Ich wundere mich auch immer wieder, wie Leute erzählen, dass sie xy über Instagram gekauft haben. Warum macht man sowas?! Wer zum Henker klickt auf Werbung??
Ich hab das Gefühl, dass Leute heutzutage nicht mehr so misstrauisch gegenüber Werbungen sind als vor 10-15 Jahren z.b.
Eine Theorie von mir ist, dass die Leute erwarten, dass die Werbung moderiert wird (Abgesehen von ein paar punkten wahrscheinlich), was einfach nicht der Fall ist.
Ich könnte wahrscheinlich einfach Werbung auf Facebook kaufen und Leute so abzocken, aber wehe du beleidigst jemanden.
Und dann gibt es da noch die ganzen Influencer, die bezahlte Werbung machen und wo Leute das einfach nicht als solche wahrnehmen. Obwohl es eindeutig ist.
Ich habe direkt ein neues Beispiel wo ein Familienmitglied gerade auf mich zugekommen ist und fragt wieso er 20€ bezahlen muss... Es war eine Vodafone Werbung in seinem E-Mail Postfach und der Grund war einfach nur, weil er den kleinen grauen text "Anzeige" nicht gesehen hat...
Gute Frage, der Artikel lässt einblicken das das Problem seit über 14 Monaten inzwischen bekannt ist, also ist durchaus davon auszugehen das der Betrug schon annähernd 2 Jahre läuft. Bei 3 Millionen Tickets sind irgendwas zwischen 100.000 und 250.000 Nutzer wohl auf solche Deutschlandtickets reingefallen.
Aber wir können durchaus davon ausgehen, das die Tickets über Websites verkauft wurden und nicht nur beim Hehler des Vertrauens. Gibt ja genug Menschen, die gerne 10, 20 oder 30€ sparen wollen und dann bei "Bahn Oberuntermittelfrankfurt" oder so einkaufen.
Zumal: Es scheint ja so als ob die Tickets nicht entwertet werden können, also wissen die Menschen die die Tickets kaufen vermutlich nichtmal, das sie Hehlerware kaufen.
Ne. Zwei Wege laut Vorschau des Vortrags (siehe Links weiter unten):
- Fremde IBANs werden verwendet um Tickets zu kaufen, die werden dann weiterverkauft.
- Die Tickets werden mit Schlüsseln erstellt, einer der privaten Schlüssel einer Busgesellschaft wurde anscheinend gestohlen und jemand erstellt jetzt Tickets damit.
Und natürlich gibt es im Neuland Deutschland keine Revocation List oder Turnusmäßige keychanges. Ist wahrscheinlich nichtmal vorgesehen. Softwarefehler. Kann man halt nix machen. Facepalm
Manchmal denke ich, die machen das extra. Die sagen den Software Ingenieuren, dass die mal früher Feierabend machen sollen, dann lässt man die Lücken, macht bei Entdeckung ein surprised Pikachu Face und fordert dann vehement die Abschaffung…
"502 Bad Gateway" teilt dir grob gesagt mit, das hintenraus was nicht funktioniert. Das bedeutet nicht, dass du gebannt wurdest o.ä.
Bei Interesse: Bei den HTTP-Status-Codes bedeutet alles, was mit einer 5 beginnt, dass auf Serverseite was schief gelaufen ist. Die Fehler, bei denen der Server meint, dass sie auf deiner Seite liegen, beginnen mit 4 (bspw. "403 Forbidden" wäre ein passender Status-Code, wenn man dich gebannt hätte).
Schlussendlich kann ein Webserver natürlich jede Anfrage mit jedem beliebigen Status-Code beantworten, aber so wäre es konventionell korrekt.
Also dass es Verkehrsunternehmen gibt, die die Zahlungsinformationen nicht verifizieren und das Ticket sofort ausstellen, ist glaube ich seit dem Tag bekannt, als der Preis von 9€ auf 49€ angehoben wurde. Dass das immer noch ein Thema ist, ist das tatsächliche Problem.
Hat auch super funktioniert. 9 Euro in einen Automaten werfen, Name eintragen, mit Ticket und Ausweis fahren. War wohl nicht digital genug und Bedenken zu zweitrangig.
Um an mein jetziges Ticket zu kommen, habe ich eine handvoll Apps installiert, um einen Anbieter zu finden, dessen App nicht offensichtlicher Schrott ist und ich per paypal zahlen konnte.
Benutze den VRS für das Ticket, die senden immerhin eine strunznormale PKPASS Datei, die man im Google Wallet hinterlegen kann. Dadurch ist das Ticket komplett offline und benötigt keine Internetverbindung, nicht mal kurz für eine Verifizierung.
Die DB App will dagegen einmal alle paar Stunden Internet haben, um die Tickets zu synchronisieren, denn die befinden sich stets auf dem Server und werden beim Start der App nur für ein paar Stunden gecached. Wenn man den Start der App mal vergisst und die Kontrolle ist zufällig in einem Funkloch, hat man daher erstmal Diskussionen, bis man wieder online ist und der Schaffner solange Geduld hat. Zwischen Blankenfelde und Wünsdorf habe ich 5 solcher weißen Flecken.
Ich habs vom RVV, Zahlung geht glaub nur per Lastschrift, aber das gibts ausschließlich als Wallet-Link, das Ticket ist in der App nichtmal verfügbar wenn man es wollte. Hatte damit auch noch nie Probleme.
Der Schätzung des Schadens würde ich erstmal nicht unbedingt trauen. Der andere Kram der da aufgelistet ist, ist aber schon eher peinlich. Den privaten Schlüssel nicht sicher aufbewahren ist absolut amateurhaft.
Es gibt Hardware security modules, dann bekommt niemand den private key wieder raus. Und für diese Anwendung hätten die das auf jeden Fall verpflichtend vorschreiben sollen.
Schreibt der aktuelle "(((eTicket"-Standard (bald "etiCORE") soweit ich weiß auch vor. Die Schlüssel müssen zentral von der VDV eTicket Service GmbH signiert sein, und das machen sie nur, wenn du ganz doll versprichst, dass der Schlüssel nur in einem HSM existiert. Das geht sogar soweit, dass da verschiedene Level definiert wurden - wenn du Software dafür entwickeln möchtest, bekommst du einen "Level 1" bzw. "Level 2" zertifizierten Schlüssel, mit dem du Test-Tickets ausstellen kannst. Diese Schlüssel dürfen dann auch außerhalb von HSMs existieren (wobei es glaube ich so gedacht ist: Level 1: Schlüssel als Datei auf Entwicklerrechner, Level 2: Entwickler-Schlüssel in HSM). Erst die "Level 3"-Schlüssel (die eigentlich nur noch in HSMs existieren dürfen), können gültige Tickets ausstellen.
Soweit jedenfalls die Theorie, soweit ich da den Überblick habe.
Vermutlich ist hier halt der Fall, dass irgendwer gesagt hat "ihr müsst aber meinen Schlüssel signieren, sonst kann ich gar keine Deutschlandtickets verkaufen", und dann haben sie das zähneknirschend übergangsweise irgendwie gemacht, und das ist schiefgegangen (aber das ist nur eine Vermutung).
Ich bin immer mehr der Meinung das viele Regulierung im IT sec Bereich einfach nichts bringen. Das einzige was funktioniert ist eine gute Kultur im IT Bereich.
Und lustigerweisen verhindert Regulierung die oft, da dann auf einmal ganz viele Leute meinen das viele best practices nicht mehr gehen, wegen den ganzen Regulierungen (was natürlich Schwachsinn ist). Allgemein kann man das Problem in dem Bereich Imho nicht mit Regulierung lösen, sondern nur mit einem krassen Kulturwandel in den Unternehmen.
Den wird es aber nicht geben. Alleine wie viel da externe machen, und vor allen wie viele externe da rumdocktern die nur inhaltsfreie Dokumente erstellen...
Man braucht endlich eine vernünftige engineering Kultur. Selbständige Teams die selber priorisieren dürfen. Security steht lustigerweisen nicht unbedingt gegen bessere it, sondern viele Maßnahmen gehen Hand in Hand. Aber nicht wenn man lieber teure Tools kauft als wirklich sinnvolle Architektur zu machen.
Regulierung bringt eigentlich schon was, wenn allerdings die gesamte Kette der Entscheider so inkompetent besetzt ist, dass so ein Schlüssel überhaupt so ausgegeben wird und die Vorgaben zu massiv missachtet werden, dann zeigt das eher ein massives Kompetenz-Problem. Bei Google oder anderen größeren IT-Firmen müsste bei so einem Vorfall am nächsten Tag jede verantwortliche Person bei diesem Problem direkt gehen und hätte vermutlich große Schwierigkeiten in dieser Branche einen neuen Job zu finden. Die Engineering-Kultur bleibt schlecht, solange solche inkompetenten Menschen, in ranghohen Position sitzen, welche auch noch sehr gut verdienen.
