Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
"Die haben ja wohl alle Lack gesoffen!"
Geschrieben: 17.05.2024
Letzte Überarbeitung: 19.05.2024
Stichwörter: Sicherheit
Zweifelhafte und kontraproduktive Bonitätsüberprüfungen durch die Deutsche Bahn beim Fahrkartenkauf über bahn.de und DB Navigator
Wenn man unterwegs ist, hat man meist nicht viel Gepäck dabei. Bahnschalter gibt es immer weniger, Automaten nicht überall, und so ist oft das Smartphone das einzige Mittel, um schnell an eine Fahrkarte zu kommen. Letztere muss man dann natürlich bezahlen, und da erscheint das SEPA-Lastschriftverfahren am einfachsten.
Doch dafür hat die Bahn jetzt eine Bonitätsprüfung eingeführt, die vielerorts Kopfschütteln hervorruft, so z. B. bei dem Blogger Felix von Leitner, der mit dem Ausspruch "Die haben ja wohl alle Lack gesoffen!" reagierte und zum Boykott des Verfahrens aufrief.1
Vorgeschichte: Fahrkartenbetrug
Eine ausgetüftelte Masche brachte erst Bahnkund*innen und schließlich auch auch die Deutsche Bahn selbst in Schwulitäten:
Die Betrüger*innen schnitten zunächst unverschlüsselte WLAN-Verbindungen mit und griffen dabei E-Mails mit der Bahn heraus. Dann hackten sie die Konten bei der Bahn, indem sie "Passwort vergessen" klickten und sich eine neues Passwort per (wiederum mitgeschnittener) Mail zuschicken ließen. Die Mailadresse der Bahn-Konten änderten sie dann und hatten nun vollen und ungestörten Zugriff auf die Konten, während die Eigentümer*innen sich wunderten, auf ihre Konten nicht mehr zugreifen zu können.
Nun bestellten sie Fahrkarten und stornierten dann den Kauf gleich wieder, erhielten dafür (nicht-personengebundene) Gutscheine, und verkauften im Internet Fahrkarten zu Schnäppchenpreisen, die sie mit den erbeuteten Gutscheinen bezahlten.
Die Eigentümer*innen der gehackten Bankkonten wurden dabei abkassiert, hingen in Warteschleifen der Bahn-Hotline fest und wenn sie dran kamen, wurde ihnen nicht geholfen.
Irgendwann kam das alles auf, und die Bahn musste Millionen blechen. Aber dass Sie selbst die Masche mit Ihren Gutscheinen (anstatt bei Stornos einfach zurückzuüberweisen) ermöglicht hatte, sah die Deutsche Bahn nie ein, sondern sah die Verantwortung für die Sicherheit nur bei den Kund*innen.
Die ganze Geschichte lesen Sie in der Berliner Zeitung (14.04.2022).
Deutschlandticket: Vermehrte Betrugsfälle
Im September 2023 meldet die Bahn wieder mehr Betrugsfälle, siehe tagesschau.de: "Strengere Kontrollen wegen gefälschter Deutschlandtickets".
Nun die Bonitätsprüfung
Im Januar 2024 beschwerte sich Mike65 darüber, dass ihm beim Erwerb eines Deutschlandtickets für die Verifikation des Bankkontos eine Bonitätsprüfung durch Tink2 oder Verimi3 zugemutet wurde. Er musste dabei die Login-Daten für das Onlinebanking preisgeben und den Zugriff auf Bankumsätze gestatten, obwohl seine Bank in den AGB4 eine Preisgabe der Kontodaten explizit verbietet. Er hat danach das Banking-Kennwort geändert, sah aber (meiner Ansicht nach völlig zurecht) die Prozedur nicht ohne Bauchschmerzen.5
(Mike65 hatte sich bei der Bonitätsprüfung für Tink entschieden, weil Verimi bereits durch einen gravierenden Datenskandal aufgefallen war, siehe Computerbild (28.07.2022)).
