Fahrausweis zum Selbstausdrucken Berlin patzt bei Einführung des 29-Euro-Tickets

Wer im Internet den Nachfolger des 9-Euro-Tickets bestellt, muss eine Weile warten, bis die entsprechende Chipkarte per Post kommt. Die Übergangslösung ist jedoch alles andere als fälschungssicher.
Berlins Regierende Bürgermeisterin Franziska Giffey (SPD, r.) und Bettina Jarasch, Senatorin für Umwelt, Mobilität, Verbraucher- und Klimaschutz (Grüne) werben für das 29-Euro-Ticket

Berlins Regierende Bürgermeisterin Franziska Giffey (SPD, r.) und Bettina Jarasch, Senatorin für Umwelt, Mobilität, Verbraucher- und Klimaschutz (Grüne) werben für das 29-Euro-Ticket

Foto: Lisi Niesner / REUTERS

Berlin prescht mit einer Nachfolgeregelung für das populäre 9-Euro-Ticket voran – und wie das beim Voranpreschen manchmal so ist, fallen Ungenauigkeiten nicht immer sofort auf.

Das für Oktober, November und Dezember erhältliche 29-Euro-Ticket für den Berliner Tarifbereich AB ist bereits erhältlich, in den Kundenzentren der Berliner Verkehrsbetriebe sowie auf der Website der BVG. Nötig ist dafür aber der Abschluss eines Abonnements. Neukundinnen und Neukunden, die das online erledigen, bekommen im Anschluss eine Bestätigung per E-Mail. Sebastian Pertsch ist einer von ihnen. Der Berliner Journalist bemerkte jedoch, dass das in der E-Mail beschriebene weitere Vorgehen geradezu das Gegenteil von fälschungssicher ist, wie er auf Twitter darlegt .

Denn bis die BVG den neuen Abonnentinnen und Abonnenten ihre Chipkarten per Post zuschickt, kann es einige Tage oder sogar Wochen dauern. Bis dahin, heißt es in der Mail, die Pertsch bekam, solle man sich die beigefügte Bilddatei der »Abo-Einstiegskarte« ausdrucken, den eigenen Namen eintragen und bei einer Fahrscheinkontrolle zusammen mit einem Ausweisdokument vorzeigen. Auch auf der »Abo-Einstiegskarte« selbst steht, dass sie ausgedruckt gültig ist, »in Verbindung mit einem Lichtbildausweis der auf der Abo-Einstiegskarte angegebenen Person«.

Pertsch aber fiel auf, dass die Bilddatei nicht einmalig ist, sondern für jede Kundin und jeden Kunden die gleiche, inklusive des QR-Codes für die Kontrolle. Erkennbar ist das daran, dass im Quelltext der Mail die Internetadresse (URL) der Bilddatei zu finden ist. Diese Adresse ist offen zugänglich und beinhaltet keinerlei Personalisierung. Sprich: Wer die Adresse kennt und aufruft oder die E-Mail eines Abonnenten weitergeleitet bekommt, kann sich die »Abo-Einstiegskarte« selbst ausdrucken und den eigenen Namen eintragen. Ob man wirklich ein Abo abgeschlossen, das Ticket also bezahlt hat, können Kontrolleure deshalb nicht unmittelbar feststellen. Kriminelle Energie gehört zwar dazu, aber die Hürde zum Betrug liegt extrem niedrig.

BVG: »Bisher nicht deutlich«

Auf Nachfrage reagierte die BVG schnell und ein wenig zerknirscht: Die Abo-Einstiegskarte mit QR-Code, teilte ein Pressesprecher dem SPIEGEL mit, gelte »nur im Zusammenhang mit der personalisierten E-Mail-Bestellbestätigung und einem Personaldokument. Ein Ausdruck ist nicht zwingend notwendig. Es reicht im Zweifel, die E-Mail-Bestellbestätigung und die Abo-Einstiegskarte mit QR-Code auf dem Handydisplay vorzuzeigen.« Das sei leider auch in den FAQ auf der Website der BVG »bisher nicht deutlich«, nun wolle man »umgehend nachbessern«.

Bislang stand dort zu lesen: »Solange dir deine VBB-fahrCard für Oktober 2022 noch nicht zugestellt wurde, gilt deine Abo-Bestellbestätigung (Abo-Einstiegskarte) die dir nach Bestellung als pdf-Datei übermittelt wurde, als persönliche Fahrtberechtigung, längstens jedoch bis zum 31.10.2022. Bitte führe diese in ausgedruckter Form und zusätzlich ein Personaldokument mit dir, um dich bei einer Kontrolle zu legitimieren.«

Dem Pressesprecher zufolge werden alle, die das Abo online abgeschlossen haben, »zeitnah per E-Mail darüber informiert«, dass die E-Mail zum Nachweis dazugehört, dafür aber nicht ausgedruckt werden muss. »Ab morgen wird der Name dann direkt in die Abo-Einstiegskarte eingetragen, sodass es dann doppelte Sicherheit gibt«, schrieb er weiter. Man bedauere »die unklare Kommunikation« und entschuldige sich »für etwaige Verunsicherungen«.

Ausnutzen ließe sich die »unklare Kommunikation« freilich trotzdem. Die E-Mail zu fälschen, mag etwas aufwendiger sein, als nur den Namen auf ein ausgedrucktes Papier zu schreiben, schwierig ist es aber nicht. Die Kontrolleure müssten die unklaren Ansagen der BVG ausbaden, Betrüger wiederum könnten darauf hoffen, dass etwaige Kontrollen vor allem in vollen Bahnen nicht so genau ausfallen.

Anders ausgedrückt: Was ist die »doppelte Sicherheit«, wenn das Sicherheitsniveau vorher bei null lag?

Die Wiedergabe wurde unterbrochen.