Das Problem ist halt wenn Leute priorisieren und technische Entscheidungen treffen die Technik nicht verstehen und gleichzeitig jede Regulierung komplett bescheuert auslegen. Gleichzeitig aber eine komplett kaputte Fehlerkultur vorherrscht die die Teams daran hindert eigene Verantwortung zu übernehmen.
Blameless postmortem wäre auch deutlich besser als direkt Leute rauszuschmeißen. Und dann halt die Organisation anpassen und die Menschen ihren skills entsprechend einsetzen. Rausschmeißen ist auch nicht gut für die Kultur, da man ja möchte das Menschen Risiko und Verantwortung übernehmen.
Stimme da fast komplett mit dir überein, denke nur Vorgaben bezüglich Sicherheit sind meist schon sehr sinnvoll. Ich bin eigentlich auch dagegen Leute zu kündigen, aber in diesem Fall wurden absolut untragbare Entscheidungen getroffen, die deutlich zeigen, dass die Leute da absolut nichts verloren haben. Ich bin der Meinung bei Themen Sicherheit und Korrektheit, braucht man immer jemanden, welcher das fundamental versteht. Der Fehler ist hier, dass alle Beteiligten entweder dies nicht verstanden haben oder meinten sie verstehen es und könnten diese Entscheidung treffen, beides komplett untragbar.
Ja, die Management Ebenen die das verursachen werden am Ende eh nie Konsequenzen bekommen. Die sind eh nur destruktiv unterwegs. Wäre schön wenn es nicht überall der gleiche scheiß ist.
Der Trick ist, du lässt den request eben nur von einem zugelassenen Gerät zu, dessen PK ist dann schon niemandem bekannt, auf den kannst du dann getrost ein Cert ausstellen und dann kann es auch nur das HSM wieder nutzen.
Aber ja, wie man es kennt, wird man weniger konsequent sein.
Das entspräche etwa 140.000 Jahresabos des deutschlandtickets. Finde ich nicht so weit hergeholt. Arbeite in der Branche und kenne die genauen Zahlen auch nicht. Aber Schätzungen in der Größenordnung gehen um und sind mMn plausibel.
Das dürfte ja immer nur für einen Monat gehen (dann fällt auf, das die Lastschrift nicht geht). Dann sind es also 140k * 12 Monatsabos als individuelle Transaktionen.
Die Berechnung basierend auf tatsächlich verkauften Tickets und der Vergleich mit Umfragen finde ich halt nicht wahnsinnig überzeugend. Da dürfte der Fehler sehr groß sein (wir bekommen im Artikel halt auch nur eine Zahl und keine Bereich genannt). Es wird ja eine Differenz gebildet, da haut der Fehler in der Umfrage viel mehr rein als wenn man nur auf den absoluten Wert schaut. Und der statistische Fehler der Umfrage dürfte höher sein als die vermutete Quote an betrügerischen Tickets.
Sie haben auch angegeben, drei Millionen Tickets direkt identifiziert zu haben. Da wären die Details, wie sie das gemacht haben interessant.
Vielleicht unterschätze ich aber auch nur maßlos wie viele Leute solche Tickets auf irgendwelchen dubiosen Platformen kaufen.
"Leider haben Betrüger Sicherheitslücken genutzt um sich mit dem Deutschlandticket Leistungen zu erschleichen. Uns bleibt deshalb nichts anderes übrig, als das Ticket mit sofortiger Wirkung abzuschaffen. Die so entstandenen Einsparungen investieren wir in den Ausbau von Parkplätzen in den Innenstädten um so die lokale Wirtschaft anzukurbeln."
Durch die neuen Parkplätze wird es einen ungebremsten Nachschub an r/RentnerfahreninDinge geben. Es wird eine großangelegte Show zu den Highlights mit Thomas Gottschalk als Moderator geben und die Werbeinnahmen werden direkt in die Rentenkasse umgeleitet.
Die Forscher haben seit Oktober vergangenen Jahres an dem Thema gearbeitet. Niemand wolle Verantwortung übernehmen, berichtet Misell. Die Politiker sagen, es sei das Problem der Verkehrsunternehmen. Die Verkehrsunternehmen verweisen darauf, nur vorgeschriebene Vorgaben umzusetzen. Der Tarifverbund erklärt, nicht die Macht zur Regulierung zu haben.
Deutschland in einer Nussschale. Ich sag ja immer: die deutsche Seele hat einfach Angst vor allem, aber vor nichts so sehr wie vor Verantwortung und so schaffen wir Systeme, die den Individuen erlauben, sich hinter Regularien zu verstecken.
Q Misell: Nicht wirklich. In einer idealen Welt gäbe es Strafen dafür, bei der Informationssicherheit so zu schludern. Aber bis heute gibt es keine Regeln in der Vereinbarung zum Deutschlandticket, die Unternehmen für betrügerische Tickets haftbar machen. Den Schaden trugen alle Unternehmen davon, die diese Tickets akzeptierten und die Leute damit reisen ließen, ohne dass es dafür eine Kompensation aus dem Topf aller verkauften Deutschlandtickets gab.
Das ist doch das Problem, wenn es nicht um das eigene Geld geht, passiert auch nichts.
? Die Infrastruktur und der Bahnbetrieb bezahlt sich nicht von selbst. Der Geschädigte sind wie auch bei Ladendiebstahl die ehrlichen Kunden, auf die die Kosten umgewälzt werden. Rein rechnerisch hätte man ohne diesen Diebstahl den Preis für das D-Ticket 2026 nur 3-4€ anstatt 5€ anheben müssen.
Das kommt auf die Dimension an. Es gibt Schwellenwerte, wo das zutreffen mag, also sagen wir zb. ab 50 Leute pro S-Bahn, wo dann ein zusätzlicher Waggon nötig wird. Zur Wahrheit gehört allerdings auch, dass die Gelder, die Unternehmen und staatliche Institutionen in die Hand nehmen verdammt unelastisch auf die Nachfrage reagieren. Im Zweifelsfall wird also einfach der Zug voller.
Jemand welcher sich bewusst nen Fake Ticket holt um Geld zu sparen schreckt wahrscheinlich auch nicht davor zurück einfach Keins zu haben wenn es die Möglichkeit gegeben hätte.
zb Wenn die Strecke welche man fahren muss nicht gut kontrolliert wird oder so wieso nicht gleich 0€ zahlen? :p
Ist wie Piraterie bei Videospielen fast imo - Service zu teuer > Alternative > Garnix
Zu erwarten dass jeder welcher sich son fake ticket gegönnt hat auch den vollen preis bezahlen würde klingt mir eher unplausibel
Nope. Der Zug fährt und ist bezahlt. Wenn man die Frage nach dem Geschädigten ganz genau nehmen möchte, muss man zuerst die Umstände des Hackers klarstellen: was würde er tun, wenn er nicht den freie Fahrt glitch nutzen würde? Würde er ein Deutschlandticket kaufen? Ein anderes Abo (z. B. ICE) abschließen? Fahrrad oder Auto fahren? Wie oft, was und wohin? Durch Föderalismus und die Strukturen des Öffentlichen Verkehrs sind das völlig unterschiedliche Geldtöpfe. Deswegen dauern die Verhandlungen ja auch immer so lang. Eine ehrliche Antwort ist aber auch einfach deswegen nicht möglich, weil man die induzierte Nachfrage durch das kostenlose Nahverkehrsticket kaum seriös bestimmen kann.
Der Hacker fingiert eine Zahlung oder erstellt mit dem Schlüssel ein Ticket. Der Hacker verkauft dieses Ticket weiter. Das Geld ist beim Hacker und nicht beim Unternehmen.
Die Unternehmen haben in den letzten drei Jahren einen Ausgleich für Einnahmenfehlbeträge von Bund und Ländern erhalten. Hätten sie die Millionen in der Kasse gehabt, hätte die öffentliche Hand weniger Ausgleich gezahlt.
wie so üblich in D scheitert es am Kompetenzgerangel. Keiner nimmt mal die Zügel in die Hand und bessert nach. In Folge wird das Ticket noch teurer. Und es trifft die, die real dafür bezahlen. Ein IBAN Inhaber Check ist inzwischen kein Hexenwerk mehr. Allein hier wäre schon eine Massive Verbesserung durch Prävention möglich. Es gibt einige Dienstleister die FraudProtection anbieten. Natürlich nehmen sie dafür pro Vorgang ein paar Prozent aber im Verhältnis zum Schaden eher marginal.
Lastschrift sollte meiner Meinung nach für sofortige Leistungserbringung ohnehin nicht angeboten werden. Das Thema Kontodeckung, Rücklastschrift und Lastschriftrückgabe innerhalb von 90Tagen ist on Top ein hohes Risiko .
In diesem Fall scheinen es nicht geklaute IBANs zu sein, sondern komplett nicht existierende Konten. Aber einen Mittelsmann, der die Haftung übernimmt und das alles verifiziert oder trotzdem versucht das Geld einzutreiben, sollte es trotzdem geben. Ich meine, sowas auch beim DB Deutschlandticket gesehen zu haben, als ich das gekauft habe. Wieso werden da Bestellprozesse abgeschlossen, bevor das Geld da ist oder einem garantiert wird? Und ist das wirklich nur ein Problem des Deutschlandtickets oder generell des jeweiligen Onlineshops?