Die Bahn verweist nun darauf, dass seit Einführung der Bonitätsprüfung die Zahl der Betrugsfälle zurückgegangen ist.6
Aber kann man es sich so einfach machen? Ist es OK, wenn die Bahn die Betrugsmaschen auf Kosten der Sicherheit ihrer Kund*innen bekämpft?
Die Bonitätsprüfung ist nicht nur eine Zumutung sondern ein Skandal!
Die Forderung, einem Zahlungsdienstleister das Banking-Passwort zu überlassen, ist zumindest im Privatkundengeschäft skandalös und IMHO illegal: Wie ich in dem Blog-Artikel "Passwortsicherheit" herausgearbeitet habe, ist das Stillschweigen über ein Kennwort einer der vier essenziellen Aspekte der Passwortsicherheit. Man teilt ein Kennwort in aller Regel nur dem Dienst oder dem Programm, für den/das es bestimmt ist, mit. Es gibt nur wenige Ausnahmen:
- Evtl. die Übergabe an eine zweite oder dritte Person, wenn solch eine weitere Zugriffsmöglichkeit ersatzweise erforderlich ist und dies sich nicht durch zusätzliche Administrations-Konten bewerkstelligen lässt.
- Ein versiegelter Notfallkoffer, der bei Krankheit, Unfall oder Tod an Verwandte, Erb*innen oder Kolleg*innen übergeben wird.
- Bei Chipkarten ist die Eingabe einer PIN durch ein Gerät, das jemand anders gehört, erforderlich, da die Chipkarte naturgemäß über kein eigenes Eingabegerät verfügt. (In diesem Fall ist es zwar theoretisch möglich, dass die Besitzer*in des Geräts die PIN mitschneidet, aber das würde ihr nicht viel nützen, solange sie nicht auch in den Besitz der Chipkarte kommt).
Jede weitere Ausnahme würde die Geheimhaltung von Kennwörtern konterkarieren. Zumindest im Normalfall.
Ich habe gehört, dass es im B2B-Geschäft wohl Fälle von Bonitätsprüfungen gibt, bei denen die Weitergabe von Online-Banking-Daten Usus ist, siehe dazu Bank of Scotland: "Was macht Tink"7. Z. B., wenn eine Auto-Werkstatt für 200.000 Euro Autos im Kundenauftrag einkaufen will und ihre Bonität nachweisen muss. Da kann man natürlich ein speziell dafür eingerichtetes Geschäftskonto (mit Zustimmung der Kund*innen) einrichten, das man dann z. B. Tink gegenüber offenlegt, um zu beweisen, dass man immer nur sehr kurzfristige hohe Kredite benötigt, die umgehend wieder getilgt werden.8 Die neue europäische Zahlungsdiensterichtlinie PSD2 ermöglicht und reguliert genau solche Fälle (siehe Bundesbank: "PSD2").
Das heißt aber nicht, dass PSD2 nun erlaubt, dass Privatkund*innen auf breiter Ebene gedrängt werden dürfen, ihre Banking-Passwörter offenzulegen. Allerhöchstens dürfte diese Form der Bonitätsprüfung als Ultima Ratio angeboten werden, falls (in seltenen Fällen) alle anderen Möglichkeiten ausfallen.
Wie könnte es denn die Bahn besser machen?
Natürlich muss die Bahn den Betrug bekämpfen. Sie muss die Konten bei bahn.de besser schützen. Sie sollte auch überprüfen, ob die Besitzer*in des bahn.de-Kontos Zugriff auf das angegebene Bank-Konto hat. Und sie kann sich natürlich auch der Bonität versichern.
- Mir fällt z. B. auf, dass die Bahn als Kundendaten im Normalfall gerade mal Anrede, Name, Kundennummer, E-Mail-Adresse und Geburtsdatum speichert. Eine 2-Faktor-Authentisierung (über SMS oder Authentisierungs-App) ist möglich, erschwert dann aber den Zugriff, auch wenn man eilig nur Reisedaten, wie eine geänderte Zugreihung abrufen will. Wieso wird nicht die Mobilrufnummer und/oder Festnetznummer mit gespeichert? Diese wäre z. B. im Fall "Passwort vergessen" niederschwellig hilfreich, um Missbräuche zu verhindern, auch wenn die 2-Faktor-Authentisierung nicht angeschaltet ist.
