Betrügereien in Millionenhöhe möglich
Deutschlandticket: Hacker decken massive Sicherheitslücken auf
Zwei IT-Sicherheitsforscher haben Schwachstellen im digitalen Deutschlandticket-System aufgedeckt. Laut ihren Angaben seien Betrügereien in Millionenhöhe möglich.
Laut Angaben der Sicherheitsforscher Q Misell und Maya, die ihre Ergebnisse auf dem Chaos Communication Congress in Hamburg vorstellen wollen, sei das Deutschlandticket-System anfällig für systematischen Betrug. Besonders kritisch sei der Bezahlprozess. Viele Verkehrsunternehmen stellten das Ticke...
Laut Angaben der Sicherheitsforscher Q Misell und Maya, die ihre Ergebnisse auf dem Chaos Communication Congress in Hamburg vorstellen wollen, sei das Deutschlandticket-System anfällig für systematischen Betrug. Besonders kritisch sei der Bezahlprozess. Viele Verkehrsunternehmen stellten das Ticket unmittelbar nach Vertragsschluss aus, noch bevor die Bankverbindung des Kunden tatsächlich überprüft wurde.
Ein Missbrauch sei dadurch möglich gewesen, dass gefälschte Bankverbindungen verwendet wurden, die zunächst echt wirkten. Die eigentliche Zahlungsprüfung erfolge erst nach bis zu sechs Tagen; ein Zeitraum, in dem betrügerisch erzeugte Tickets bereits weiterverkauft und genutzt worden seien.
Millionenfache Fälschung vermutet
Die Forscher gaben im Interview mit der taz an, rund drei Millionen solcher Tickets identifiziert zu haben. Die Gesamtschadenshöhe wurde aus diesen Zahlen sowie aus Vergleichsdaten von Umfragen und offiziellen Verkaufszahlen extrapoliert. Das Ergebnis: ein vermuteter Schaden in dreistelliger Millionenhöhe.
Schwachstelle: Digitale Signatur
Ein weiterer kritischer Punkt sei die kryptografische Sicherung der digitalen Tickets. Diese werden mit Barcodes versehen und durch einen privaten Schlüssel digital signiert. Laut Misell seien die Schutzmaßnahmen für diese Schlüssel in einigen Fällen unzureichend gewesen. Ein Beispiel sei ein kleines Verkehrsunternehmen in Sachsen-Anhalt, das offenbar seinen privaten Schlüssel verloren habe. Mit dem gestohlenen Schlüssel hätten Dritte gültig aussehende Tickets im Namen des Unternehmens erzeugen können.
Keine Haftung bei Missbrauch
Das betroffene Unternehmen sei durch den Vorfall nicht direkt geschädigt worden. Laut den Forschern fehle es an Regelungen, die Unternehmen für derartige Sicherheitsversäumnisse haftbar machten. Die finanziellen Folgen träfen in solchen Fällen die Verkehrsunternehmen, die die gefälschten Tickets akzeptierten – ohne Anspruch auf Ausgleichszahlungen.
Verbesserungsvorschläge bisher kaum umgesetzt
Der zuständige Deutschlandtarifverbund arbeite derzeit an einem Rückrufverfahren für digitale Tickets und versuche, die Signierung zentral zu organisieren. Allerdings hätten bislang nur zwei Verkehrsunternehmen dieses neue Sicherheitsportal übernommen. Auch beim Bezahlsystem gebe es laut den Forschern noch keine übergreifende Lösung – die Verantwortung liege weiterhin bei den einzelnen Firmen.
Verantwortung bleibt ungeklärt
Trotz der bekannten Probleme habe bislang keine Institution die Verantwortung übernommen. Laut Misell zeigten Politik, Verkehrsunternehmen und Tarifverbund jeweils auf die anderen Beteiligten. Eine zentrale Koordination oder gesetzliche Vorgaben für höhere Sicherheitsstandards fehlten bisher.