Und ist das wirklich nur ein Problem des Deutschlandtickets oder generell des jeweiligen Onlineshops?
Betrug ist tendenziell eher weniger ein Problem für normale Onlineshops, die generellen Lastschriftrisiken rund um Zahlungsausfälle aber schon - dementsprechend bietet das auch kaum jemand an (und die wenigen die es tun, befragen idR vorher eine Auskunftei und bieten es Neukunden auch nur für physische Produkte an).
Das Deutschlandticket ist hier als digitales Produkt, das nicht nachträglich unbrauchbar gemacht werden kann schon in einer recht besonderen Lage - ist aber nicht so, als könnte man das Problem der fehlenden Rückrufbarkeit technisch nicht relativ einfach beheben.
Das wäre ja aber alles ein eher kleines Problem, wenn man die Tickets nach dem auffliegen des Betrugs invalidieren könnte, was anscheinend ja nicht geht.
Dann ist eine ausgedachte(?) IBAN halt der path of least resistance, aber die gleiche Methode ginge ja auch mit geklauten Kreditkarten/Paypalkonten und zig anderen Methoden. Tickets kaufen, verkaufen, in die Nacht verschwinden.
Das ist halt die Crux dabei. Man hat es in Deutschland einfach schlicht und ergreifend versemmelt ein fernabsatzfähiges Zahlungsinstrument als de facto Standard zu etablieren. Das wird seit 25 Jahren moniert und passiert ist abgesehen von den Rohrkrepierern à la giropay/Paydirekt einfach gar nichts. Bei Wero macht man jetzt den gleichen Mist wieder.
Wer Lastschrift als Zahlungsmöglichkeit anbietet, der holt sich sowas eben ins Haus. Nicht cool aber halt auch nicht neu.
Jemand über dir hat geschrieben, das der angebliche Schaden, gemessen an den Gesamteinnahmen bei etwa 3% liegt. Wenn FraudProtection auch einige % will hat man kaum Gewinn aber zusätzliche Probleme.
Es könnte so einfach sein: das Ticket hat einen festen Preis, Service gibt's keinen, wieso muss das Ticket überhaupt von jedem verkauft werden? Eine Stelle mit Ahnung und vernünftiger IT und dann passt das. Stattdessen muss natürlich wieder jeder was zu sagen haben...
Und bevor mir jetzt wieder einer kommt das die Verkehrsbetriebe dann lieber ihre teureren und schlechteren Monatskarten an die Omis verticken: ja und? 1. machen die das sowieso schon und 2. hat Omi vielleicht dann auch einfach Pech. Ich habe keine Lust mich ständig um den DAU kümmern zu müssen...
Die verkehrsbetriebe der Kommunen sind stark im minus und brauchen die Einnahmen. Jeder Nutzer der über die DB bucht bringt denen kein Geld obwohl er deren services nutzt
Das liegt aber am bescheuerten Verteilmechanismus hinter dem D-Ticket. Eigentlich gehört das Geld alles in einen Topf und müsste dann anhand der Fahrgastzahlen ausgeschüttet werden.
Jedes Unternehmen, das D-Tickets verkauft, behält je nach Ticketart anderthalb bis zweieinhalb Euro vom Verkauf und gibt den Rest in die bundesweite Einnahmeaufteilung.
Wer also gute Werbung für seinen Vertriebskanal macht, kann noch ein paar Euro mehr für sich rausholen.
Ich habe keine Ahnung vom Verkaufen, aber bis zu 2,50 Euro klingt für mich nicht nach viel, wenn ich mir vorstelle, dass da ja Personal und Technik vorhanden sein muss.
Bestes Beispiel: Deutschlandticket.de - ist dank SEO das Top Suchergebnis, dahinter steckt transdev, einer der größten privaten Bahnanbieter. Die agieren aber nicht wie zB Flixtrain, die ihren Betrieb mit dem Vertrieb gegenfinanzieren müssen sondern sind Auftragnehmer von Ländern und Verkehrsverbünden. Da ist das einfach sweetes Money zusätzlich.
Vertriebsanreiz? Großes Unternehmen bezuschusst D-Tickets für MA nur wenn dieses vom Anbieter am Stammsitz ausgegeben wird. Der Profit geht dahin, wo die Wirtschaftszentren sind, die Fläche muss leiden? Wenns danach geht, erscheint mir der Verteilmechanismus schon bescheuert.
Ich weiß gerade nicht genau, was du meinst, aber der Verteilmechanismus geht meistens nach den gängigen Verbundaufteilungen.
Das PLZ-Prinzip sorgt auch dafür, dass das Geld da hinkommt, wo verkauft wird. Egal bei wem gekauft wird. Ist dann nur der Vertriebsanreiz, der dann potenziell woanders bleibt.
Die Scanner in unseren Bussen sind so scheiße, dass es nur 2 Optionen für den Fahrer gibt. Entweder er lässt jeden durch der einen QR Code zeigt oder er sammelt an jeder Haltestelle mindestens 10 min Verspätung.
Als ich vor 10 Jahren mein Auslandssemester in Schweden hatte, war es schon damals so, dass jeder Bus einen Scanner hatte, wo man einfach beim Einsteigen seine Bezahlkarte ran gehalten hat, die es in jedem Kiosk zu kaufen gab.
Naja, bei Bussen fand ich Japan ganz schön rückschrittlich. Nicht nur unpünktlich, auch veraltet und jede Stadt ein anderes System (Zahlung bei Einstieg, Zahlung bei Ausstieg, vorne, hinten etc.). Zumindest führt die IC-Karte dazu, dass man einfach zahlen kann.
Beim Zugverkehr stimme ich zu. Das war einfach eine Reise in die Zukunft von unserem Standpunkt aus.
> Nicht nur unpünktlich, auch veraltet und jede Stadt ein anderes System
Also..... genau wie in Deutschland?
Außer in der Innenstadt wo man neue Elektrobusse schon sieht fährt die BVG hier auch noch mit echt alten Krücken rum (Fahren ja noch also juckt)
Fahr Ich in nen anderes Bundesland hat man auch direkt andere Bustickets/Regiotickets bzw. Ticketfirmen und muss meistens auch erstmal nachsehen welche Tickets dann da gültig sind oder nicht je nach Strecke
Mitlerweile ist man in Schweden auf QR kod im Handy umgestiegen, dass vorne im Buss oder bei der Bahn gescannt wird*. Die Karten zum blippen gibt es aber auch noch.
Realtalk, ich hab bei mir in den Bussen noch nie selbst was gescanned oder so. Da wird maximal vorgehalten und dann biste drin, keiner ist da hinter her und wenn dann wird halt mal spontan kontrolliert.
Hab das D-Ticket dazu noch als Karte und nicht in einer App oder so, könnte rein theoretisch noch mit meinem längst abgelaufenen Azubi-Ticket fahren was eben auch eine Karte war, aber naja wir sind ja fair.
Ich war vor einigen Jahren in Paris und erstaunt, wie unglaublich schnell die Scanner an den Türen sind, dass sie anzeigen, ob ein Ticket gültig ist oder nicht.
Hier in Deutschland: wenn ein Busfahrer will, dass ich die Karte auf dem Scanner lege (wo sein Bordcomputer auch noch ist etc.), dauert es fast 2 Sekunden (wenn der erste Anlauf auch klappt), bis ein Ergebnis kommt. Da wundert es mich nicht, dass Busfahrer kaum richtig kontrollieren. Ich weiß auch nicht ob es an den Scannern liegt, warum das hier so unglaublich mies funktioniert.
Selbst wenn der Schaden stimmt, wie wärs wenn wir einen einzigen Finanzbeamten 2 Stunden arbeiten lassen, um Steuerhinterziehung von unseren hart arbeitenden Milliardären zu untersuchen? Sollten reichen um uns 10 Jahre Deutschlandticket-Betrug zu leisten
Bei der Bahn App ist das glaub so gewollt, musste mir vor nem halben Jahr von irgendeinem Hamburger Unternehmen die App runterladen, weil die zumindest ging
Da wird nichts "gehackt", Deutschland ist u.a. wegen der dämlichen girocard einfach nur zahlungstechnisch im letzten Jahrtausend hängengeblieben. Darum wird da auf die extrem unsichere Lastschrift gesetzt.