- Wenn eine 2-Faktor-Authentisierung angeschaltet ist, muss wohl bei jedem Login die SMS abgeholt oder die Authentisierungs-App benutzt werden. Das erhöht die Schwelle für die Benutzung der 2-Faktor-Authentisierung. Besser wäre es, ein Cookie auf dem Anmelde-Gerät zu setzen, das bei späterem erneuten Login ausgelesen werden kann und dann als zweiter Faktor (ohne SMS oder Authentisierungs-App) dient. Erst bei Fehlen des Cookies käme dann die SMS oder die App zum Einsatz.
-
Für die Überprüfung, ob die Kund*in Zugriff auf das angegebene Bankkonto
hat, könnte eine Vorabüberweisung eines kleinen Betrags (der dann mit
kommenden Fahrkarten verrechnet wird) den Beweis erbringen. Z. B. ein
Cent oder ein Euro oder auch zwei oder drei.
Eine solche Überprüfung sollte jedoch nicht bei jedem einzelnen Fahrkartenkauf nötig, sondern abhängig von der Zeit und dem Gesamtumsatz seit der letzten Überprüfung und dem Betrag für den aktuellen Fahrkartenkauf sein. - Für die Überprüfung der Bonität, sollte ein digitaler Blick in die bisherigen Umsätze mit der Kund*in genügen. Wenn die Bahn schon insgesamt tausende Euros mit dieser Kund*in umgesetzt hat und hunderte im letzten Jahr, dann sollte doch eine weitere Fahrkarte über 400 Euro per Lastschriftverfahren kaum ein Risiko bedeuten. Hat es noch nicht so viele positive Erfahrungen gegeben, sollte eine Vorkassen-Überweisung möglich sein. Viele Banken bieten untereinander inzwischen Echtzeitüberweisungen an, da geht das schnell, sonst dauert es meist nur wenige Tage.
- Wenn es Stornos gibt, sollte die Bahn grundsätzlich das Geld auf dem gleichen Weg zurückerstatten, auf dem sie es bekommen hat. Hätte sie dieses Prinzip schon immer befolgt, so wäre es zu der eingangs beschriebenen Betrugsmasche gar nicht erst gekommen.
Sicherheitsabteilung für bahn.de und DB Navigator bei der Bahn?
In einem Telefonat mit der Beschwerdestelle bei der Bahn erfuhr ich, dass es eine eigene digitale Sicherheitsabteilung bei der Bahn gibt. Bezüglich des eigentlichen Bahnbetriebs dürfte damit die IT-/OT Sicherheit gemeint sein. Mich würde aber interessieren, was es bezüglich des Online-Fahrkartenverkaufs an Sicherheitabteilung gibt und was die so treibt. Wichtig wäre, dass deren Mitarbeiter*innen sich mal in die Perspektive von Hacker*innen, aber auch mal in die von Kund*innen versetzen. Von außen betrachtet sieht es jedoch so aus, dass dort wohl eine Art Betriebsblindheit vorherrscht. (Nur so kann man verstehen, dass sie Privatkunden die beschriebene Bonitätsprüfung mit Tink oder Verimi zumutet.)
Die beschriebenen Probleme sind der Bahn nun schon seit Monaten bekannt. Auch bei den früheren Betrugsfällen hat die Sicherheitsabteilung versagt. Möglicherweise hilft hier nur ein kompletter Neuanfang, d. h. zumindest die Neubesetzung der Spitze dieser Sicherheitsabteilung.9
Was haben sich die Verantwortlichen bei dem Thema wohl gedacht? Gut möglich, ja sogar ziemlich wahrscheinlich ist, dass sie gemeint hatten, dass man die Überprüfung, ob Kundenkonten gehackt worden sind, angegebene Bankkonten überhaupt den Besteller*innen von Fahrkarten gehören und die Bonität ausreichend ist, lieber Firmen überlassen sollte, die darauf spezialisiert sind.
