Auf dem 39. Chaos Communication Congress (39C3) sorgte ein Vortrag für besonderes Aufsehen: Unter dem Titel „All my Deutschlandtickets gone“ zeigten Sicherheitsforscher, wie organisierter Betrug das Deutschlandticket-System massiv ausnutzte und warum die Bahn viel zu spät reagierte.

Dreiecksbetrug als Einfallstor

Im Mittelpunkt stand eine Betrugsmasche, die so simpel wie effektiv ist: der sogenannte Dreiecksbetrug.

1. Sie kauften echte Deutschlandtickets, allerdings mit gestohlenen Bankdaten.
2. Die Tickets wurden sofort ausgestellt, da viele Verkehrsunternehmen die SEPA-Lastschrift nicht vorab prüften.
3. Anschließend verkauften die Betrüger die gültigen Tickets über Plattformen wie Telegram zu stark reduzierten Preisen weiter.

Der Schaden: Hunderte Millionen Euro

Allein zwischen Januar und Oktober 2024 entstand ein Schaden von bis zu 267 Millionen Euro. Insgesamt könnte sich der Verlust sogar auf rund eine halbe Milliarde Euro belaufen.

Grund dafür war die Kombination aus sofortiger Ticketausstellung und verzögerter Zahlungsprüfung öffnete Betrügern über Monate hinweg Tür und Tor.

Ein illegaler Shop nutze zudem einen gestohlenen kryptografischen Schlüssel, um Tickets zu signieren, die als echt galten. Die Deutsche Bahn fand später etwa 50.000 solcher Tickets.

Trotz früherer Kenntnis, wurde der Schlüssel erst Wochen später gesperrt. Die Gründe? Beinahe banal:

• Urlaub
• Krankheit
• Fehlende Vertretungsregelungen.

Der Fall zeigt deutlich, dass nicht nur Technik, sondern auch Prozesse und schnelle Reaktionen sind entscheidend, um Betrug im großem Stil zu verhindern.