Ich habe mal für einen Verkehrsverbund im Bereich eTicket gearbeitet. War aber vor dem D-Ticket. Da habe ich eine Lücke im System gefunden. Damit hätte man unbemerkt gesperrte Tickets wieder entsperren und nutzen können, bis die Trägerkarte (max 5 Jahre Gültigkeit) abläuft. In der Theorie hätte man das im System sogar erkennen können, es war nur nicht implemetiert. Und jetzt ratet mal, ob sich jemand für die Lücke interessiert hat. Natürlich nicht. Das verantwortliche Unternehmen kam, alle kannten sich und das wurde für unwichtig befunden. Die ganze Branche ist höchstgradid inzestiös verbandelt und hat sich gut in der Nische eingenistet. Gibt halt immer mal schöne Fördergelder von der Politik. In einem freien Markt wären die längst alle pleite.
Sagen wir dreistellig heißt ca. 120.000.000€ und das Deutschlandticket kostet ca. 60€.
Das würde bedeuten, dass 2 Millionen Menschen das Ticket nutzen ohne zu zahlen. Das sind ca. 15% der Nutzer, (von 13,1 Mio. gem. VDV Factsheet 31.12.2024) bzw. jeder 6te.
Heißt, ich müsste nur ca. 6 Leute fragen und einer von denen würde mir zeigen, wie ich auch das Ticket kostenlos bekomme.
Aus einer anderen Quelle:
Das basiert auf betrügerischen Tickets, die wir zählen konnten. Drei Millionen solcher Tickets konnten wir identifizieren. Den Rest haben wir extrapoliert aus einem Vergleich der Leute, die in Umfragen angaben, mit dem Deutschlandticket zu reisen, mit den von den Verkehrsunternehmen verkauften Tickets.
Nicht zu vergessen, der Schaden ist nicht monatlich, sondern insgesamt. Das wären dan nur noch 250000 Nutzer pro Jahr, (bzw weniger wenn der untersuchte Zeitraum größer als 1 Jahr ist. Sie schreiben nur, das sie seit 1 Jahr daran arbeiten).
Selbst 250k Nutzer wäre nicht viel, wenn die Sache in Schulen, Berufsschule und Unis die Runde gemacht hat.
Den Rest haben wir extrapoliert aus einem Vergleich der Leute, die in Umfragen angaben, mit dem Deutschlandticket zu reisen, mit den von den Verkehrsunternehmen verkauften Tickets.
Das ist doch extrem ungenau, oder nicht? Also einerseits die Umfrage an sich, andererseits aber auch der Rückschluss von der Umfrage auf die Gesamtbevölkerung, für die du das komplette Mobilitätsverhalten aller Deutschen brauchst.
Alleine die Ungenauigkeit der Umfrage dürfte höher liegen als die identifizierte Fallzahl.
Jup aber "wir schätzen den Schaden auf 300Mio " erzeugt mehr Aufmerksamkeit als "wir glauben der Schaden ist 177Mio" ( basierend nur auf den gefälschten Tickets die sie wohl nachweisen konnten, wobei die bestimmt auch nicht einzeln gezählt wurden)
Ähm, im Artikel steht, dass es sich um drei Millionen Tickets handelt. Also circa 20% aller Tickets, die 2025 verkauft wurden (~13,5 Millionen). Du müsstest nur fünf Menschen fragen.
Das klingt für mich auch nach absurden Zahlen, aber ich zweifel auch nicht an der Aussage von Hackerinnen, die in wenigen Tagen darüber einen Vortrag auf dem CCC halten werden. Wir können auf jeden Fall gespannt bleiben. Vielleicht wurden diese Tickets auch nie in den offiziellen Zahlen registriert, da sie wohl nur für kurze Zeit gültig sind (bis der Zahlungsbetrug auffiel).
Das hätte ja vielleicht zu ner Verkehrswende geführt das können wir im Autoland Deutschland nicht brauchen. Dass man mit nem Bruchteil von den Steuergeschenken für Karren jede Person in Deutschland kostenlos fahren lassen könnte? Geschenkt!
Und wieder einmal bekommt es Deutschland aufgrund seiner Kleinstaaterei nicht gebacken!
Anstatt eine gemeinsame Infrastruktur für das DT aufzubauen und darüber die komplette Abwicklung zu machen, musste wieder mal jeder Verkehrsverbund sein eigenes Ding machen. Mit dem Ergebnis, dass hier mal ein privater Schlüssel verloren geht, dort eine Betrugsmasche mit IBANs funktioniert – und niemand kann diese Tickets dann vernünftig zurückziehen, weil davon zu viele Unbeteiligte betroffen wären und die Kleinstaatensysteme das untereinander nicht vorsehen.
Es ist zum Haareraufen! IT erhöht Effizienz durch Standardisierung und Skalierung. Mit Kleinstaaterei führt die direkt in die Hölle.
Soll das heißen Hunderttausende kaufen Deutschlandtickets bei Hehlern?
Deutschlandticket jetzt legalisieren /s
Deutschlandticket ist kein Brokkoli… oder so
bestimmt nach Werbung auf Instagram
Genau. Vermutlich 5€ billiger, oder halt normaler Preis, wer weiß. Viele können sich gar nicht vorstellen, was da abgeht.
Ich sag‘s immer wieder: Per Instagram-Werbung kannst du alles verkaufen.
Ich wundere mich auch immer wieder, wie Leute erzählen, dass sie xy über Instagram gekauft haben. Warum macht man sowas?! Wer zum Henker klickt auf Werbung??
Ich hab das Gefühl, dass Leute heutzutage nicht mehr so misstrauisch gegenüber Werbungen sind als vor 10-15 Jahren z.b.
Eine Theorie von mir ist, dass die Leute erwarten, dass die Werbung moderiert wird (Abgesehen von ein paar punkten wahrscheinlich), was einfach nicht der Fall ist.
Ich könnte wahrscheinlich einfach Werbung auf Facebook kaufen und Leute so abzocken, aber wehe du beleidigst jemanden.
Und dann gibt es da noch die ganzen Influencer, die bezahlte Werbung machen und wo Leute das einfach nicht als solche wahrnehmen. Obwohl es eindeutig ist.
Ich habe direkt ein neues Beispiel wo ein Familienmitglied gerade auf mich zugekommen ist und fragt wieso er 20€ bezahlen muss... Es war eine Vodafone Werbung in seinem E-Mail Postfach und der Grund war einfach nur, weil er den kleinen grauen text "Anzeige" nicht gesehen hat...
Oh Mann… Medienkompetenz…
Es ist auch absurd wie einfach du über Instagram Drogen kaufen kannst. Komplett offen, wirklich absurd.
Gefälschte Markenkleidung natürlich auch.
Gute Frage, der Artikel lässt einblicken das das Problem seit über 14 Monaten inzwischen bekannt ist, also ist durchaus davon auszugehen das der Betrug schon annähernd 2 Jahre läuft. Bei 3 Millionen Tickets sind irgendwas zwischen 100.000 und 250.000 Nutzer wohl auf solche Deutschlandtickets reingefallen.
Aber wir können durchaus davon ausgehen, das die Tickets über Websites verkauft wurden und nicht nur beim Hehler des Vertrauens. Gibt ja genug Menschen, die gerne 10, 20 oder 30€ sparen wollen und dann bei "Bahn Oberuntermittelfrankfurt" oder so einkaufen.
Zumal: Es scheint ja so als ob die Tickets nicht entwertet werden können, also wissen die Menschen die die Tickets kaufen vermutlich nichtmal, das sie Hehlerware kaufen.
traurige Süd-Ostwestfalen in Nordrhein-Westfalen Geräusche
Ein Sportteam könnte sich die Süd-Ost-Nord-Westfalen nennen :3
Nö. Einer kauft ein ticket und teilt es mit allen
Ne. Zwei Wege laut Vorschau des Vortrags (siehe Links weiter unten): - Fremde IBANs werden verwendet um Tickets zu kaufen, die werden dann weiterverkauft. - Die Tickets werden mit Schlüsseln erstellt, einer der privaten Schlüssel einer Busgesellschaft wurde anscheinend gestohlen und jemand erstellt jetzt Tickets damit.
Und natürlich gibt es im Neuland Deutschland keine Revocation List oder Turnusmäßige keychanges. Ist wahrscheinlich nichtmal vorgesehen. Softwarefehler. Kann man halt nix machen. Facepalm
Aber wehe die Schufa mag dich nicht, dann darfst du gar nicht erst.
Und weil ja so viel Betrug da ist, müssen wir jetzt abschaffen 🙄
Manchmal denke ich, die machen das extra. Die sagen den Software Ingenieuren, dass die mal früher Feierabend machen sollen, dann lässt man die Lücken, macht bei Entdeckung ein surprised Pikachu Face und fordert dann vehement die Abschaffung…
Kann mir sogar vorstellen, dass es bis 2030 nicht mehr existieret
jetzt für nur 9 Euro / Monat /s
Ok, und wie geht das? Ich bin bereit 9 Euro zu hinterlassen.
Das wirst du dir hier bald im Stream anschauen können: https://events.ccc.de/congress/2025/hub/en/event/detail/all-my-deutschlandtickets-gone-fraud-at-an-industrial-scale
ok was soll tag 1 hier bedeuten? wann genau beginnt der stream? bin interessiert
edit: https://events.ccc.de/congress/2025/hub/en/schedule
selbst auf der schedule page ist nix zu finden lol
Edit2: 502 Bad Gateway wurde gebanned, habe mein bestes getan, ich geb auf
Am ersten Tag des Chaos-Communication-Congress.
