taz: Q Misell, wie kommen Sie darauf, dass die öffentlichen Verkehrsunternehmen im großen Maßstab Opfer eines Betruges mit dem Deutschlandticket wurden?

Q Misell: Es gibt zwei Gründe dafür. Einer besteht in technischen Fehlern, der andere in Verfahrensfehlern.

taz: Sie sprechen von Verlusten in dreistelliger Millionenhöhe. Wie kommen Sie zu dieser Schätzung?

Q Misell: Das basiert auf betrügerischen Tickets, die wir zählen konnten. Drei Millionen solcher Tickets konnten wir identifizieren. Den Rest haben wir extrapoliert aus einem Vergleich der Leute, die in Umfragen angaben, mit dem Deutschlandticket zu reisen, mit den von den Verkehrsunternehmen verkauften Tickets.

taz: Wie gingen die Betrüger vor?

Q Misell: In Deutschland ist es üblich, dass man per Direktüberweisung bezahlt. Dabei gibt es aber kein Verfikationsverfahren. Sie können echt aussehende, aber nicht existierende Bankkonten erzeugen. Viele Verkehrsunternehmen stellen Ihnen sofort ein Deutschlandticket aus, wenn Sie den Vertrag abschließen. Es kann aber sechs Tage dauern, bis die Bank die Zahlung verarbeitet hat und feststellt, ob es das Konto gibt und ob es gedeckt ist. Doch zu diesem Zeitpunkt ist das Ticket ja bereits ausgestellt worden, und es ist schwierig, es zurückzuholen, weil es von den Betrügern weiterverkauft wurde.

taz: Wo liegen die technischen Fehler?

Q Misell: Die Tickets werden mit Barcodes ausgestattet und digital signiert, wobei Kryptografie mit öffentlich-privaten Schlüsseln verwendet wird. Die Sicherheitsstands für den privaten Teil der Schlüssel sind sehr lax. Wie haben mindestens einen Fall gefunden, wo ein Verkehrsunternehmen die Kontrolle über seinen privaten Schlüssel verloren hat. Das war ein kleines Busunternehmen aus Sachsen-Anhalt. Wir vermuten, dass es wegen seiner Größe nicht viel Erfahrung mit Datensicherheitstechnologie hat. Das ermöglichte es, den Schlüssel zu stehlen und Tickets in dessen Namen auszustellen.

taz: Wurde das Unternehmen dadurch direkt geschädigt?

Q Misell: Nicht wirklich. In einer idealen Welt gäbe es Strafen dafür, bei der Informationssicherheit so zu schludern. Aber bis heute gibt es keine Regeln in der Vereinbarung zum Deutschlandticket, die Unternehmen für betrügerische Tickets haftbar machen. Den Schaden trugen alle Unternehmen davon, die diese Tickets akzeptierten und die Leute damit reisen ließen, ohne dass es dafür eine Kompensation aus dem Topf aller verkauften Deutschlandtickets gab.

taz: Was wäre zu tun, um so einen Betrug in Zukunft zu verhindern?

Q Misell: Es wird an höheren Sicherheitsstands gearbeitet, indem Verfahren, die Schlüssel zu schützen, formalisiert werden. Nicht so viel ist unternommen worden, um Verbesserungen beim Zahlungsverfahren zu formalisieren. Das ist immer noch sehr die Sache der einzelnen Firmen. Der Deutschlandtarifverbund arbeitet an einem Verfahren, das es ermöglicht, ein Ticket zurückzuholen und zu entwerten. Er bemüht sich auch darum, das Signieren der Tickets zu zentralisieren, weil der Tarifverbund besser organisiert ist und mehr Sicherheits-Knowhow hat als die einzelnen Unternehmen. Das entsprechende Sicherheitsportal des Verbundes ist aber bisher nur von zwei Unternehmen angenommen worden.

taz: Sie sagten, niemand wäre bereit, Verantwortung für diese Mängel zu übernehmen …

Q Misell: Wir haben an diesem Thema seit Oktober vergangenen Jahres gearbeitet. Die allgemeine Tendenz war, zu sagen: Das ist nicht unser Problem. Die Politiker sagen, das sei das Problem der Verkehrsunternehmen, die Verkehrsunternehmen sagen: „Wir tun nur, was uns vorgeschrieben ist“, und dann gibt es in der Mitte den Tarifverbund, der sagt: „Wir haben nicht die Macht, das zu regulieren.“ Alle zeigen mit dem Finger aufeinander.