-Ticket, sondern auf das MĂĽnchener Unternehmen MoPla Solutions GmbH, das die Tickets unter anderem ĂĽber seine App mo.pla feilbietet.
Im Play Store stieĂźen wir auf einen Screenshot der mo.pla-App, der beispielhaft den Aztec-Code eines Deutschlandtickets zeigt. Dabei scheint es sich um ein echtes Ticket aus dem Vorjahr zu handeln, das auf den Namen einer Mitarbeiterin des Unternehmens ausgestellt ist. Es wurde mit demselben kryptografischen SchlĂĽssel signiert wie das Ticket des fraglichen Online-Shops D-Ticket.
Vetter-Schlüssel nach Missbrauch für ungültig erklärt
Das von D-Ticket verwendete Schlüsselpaar trägt die Kennung 521100001.pem (RICS 5211, Key-ID 1) und wurde kürzlich für ungültig erklärt, weil damit eine hohe Anzahl ungültiger Fahrscheine signiert worden sein soll, die in Fake-Shops verkauft wurden, wie heise online vorliegende Informationen zeigen. Seitdem gelten damit signierte Deutschlandtickets als ungültig und Fahrgäste, die damit unterwegs sind, werden aus dem Verkehr gezogen. Es wurde durch ein neues Schlüsselpaar namens 521100002.pem (RICS 5211, Key-ID 2) ersetzt.
Es steht damit der Verdacht im Raum, dass einer der digitalen Kryptoschlüssel zum Signieren von Deutschlandtickets unbefugt verwendet wurde oder gar in die Hände von unseriösen Ticketanbietern gefallen ist, die sich damit eine goldene Nase verdient haben. Dies ging eine gewisse Zeit lang gut und sogar die Kunden waren zufrieden, schließlich konnten sie ihre Tickets bisher auch tatsächlich nutzen – vergünstigt und ganz ohne Abozwang.
60 Euro Strafe trotz Ticket
Seitdem der Schlüssel widerrufen wurde, ist jedoch plötzlich Schluss damit, was viele Bahnfahrer eiskalt erwischt hat: Wie die Trustpilot-Bewertungen zeigen, fliegen die Kunden von D-Ticket seit mehreren Tagen reihenweise als Schwarzfahrer auf und müssen 60 Euro Strafe zahlen. Das Fahren ohne gültiges Ticket kann in Deutschland ab dem ersten Verstoß eine Straftat nach §265a StGB (Erschleichen von Leistungen) darstellen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
heise online hat die Vetter GmbH im Vorfeld um eine Stellungnahme gebeten, schließlich deutet alles darauf hin, dass D-Ticket Fahrkarten verkauft hat, die mit einem Vetter-Kryptoschlüssel signiert sind. Vetter bestätigte zwar, dass der Schlüssel getauscht wurde: "Wir fahren seit diesem Jahr ein neues Sicherheitskonzept und tauschen die Schlüssel regelmäßig aus. In dem Zuge sind wir von 521100001.pem auf 521100002.pem umgestiegen. Gegebenenfalls werden wir dies in kürzeren Intervallen wiederholen."
Vetter dementiert
Mit den Tickets von D-Ticket will das Transportunternehmen aber nichts zu tun haben: "Wir kaufen regelmäßig Test-Tickets auf diversen Fake-Shops zur Überprüfung. Auf der Seite d-ticket.su haben wir mehrere Tickets zu Untersuchungszwecken gekauft. Dies waren alles VDV-Tickets, die nicht mit uns in Verbindung stehen." VDV steht für den Verband Deutscher Verkehrsunternehmen.
Wann Vetter die Testkäufe durchgeführt hat, lässt das Unternehmen offen. Unseren Beobachtungen zufolge kam zumindest Ende vergangener Woche ein Vetter-Key bei D-Ticket zum Einsatz, möglicherweise hat der Shop im Vorfeld auch noch Tickets mit den digitalen Signaturen anderer Verkehrsunternehmen angeboten. Unklar bleibt, wie D-Ticket die Fahrscheine auf die Namen ihrer Kunden ausstellen und mit einer digitalen Signatur versehen konnte.
Kein Ticket-Nachschub
Seitdem der Schlüssel ungültig ist, scheint D-Ticket auch keine Deutschlandtickets mehr verkaufen zu können. Mehrere Kaufversuche von heise online scheiterten mit einer Fehlermeldung, auch andere Kunden berichten, dass es nicht länger möglich ist, Fahrkarten bei D-Ticket zu erwerben.
Bei Trustpilot fordert der Anbieter seine Kunden in spe unterdessen auf, die Zahlungsdaten zu ĂĽberprĂĽfen und den Support zu kontaktieren, um das Problem zu beheben. Unser Kontaktversuch per Mail resultierte lediglich in einer automatisierten Antwort, in der D-Ticket darum bittet, das Problem detaillierter zu beschreiben.
Inzwischen hat D-Ticket.su eine Stellungnahme zu dem Sachverhalt veröffentlicht ( Stellungnahme D-Ticket.su (PDF) ), um die Rolle des Shops zu erläutern. Dass die Betreiber als Presseanfrage gekennzeichnete E-Mail vom 12. Februar um 17:33 Uhr nicht im Postfach der im Impressum genannten Support-Adresse gefunden haben, ist betrüblich. Wir haben unsere Fragen erneut gestellt.
Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
Was jetzt zu tun ist
Es deutet vieles darauf hin, dass es sich bei D-Ticket um ein betrĂĽgerisches Angebot handelt. Wer Deutschlandtickets in dem Shop eingekauft hat, sollte versuchen, das Geld ĂĽber den Zahlungsdienstleister, die Kreditkartenfirma oder die Bank zurĂĽckholen. Wurde eine Kreditkarte verwendet, sollte man diese sicherheitshalber sperren lassen, da nicht auszuschlieĂźen ist, dass die Betreiber der Website die Kreditkartendaten gespeichert haben.
Auch Kontoauszüge, Kreditkartenabrechnungen und so weiter sollten Betroffene künftig aufmerksam kontrollieren und bei unbefugten Abbuchungen umgehen reagieren. Schnelle Hilfe leistet zum Beispiel der Sperr-Notruf 116 116. Gegenüber den Verkehrsunternehmen können Schwarzfahrer wider Willen indes nur auf Kulanz hoffen
Wer ein legitimes Ticket bei Vetter beziehungsweise mo.pla erworben hat, kann dies weiter benutzen: "Wir signieren Tickets seit Januar mit dem Schlüssel 521100002.pem. Unsere Kunden haben daher keine Probleme" und "Es befinden sich aktuell keine von uns ausgestellten Tickets mit dem alten Schlüssel 521100001.pem im Umlauf", erklärte Vetter gegenüber heise online.
Wer ein neues Deutschlandticket benötigt, kann es zum Beispiel bei den örtlichen Verkehrsbetrieben, bei Online-Anbietern wie mo.pla oder der Deutschen Bahn im Abo für 58 Euro im Abo erwerben.
Stellungnahme von D-Ticket.su ergänzt
(vza)