Wir haben aktuell Day -3, es geht am 27. los.
Jetzt weiß ich in welchen Vortrag ich gehen muss wenn ich da bin. Muss noch packen 😵💫
"502 Bad Gateway" teilt dir grob gesagt mit, das hintenraus was nicht funktioniert. Das bedeutet nicht, dass du gebannt wurdest o.ä.
Bei Interesse: Bei den HTTP-Status-Codes bedeutet alles, was mit einer 5 beginnt, dass auf Serverseite was schief gelaufen ist. Die Fehler, bei denen der Server meint, dass sie auf deiner Seite liegen, beginnen mit 4 (bspw. "403 Forbidden" wäre ein passender Status-Code, wenn man dich gebannt hätte).
Schlussendlich kann ein Webserver natürlich jede Anfrage mit jedem beliebigen Status-Code beantworten, aber so wäre es konventionell korrekt.
Hier werden sie geholfen: https://fahrplan.events.ccc.de/congress/2025/fahrplan/
Der Congress findet jedes Jahr vom 27.-30.12. statt
danke fuer den bescheid
Zwischen den Feiertagen eigentlich immer.27.-30. dieses Mal
Congress ist immer nach Weihnachten bis vor Silvester. Aber wird auch alles aufgenommen und auf media.ccc.de veröffentlicht.
Bei mir steht oben 16-17 Uhr day 1
Nice
Also dass es Verkehrsunternehmen gibt, die die Zahlungsinformationen nicht verifizieren und das Ticket sofort ausstellen, ist glaube ich seit dem Tag bekannt, als der Preis von 9€ auf 49€ angehoben wurde. Dass das immer noch ein Thema ist, ist das tatsächliche Problem.
Bei ca. 300 Verkehrsunternehmen pro Bundesland, also die können ja nicht alle das Fax abschaffen und die gedruckten Akten aufgeben? /s
Bei 9 Euro war der Schaden pro Ticket geringer.
Hat auch super funktioniert. 9 Euro in einen Automaten werfen, Name eintragen, mit Ticket und Ausweis fahren. War wohl nicht digital genug und Bedenken zu zweitrangig.
Um an mein jetziges Ticket zu kommen, habe ich eine handvoll Apps installiert, um einen Anbieter zu finden, dessen App nicht offensichtlicher Schrott ist und ich per paypal zahlen konnte.
Benutze den VRS für das Ticket, die senden immerhin eine strunznormale PKPASS Datei, die man im Google Wallet hinterlegen kann. Dadurch ist das Ticket komplett offline und benötigt keine Internetverbindung, nicht mal kurz für eine Verifizierung. Die DB App will dagegen einmal alle paar Stunden Internet haben, um die Tickets zu synchronisieren, denn die befinden sich stets auf dem Server und werden beim Start der App nur für ein paar Stunden gecached. Wenn man den Start der App mal vergisst und die Kontrolle ist zufällig in einem Funkloch, hat man daher erstmal Diskussionen, bis man wieder online ist und der Schaffner solange Geduld hat. Zwischen Blankenfelde und Wünsdorf habe ich 5 solcher weißen Flecken.
Ich habs vom RVV, Zahlung geht glaub nur per Lastschrift, aber das gibts ausschließlich als Wallet-Link, das Ticket ist in der App nichtmal verfügbar wenn man es wollte. Hatte damit auch noch nie Probleme.
Der Schätzung des Schadens würde ich erstmal nicht unbedingt trauen. Der andere Kram der da aufgelistet ist, ist aber schon eher peinlich. Den privaten Schlüssel nicht sicher aufbewahren ist absolut amateurhaft.
Ja, wobei das halt ein kleines Unternehmen ist, in dem sich niemand um IT Sicherheit kümmert, keine Seltenheit, eher die Regel.
Es gibt Hardware security modules, dann bekommt niemand den private key wieder raus. Und für diese Anwendung hätten die das auf jeden Fall verpflichtend vorschreiben sollen.
Schreibt der aktuelle "(((eTicket"-Standard (bald "etiCORE") soweit ich weiß auch vor. Die Schlüssel müssen zentral von der VDV eTicket Service GmbH signiert sein, und das machen sie nur, wenn du ganz doll versprichst, dass der Schlüssel nur in einem HSM existiert. Das geht sogar soweit, dass da verschiedene Level definiert wurden - wenn du Software dafür entwickeln möchtest, bekommst du einen "Level 1" bzw. "Level 2" zertifizierten Schlüssel, mit dem du Test-Tickets ausstellen kannst. Diese Schlüssel dürfen dann auch außerhalb von HSMs existieren (wobei es glaube ich so gedacht ist: Level 1: Schlüssel als Datei auf Entwicklerrechner, Level 2: Entwickler-Schlüssel in HSM). Erst die "Level 3"-Schlüssel (die eigentlich nur noch in HSMs existieren dürfen), können gültige Tickets ausstellen.
Soweit jedenfalls die Theorie, soweit ich da den Überblick habe.
Vermutlich ist hier halt der Fall, dass irgendwer gesagt hat "ihr müsst aber meinen Schlüssel signieren, sonst kann ich gar keine Deutschlandtickets verkaufen", und dann haben sie das zähneknirschend übergangsweise irgendwie gemacht, und das ist schiefgegangen (aber das ist nur eine Vermutung).
Ich bin immer mehr der Meinung das viele Regulierung im IT sec Bereich einfach nichts bringen. Das einzige was funktioniert ist eine gute Kultur im IT Bereich.
Und lustigerweisen verhindert Regulierung die oft, da dann auf einmal ganz viele Leute meinen das viele best practices nicht mehr gehen, wegen den ganzen Regulierungen (was natürlich Schwachsinn ist). Allgemein kann man das Problem in dem Bereich Imho nicht mit Regulierung lösen, sondern nur mit einem krassen Kulturwandel in den Unternehmen.
Den wird es aber nicht geben. Alleine wie viel da externe machen, und vor allen wie viele externe da rumdocktern die nur inhaltsfreie Dokumente erstellen...
Man braucht endlich eine vernünftige engineering Kultur. Selbständige Teams die selber priorisieren dürfen. Security steht lustigerweisen nicht unbedingt gegen bessere it, sondern viele Maßnahmen gehen Hand in Hand. Aber nicht wenn man lieber teure Tools kauft als wirklich sinnvolle Architektur zu machen.
Regulierung bringt eigentlich schon was, wenn allerdings die gesamte Kette der Entscheider so inkompetent besetzt ist, dass so ein Schlüssel überhaupt so ausgegeben wird und die Vorgaben zu massiv missachtet werden, dann zeigt das eher ein massives Kompetenz-Problem. Bei Google oder anderen größeren IT-Firmen müsste bei so einem Vorfall am nächsten Tag jede verantwortliche Person bei diesem Problem direkt gehen und hätte vermutlich große Schwierigkeiten in dieser Branche einen neuen Job zu finden. Die Engineering-Kultur bleibt schlecht, solange solche inkompetenten Menschen, in ranghohen Position sitzen, welche auch noch sehr gut verdienen.
Das Problem ist halt wenn Leute priorisieren und technische Entscheidungen treffen die Technik nicht verstehen und gleichzeitig jede Regulierung komplett bescheuert auslegen. Gleichzeitig aber eine komplett kaputte Fehlerkultur vorherrscht die die Teams daran hindert eigene Verantwortung zu übernehmen.
Blameless postmortem wäre auch deutlich besser als direkt Leute rauszuschmeißen. Und dann halt die Organisation anpassen und die Menschen ihren skills entsprechend einsetzen. Rausschmeißen ist auch nicht gut für die Kultur, da man ja möchte das Menschen Risiko und Verantwortung übernehmen.
Stimme da fast komplett mit dir überein, denke nur Vorgaben bezüglich Sicherheit sind meist schon sehr sinnvoll. Ich bin eigentlich auch dagegen Leute zu kündigen, aber in diesem Fall wurden absolut untragbare Entscheidungen getroffen, die deutlich zeigen, dass die Leute da absolut nichts verloren haben. Ich bin der Meinung bei Themen Sicherheit und Korrektheit, braucht man immer jemanden, welcher das fundamental versteht. Der Fehler ist hier, dass alle Beteiligten entweder dies nicht verstanden haben oder meinten sie verstehen es und könnten diese Entscheidung treffen, beides komplett untragbar.
Ja, die Management Ebenen die das verursachen werden am Ende eh nie Konsequenzen bekommen. Die sind eh nur destruktiv unterwegs. Wäre schön wenn es nicht überall der gleiche scheiß ist.
Regulierungen sind nötig weil die IT teams halt nicht die sind die entscheiden. Manager und chefs müssen gezwungen werden das allermindeste zu tun.
Ich habe in meiner karriere noch kein team gehabt was keinen bock darauf hatte sachen ordentlich umzusetzen. Es scheitert immer an den Vorgesetzten.
Ja, absolut. Nur leider werden die Regulierungen dann oft total dumm ausgelegt und führen zu noch mehr grauenhaften Prozessen.
Der Trick ist, du lässt den request eben nur von einem zugelassenen Gerät zu, dessen PK ist dann schon niemandem bekannt, auf den kannst du dann getrost ein Cert ausstellen und dann kann es auch nur das HSM wieder nutzen.
Aber ja, wie man es kennt, wird man weniger konsequent sein.
Yep. Ein Nitrokey HSM 2 kostet 99€: https://shop.nitrokey.com/shop/nkhs2-nitrokey-hsm-2-7
Dann hätten wir halt wieder die typische ewige Bedenkenträgerei, mit der das Ticket wahrscheinlich gar nie Realität geworden wäre.
Das entspräche etwa 140.000 Jahresabos des deutschlandtickets. Finde ich nicht so weit hergeholt. Arbeite in der Branche und kenne die genauen Zahlen auch nicht. Aber Schätzungen in der Größenordnung gehen um und sind mMn plausibel.
Das dürfte ja immer nur für einen Monat gehen (dann fällt auf, das die Lastschrift nicht geht). Dann sind es also 140k * 12 Monatsabos als individuelle Transaktionen.
Die Berechnung basierend auf tatsächlich verkauften Tickets und der Vergleich mit Umfragen finde ich halt nicht wahnsinnig überzeugend. Da dürfte der Fehler sehr groß sein (wir bekommen im Artikel halt auch nur eine Zahl und keine Bereich genannt). Es wird ja eine Differenz gebildet, da haut der Fehler in der Umfrage viel mehr rein als wenn man nur auf den absoluten Wert schaut. Und der statistische Fehler der Umfrage dürfte höher sein als die vermutete Quote an betrügerischen Tickets.
Sie haben auch angegeben, drei Millionen Tickets direkt identifiziert zu haben. Da wären die Details, wie sie das gemacht haben interessant.
Vielleicht unterschätze ich aber auch nur maßlos wie viele Leute solche Tickets auf irgendwelchen dubiosen Platformen kaufen.
Warum sollte das nur einen Monat gehen? Danach wird einfach eine neue Banknummer generiert und der Spaß beginnt von vorne.
Mein Punkt da war, dass man den Betrug jeden Monat wiederholen muss.
Wie hoch ist denn der Prozentsatz an "betrügerischen" D-Tickets?
An den Einnahmen gemessen (angenommen ca. 300 Mio. € Schaden) sind‘s gut drei Prozent.
Oh nein!
Das ist mehr als die Marge in vielen Branchen.
Kann ja nicht so schlimm sein wenn man die Sicherheitslücke nicht schließen lässt.
Zahlen ja andere.
Mit der nächsten Preissteigerung ist das wieder drin. ;)
Die Kosten steigen aber leider auch.
Immernoch günstiger als Jens spahn
Lächerliche 50 Millispahn
Not great, not terrible.
/r/VerfluchteEinheiten
"Leider haben Betrüger Sicherheitslücken genutzt um sich mit dem Deutschlandticket Leistungen zu erschleichen. Uns bleibt deshalb nichts anderes übrig, als das Ticket mit sofortiger Wirkung abzuschaffen. Die so entstandenen Einsparungen investieren wir in den Ausbau von Parkplätzen in den Innenstädten um so die lokale Wirtschaft anzukurbeln."
Parkplätze?! Wieso fließt das nicht in die Rente, denk doch mal einer an die armen Rentner:innen!11
Durch die neuen Parkplätze wird es einen ungebremsten Nachschub an r/RentnerfahreninDinge geben. Es wird eine großangelegte Show zu den Highlights mit Thomas Gottschalk als Moderator geben und die Werbeinnahmen werden direkt in die Rentenkasse umgeleitet.
Deutschland in einer Nussschale. Ich sag ja immer: die deutsche Seele hat einfach Angst vor allem, aber vor nichts so sehr wie vor Verantwortung und so schaffen wir Systeme, die den Individuen erlauben, sich hinter Regularien zu verstecken.
Das ist doch das Problem, wenn es nicht um das eigene Geld geht, passiert auch nichts.
Aber ist es wirklich ein Problem? Wird ja niemand wirklich geschädigt. Ist quasi der inoffizielle Freifahrtsschein.
? Die Infrastruktur und der Bahnbetrieb bezahlt sich nicht von selbst. Der Geschädigte sind wie auch bei Ladendiebstahl die ehrlichen Kunden, auf die die Kosten umgewälzt werden. Rein rechnerisch hätte man ohne diesen Diebstahl den Preis für das D-Ticket 2026 nur 3-4€ anstatt 5€ anheben müssen.
Das kommt auf die Dimension an. Es gibt Schwellenwerte, wo das zutreffen mag, also sagen wir zb. ab 50 Leute pro S-Bahn, wo dann ein zusätzlicher Waggon nötig wird. Zur Wahrheit gehört allerdings auch, dass die Gelder, die Unternehmen und staatliche Institutionen in die Hand nehmen verdammt unelastisch auf die Nachfrage reagieren. Im Zweifelsfall wird also einfach der Zug voller.
Das macht doch nur Sinn, wenn alle Betrüger sonst kein D-Ticket gekauft hätten, und das bezweifle ich.
Jemand welcher sich bewusst nen Fake Ticket holt um Geld zu sparen schreckt wahrscheinlich auch nicht davor zurück einfach Keins zu haben wenn es die Möglichkeit gegeben hätte.
zb Wenn die Strecke welche man fahren muss nicht gut kontrolliert wird oder so wieso nicht gleich 0€ zahlen? :p
Ist wie Piraterie bei Videospielen fast imo - Service zu teuer > Alternative > Garnix
Zu erwarten dass jeder welcher sich son fake ticket gegönnt hat auch den vollen preis bezahlen würde klingt mir eher unplausibel
Aktuell halt der Steuerzahler.
Nope. Der Zug fährt und ist bezahlt. Wenn man die Frage nach dem Geschädigten ganz genau nehmen möchte, muss man zuerst die Umstände des Hackers klarstellen: was würde er tun, wenn er nicht den freie Fahrt glitch nutzen würde? Würde er ein Deutschlandticket kaufen? Ein anderes Abo (z. B. ICE) abschließen? Fahrrad oder Auto fahren? Wie oft, was und wohin? Durch Föderalismus und die Strukturen des Öffentlichen Verkehrs sind das völlig unterschiedliche Geldtöpfe. Deswegen dauern die Verhandlungen ja auch immer so lang. Eine ehrliche Antwort ist aber auch einfach deswegen nicht möglich, weil man die induzierte Nachfrage durch das kostenlose Nahverkehrsticket kaum seriös bestimmen kann.
Das hat nix mit dem Zug zu tun.
Der Hacker fingiert eine Zahlung oder erstellt mit dem Schlüssel ein Ticket. Der Hacker verkauft dieses Ticket weiter. Das Geld ist beim Hacker und nicht beim Unternehmen.
Die Unternehmen haben in den letzten drei Jahren einen Ausgleich für Einnahmenfehlbeträge von Bund und Ländern erhalten. Hätten sie die Millionen in der Kasse gehabt, hätte die öffentliche Hand weniger Ausgleich gezahlt.
Ergo der Steuerzahler.
wie so üblich in D scheitert es am Kompetenzgerangel. Keiner nimmt mal die Zügel in die Hand und bessert nach. In Folge wird das Ticket noch teurer. Und es trifft die, die real dafür bezahlen. Ein IBAN Inhaber Check ist inzwischen kein Hexenwerk mehr. Allein hier wäre schon eine Massive Verbesserung durch Prävention möglich. Es gibt einige Dienstleister die FraudProtection anbieten. Natürlich nehmen sie dafür pro Vorgang ein paar Prozent aber im Verhältnis zum Schaden eher marginal.
Lastschrift sollte meiner Meinung nach für sofortige Leistungserbringung ohnehin nicht angeboten werden. Das Thema Kontodeckung, Rücklastschrift und Lastschriftrückgabe innerhalb von 90Tagen ist on Top ein hohes Risiko .
🤔😁
korrigiert
Fraud*
In diesem Fall scheinen es nicht geklaute IBANs zu sein, sondern komplett nicht existierende Konten. Aber einen Mittelsmann, der die Haftung übernimmt und das alles verifiziert oder trotzdem versucht das Geld einzutreiben, sollte es trotzdem geben. Ich meine, sowas auch beim DB Deutschlandticket gesehen zu haben, als ich das gekauft habe. Wieso werden da Bestellprozesse abgeschlossen, bevor das Geld da ist oder einem garantiert wird? Und ist das wirklich nur ein Problem des Deutschlandtickets oder generell des jeweiligen Onlineshops?
Betrug ist tendenziell eher weniger ein Problem für normale Onlineshops, die generellen Lastschriftrisiken rund um Zahlungsausfälle aber schon - dementsprechend bietet das auch kaum jemand an (und die wenigen die es tun, befragen idR vorher eine Auskunftei und bieten es Neukunden auch nur für physische Produkte an).
Das Deutschlandticket ist hier als digitales Produkt, das nicht nachträglich unbrauchbar gemacht werden kann schon in einer recht besonderen Lage - ist aber nicht so, als könnte man das Problem der fehlenden Rückrufbarkeit technisch nicht relativ einfach beheben.
Das wäre ja aber alles ein eher kleines Problem, wenn man die Tickets nach dem auffliegen des Betrugs invalidieren könnte, was anscheinend ja nicht geht.
Dann ist eine ausgedachte(?) IBAN halt der path of least resistance, aber die gleiche Methode ginge ja auch mit geklauten Kreditkarten/Paypalkonten und zig anderen Methoden. Tickets kaufen, verkaufen, in die Nacht verschwinden.
Gelten die denn dann länger als einen Monat?
Das ist halt die Crux dabei. Man hat es in Deutschland einfach schlicht und ergreifend versemmelt ein fernabsatzfähiges Zahlungsinstrument als de facto Standard zu etablieren. Das wird seit 25 Jahren moniert und passiert ist abgesehen von den Rohrkrepierern à la giropay/Paydirekt einfach gar nichts. Bei Wero macht man jetzt den gleichen Mist wieder.
Wer Lastschrift als Zahlungsmöglichkeit anbietet, der holt sich sowas eben ins Haus. Nicht cool aber halt auch nicht neu.
Jemand über dir hat geschrieben, das der angebliche Schaden, gemessen an den Gesamteinnahmen bei etwa 3% liegt. Wenn FraudProtection auch einige % will hat man kaum Gewinn aber zusätzliche Probleme.
Der Schmerz ist halt nicht groß genug um die Bequemlichkeit für die Kundschaft abzustellen.
Es könnte so einfach sein: das Ticket hat einen festen Preis, Service gibt's keinen, wieso muss das Ticket überhaupt von jedem verkauft werden? Eine Stelle mit Ahnung und vernünftiger IT und dann passt das. Stattdessen muss natürlich wieder jeder was zu sagen haben...
Und bevor mir jetzt wieder einer kommt das die Verkehrsbetriebe dann lieber ihre teureren und schlechteren Monatskarten an die Omis verticken: ja und? 1. machen die das sowieso schon und 2. hat Omi vielleicht dann auch einfach Pech. Ich habe keine Lust mich ständig um den DAU kümmern zu müssen...
Die verkehrsbetriebe der Kommunen sind stark im minus und brauchen die Einnahmen. Jeder Nutzer der über die DB bucht bringt denen kein Geld obwohl er deren services nutzt
Das liegt aber am bescheuerten Verteilmechanismus hinter dem D-Ticket. Eigentlich gehört das Geld alles in einen Topf und müsste dann anhand der Fahrgastzahlen ausgeschüttet werden.
Die Verteilung nach Postleitzahl ist ja schon nah dran.
Geht halt eher um den Vertriebsanreiz, der den verkaufenden Unternehmen zusteht.
Verstehe ich nicht. Erklär mal bitte.
Jedes Unternehmen, das D-Tickets verkauft, behält je nach Ticketart anderthalb bis zweieinhalb Euro vom Verkauf und gibt den Rest in die bundesweite Einnahmeaufteilung.
Wer also gute Werbung für seinen Vertriebskanal macht, kann noch ein paar Euro mehr für sich rausholen.
Ich habe keine Ahnung vom Verkaufen, aber bis zu 2,50 Euro klingt für mich nicht nach viel, wenn ich mir vorstelle, dass da ja Personal und Technik vorhanden sein muss.
Ob deine App jetzt ein Ticket mehr oder weniger verkauft, ist für deinen Aufwand relativ egal.
Bestes Beispiel: Deutschlandticket.de - ist dank SEO das Top Suchergebnis, dahinter steckt transdev, einer der größten privaten Bahnanbieter. Die agieren aber nicht wie zB Flixtrain, die ihren Betrieb mit dem Vertrieb gegenfinanzieren müssen sondern sind Auftragnehmer von Ländern und Verkehrsverbünden. Da ist das einfach sweetes Money zusätzlich.
Vertriebsanreiz? Großes Unternehmen bezuschusst D-Tickets für MA nur wenn dieses vom Anbieter am Stammsitz ausgegeben wird. Der Profit geht dahin, wo die Wirtschaftszentren sind, die Fläche muss leiden? Wenns danach geht, erscheint mir der Verteilmechanismus schon bescheuert.
Ich weiß gerade nicht genau, was du meinst, aber der Verteilmechanismus geht meistens nach den gängigen Verbundaufteilungen.
Das PLZ-Prinzip sorgt auch dafür, dass das Geld da hinkommt, wo verkauft wird. Egal bei wem gekauft wird. Ist dann nur der Vertriebsanreiz, der dann potenziell woanders bleibt.
Also bei mir in der RB „kontrollieren“ die Zugbegleiter nur noch zur Show, da sie ein gesperrtes Smartphone an die Deutschlandtickets halten.
Angesprochen darauf: Keine Lust auf Diskussionen mehr.
Die Scanner in unseren Bussen sind so scheiße, dass es nur 2 Optionen für den Fahrer gibt. Entweder er lässt jeden durch der einen QR Code zeigt oder er sammelt an jeder Haltestelle mindestens 10 min Verspätung.
Da hat sich das Thema Kontrolle auch erledigt.
Als ich vor 10 Jahren mein Auslandssemester in Schweden hatte, war es schon damals so, dass jeder Bus einen Scanner hatte, wo man einfach beim Einsteigen seine Bezahlkarte ran gehalten hat, die es in jedem Kiosk zu kaufen gab.
Irgendwas mit Neuland oder so.
Für die Bahn innerhalb Stockholms reicht mittlerweile das Vorhalten der eigenen Bankkarte beim Einstieg.
Japan ist uns ebenfalls weit voraus. Und das nicht nur auf die pünktlichkeitsquote der bahn bezogen.
Naja, bei Bussen fand ich Japan ganz schön rückschrittlich. Nicht nur unpünktlich, auch veraltet und jede Stadt ein anderes System (Zahlung bei Einstieg, Zahlung bei Ausstieg, vorne, hinten etc.). Zumindest führt die IC-Karte dazu, dass man einfach zahlen kann.
Beim Zugverkehr stimme ich zu. Das war einfach eine Reise in die Zukunft von unserem Standpunkt aus.
> Nicht nur unpünktlich, auch veraltet und jede Stadt ein anderes System
Also..... genau wie in Deutschland?
Außer in der Innenstadt wo man neue Elektrobusse schon sieht fährt die BVG hier auch noch mit echt alten Krücken rum (Fahren ja noch also juckt)
Fahr Ich in nen anderes Bundesland hat man auch direkt andere Bustickets/Regiotickets bzw. Ticketfirmen und muss meistens auch erstmal nachsehen welche Tickets dann da gültig sind oder nicht je nach Strecke
Naja Japan ist jetzt nicht gerade ein gutes Beispiel wo die Pünktlichkeitsquote sprichwörtlich Menschenleben kostet.
Abseits der Großstädte und der Shinkansen sieht das in Japan eher düster aus.
Dafür lebt aber auch der Großteil der Bevölkerung in solchen Großstädten.
Bei uns hapert es in den meisten Städten allerdings auch beim Nahverkehr. Imo nur Nürnberg ist mir wirklich positiv in Erunnerung geblieben.
Mitlerweile ist man in Schweden auf QR kod im Handy umgestiegen, dass vorne im Buss oder bei der Bahn gescannt wird*. Die Karten zum blippen gibt es aber auch noch.
Realtalk, ich hab bei mir in den Bussen noch nie selbst was gescanned oder so. Da wird maximal vorgehalten und dann biste drin, keiner ist da hinter her und wenn dann wird halt mal spontan kontrolliert.
Hab das D-Ticket dazu noch als Karte und nicht in einer App oder so, könnte rein theoretisch noch mit meinem längst abgelaufenen Azubi-Ticket fahren was eben auch eine Karte war, aber naja wir sind ja fair.
Ich war vor einigen Jahren in Paris und erstaunt, wie unglaublich schnell die Scanner an den Türen sind, dass sie anzeigen, ob ein Ticket gültig ist oder nicht.
Hier in Deutschland: wenn ein Busfahrer will, dass ich die Karte auf dem Scanner lege (wo sein Bordcomputer auch noch ist etc.), dauert es fast 2 Sekunden (wenn der erste Anlauf auch klappt), bis ein Ergebnis kommt. Da wundert es mich nicht, dass Busfahrer kaum richtig kontrollieren. Ich weiß auch nicht ob es an den Scannern liegt, warum das hier so unglaublich mies funktioniert.
Als ich mal paar Tage Bus fahren musste hat mir ein Kumpel einfach ein GIF von seinen Ticket erstellt.
Niemand hat je den Perso kontrolliert.
Euer Busfahrer guckt sich noch die Tickets an?? Hier kann man einfach durch gehen
bei mir hat einer neulich einfach nur auf mein digitales ticket geguckt, hat genickt und ist weitergegangen.
die Bahn setzt also mittlerweile Cyborgs mit QR-scannern in den Augen ein (und NFC-scannern in den händen!) :D
Irgendwo müssen die Leute aus der Coronazeit ja arbeiten. Die konnten die Impfpässe auch immer mit den Augen scannen.
Gut, dass es das Ticket nicht zum Ausdrucken gibt. Was da passieren könnte!
Denkt dran Deutschland will alle persönlichen Papiere digitalisieren. 👌😂
Selbst wenn der Schaden stimmt, wie wärs wenn wir einen einzigen Finanzbeamten 2 Stunden arbeiten lassen, um Steuerhinterziehung von unseren hart arbeitenden Milliardären zu untersuchen? Sollten reichen um uns 10 Jahre Deutschlandticket-Betrug zu leisten
Sowas machen wir in Deutschland nicht. Sonst würden unsere Leistungsträger ja das Land verlassen....
Ja besser ist das, lieber De-Ticket abschaffen und mehr arbeiten
Macht die K*cke wieder auf 9 Euro, dann lohnt sich der Hacker Scam auch nicht mehr.
Das funktioniert ja gut. Ich konnte vor 4 Monaten nichts kaufen, weil jede Authentifizierung fehlgeschlagen ist.
Bei der Bahn App ist das glaub so gewollt, musste mir vor nem halben Jahr von irgendeinem Hamburger Unternehmen die App runterladen, weil die zumindest ging
Da wird nichts "gehackt", Deutschland ist u.a. wegen der dämlichen girocard einfach nur zahlungstechnisch im letzten Jahrtausend hängengeblieben. Darum wird da auf die extrem unsichere Lastschrift gesetzt.
Ist ja wirklich widerlich, wie geht das?
Ich habe mal für einen Verkehrsverbund im Bereich eTicket gearbeitet. War aber vor dem D-Ticket. Da habe ich eine Lücke im System gefunden. Damit hätte man unbemerkt gesperrte Tickets wieder entsperren und nutzen können, bis die Trägerkarte (max 5 Jahre Gültigkeit) abläuft. In der Theorie hätte man das im System sogar erkennen können, es war nur nicht implemetiert. Und jetzt ratet mal, ob sich jemand für die Lücke interessiert hat. Natürlich nicht. Das verantwortliche Unternehmen kam, alle kannten sich und das wurde für unwichtig befunden. Die ganze Branche ist höchstgradid inzestiös verbandelt und hat sich gut in der Nische eingenistet. Gibt halt immer mal schöne Fördergelder von der Politik. In einem freien Markt wären die längst alle pleite.
Verstehe, dann lasst uns das Ding lieber komplett einstampfen! Kann ja nicht sein dass dort manche Menschen betrügen!
/s
Sagen wir dreistellig heißt ca. 120.000.000€ und das Deutschlandticket kostet ca. 60€.
Das würde bedeuten, dass 2 Millionen Menschen das Ticket nutzen ohne zu zahlen. Das sind ca. 15% der Nutzer, (von 13,1 Mio. gem. VDV Factsheet 31.12.2024) bzw. jeder 6te.
Heißt, ich müsste nur ca. 6 Leute fragen und einer von denen würde mir zeigen, wie ich auch das Ticket kostenlos bekomme.
(X) zum Zweifeln
Es kostet 60€ pro Monat.
Aus einer anderen Quelle: Das basiert auf betrügerischen Tickets, die wir zählen konnten. Drei Millionen solcher Tickets konnten wir identifizieren. Den Rest haben wir extrapoliert aus einem Vergleich der Leute, die in Umfragen angaben, mit dem Deutschlandticket zu reisen, mit den von den Verkehrsunternehmen verkauften Tickets.
Nicht zu vergessen, der Schaden ist nicht monatlich, sondern insgesamt. Das wären dan nur noch 250000 Nutzer pro Jahr, (bzw weniger wenn der untersuchte Zeitraum größer als 1 Jahr ist. Sie schreiben nur, das sie seit 1 Jahr daran arbeiten).
Selbst 250k Nutzer wäre nicht viel, wenn die Sache in Schulen, Berufsschule und Unis die Runde gemacht hat.
Das ist doch extrem ungenau, oder nicht? Also einerseits die Umfrage an sich, andererseits aber auch der Rückschluss von der Umfrage auf die Gesamtbevölkerung, für die du das komplette Mobilitätsverhalten aller Deutschen brauchst.
Alleine die Ungenauigkeit der Umfrage dürfte höher liegen als die identifizierte Fallzahl.
Jup aber "wir schätzen den Schaden auf 300Mio " erzeugt mehr Aufmerksamkeit als "wir glauben der Schaden ist 177Mio" ( basierend nur auf den gefälschten Tickets die sie wohl nachweisen konnten, wobei die bestimmt auch nicht einzeln gezählt wurden)
Zum einen hast du in deiner Rechnung irgendwo eine zwölf vergessen, zum anderen kriegen die das ja nicht umsonst sondern für 40€ oder so.
Die wollen dann lieber nicht genau nachfragen, warum das Ding so billig ist oder sind zu doof dafür.
Ähm, im Artikel steht, dass es sich um drei Millionen Tickets handelt. Also circa 20% aller Tickets, die 2025 verkauft wurden (~13,5 Millionen). Du müsstest nur fünf Menschen fragen.
Das klingt für mich auch nach absurden Zahlen, aber ich zweifel auch nicht an der Aussage von Hackerinnen, die in wenigen Tagen darüber einen Vortrag auf dem CCC halten werden. Wir können auf jeden Fall gespannt bleiben. Vielleicht wurden diese Tickets auch nie in den offiziellen Zahlen registriert, da sie wohl nur für kurze Zeit gültig sind (bis der Zahlungsbetrug auffiel).
~13,5 Millionen Tickets pro Monat.
Wenn es 9 Euro kosten würde dann würden vielleicht weniger Leute sowas machen
Das hätte ja vielleicht zu ner Verkehrswende geführt das können wir im Autoland Deutschland nicht brauchen. Dass man mit nem Bruchteil von den Steuergeschenken für Karren jede Person in Deutschland kostenlos fahren lassen könnte? Geschenkt!
Was ist daran in diesem Artikel jetzt neu? Die Erkenntnisse haben wir schon 2024 groß umher posaunt.
Und wieder einmal bekommt es Deutschland aufgrund seiner Kleinstaaterei nicht gebacken!
Anstatt eine gemeinsame Infrastruktur für das DT aufzubauen und darüber die komplette Abwicklung zu machen, musste wieder mal jeder Verkehrsverbund sein eigenes Ding machen. Mit dem Ergebnis, dass hier mal ein privater Schlüssel verloren geht, dort eine Betrugsmasche mit IBANs funktioniert – und niemand kann diese Tickets dann vernünftig zurückziehen, weil davon zu viele Unbeteiligte betroffen wären und die Kleinstaatensysteme das untereinander nicht vorsehen.
Es ist zum Haareraufen! IT erhöht Effizienz durch Standardisierung und Skalierung. Mit Kleinstaaterei führt die direkt in die Hölle.
Ja mhm mhm ok.
Was ist mit Steuerbetrug?
Also ist der Deutschlandticket-Betrug relevanter als die Bürgergeld-Reform?
Thats disgusting ... where?
RemindMe! 4 days
I will be messaging you in 4 days on 2025-12-27 15:27:59 UTC to remind you of this link
CLICK THIS LINK to send a PM to also be reminded and to reduce spam.
Parent commenter can delete this message to hide from others.
Tja... wundert mich nicht bei dem Preis
Zeugt nur davon dass es auch vielen anderen deutlich zu teuer geworden ist/nicht mehr lohnte :p
Dafür ist es fast unmöglich, ein Deutschland Ticket zu kaufen, wenn Mensch den Wohnsitz im Ausland hat. Tja.
Dreistellige Millionenhöhe? Na klar glaube ich sirrr
Um wie viel geht es bei den Totalverweigerern beim Bürgergeld? Gefühlt weniger als eine dreistellige Millionenhöhe, oder?
Würde mich nicht wundern wenn hier gezielt Lücken eingebaut wurden um ein Hintertürchen für ein schnelles Ende des Tickets zu ermöglichen.
Unterstelle nie eine Absicht, wenn es mit Inkompetenz erklärt werden kann.
Für so kompetent schätzt du unsere Politik ein? Du hast meine Bewunderung.
Unterstellst du den Beteiligten wirklich so viel Kompetenz und/oder Bösartigkeit?
Warum sollte man in DE mit der Bahn fahren? Würde ich nicht mal kostenlos machen beim aktuellen Zustand.