Der Gedanke, externes Know-How in Anspruch zu nehmen ist naheliegend und überhaupt nicht verkehrt. Aber ein komplettes Outsourcing digitaler Sicherheitsmaßnahmen ohne eigene kompetente Kontrolle und ohne gründliches Abklopfen, ob die von Dritten vorgeschlagenen Maßnahmen auch verhältnismäßig sind oder es sinnvollere Alternativen gibt (auch wenn diese dann evtl. nicht outgesourced werden können), ist schlicht verantwortungslos.
Die Bahn hat schließlich die Generalunternehmerschaft in allen Leistungen gegenüber ihren Kund*innen, also auch die komplette Verantwortung für alle Fragen der digitalen Sicherheit. Diese abzuschieben, geht nicht! Die nötige Kompetenz für die Durchsetzung einer aus der Perspektive der Kundschaft akzeptablen Funktionalität der Software in Punkto Sicherheit ist in Eigenregie der Deutschen Bahn aufzubauen!
Aber wie komme ich vorerst an meine Fahrkarten?
(Nachfolgende Hinweise gelten nur für einfache Fahrkarten und Rückfahrkarten, nicht für Abos, wie z. B. das Deutschlandticket. Für letzteres dürfte Giropay kaum funktioneren. enn man über eine Suchmaschine "deutschlandticket ohne bonitätsprüfung" bekommt man Hinweise, aber ob die vorgeschlagenen Verfahren immer noch ohne Tink und Verimi funktionieren, kann ich leider nicht überprüfen.10)
Tatsächlich gibt es – solange die Bahn obige Ratschläge nicht berücksichtigt – keinen anderen Weg, als ein anderes Zahlungsmittel als die Lastschrift zu wählen. giropay ist eine Möglichkeit, die von den Banken gewöhnlich im Rahmen des Online-Bankings angeboten wird, erfordert dann aber auf dem Smartphone eine 2-Faktor-Authentisierung (Eingabe von zwei Kennwörtern in verschiendenen Apps). D. h. so bequem wie die Lastschrift ist sie nicht.11
Auch bei der Kreditkarte gibt es auf dem Smartphone für Zahlungen eine extra Überprüfung, die evtl. ein zweites und drittes Kennwort für die Bestätigung erfordert, aber bei kleinen Beträgen entfällt dies oft. Wenn man eine Kreditkarte ohnehin hat, würde ich sie für die Bahn als Zahlungsmittel priorisieren, sonst eher giropay.
Andere Zahlungsmittel wie PayPal und ApplePay sind auch möglich, erfordern aber jeweils ein weiteres Konto, das extra gepflegt werden sollte und somit Aufwand erfordert: Wahl eines starken, nicht bereits woanders genutzten Kennworts, Speicherung dieses Kennworts, evtl. Sicherheitsabfragen, die ebenfalls gespeichert werden müssen, evtl. viel Mails, die man gar nicht bekommen möchte.
Keine Option ist jedoch, dem Ansinnen der Bahn nachzugeben und Tink oder Verimi Zugriff auf das Bankkonto zu gewähren. Wer dies tut, geht in der Regel ein unkalkulierbares Risiko ein. (Und man liefert zudem Daten von Freund*innen und Bekannten, mit denen man im Zahlungsverkehr steht, den Zahlungsdienstleistern aus.) Die Bank würde im Schadensfall keinen Ersatz leisten, da man dann ja bewusst gegen die AGB verstoßen, sich also grob fahrlässig verhalten hat.
1) Siehe heise online: "Deutschlandticket: DB verlangt Bankkonto-Bestätigung bei Lastschrift-Kauf" und Fefes Blog.
2) Siehe Tink Homepage. Tink ist ein Tochterunternehmen von Visa, siehe Tink Pressemitteilung.
3) Siehe Verimi Homepage und auch Süddeutsche Zeitung "Absturz eines Vorzeigeprojekts"
4) Auch bei unserer Hausbank (VR-Bank Werdenfels) wird in den Sonderbedingungen für das Online-Banking der AGB die unverschlüsselte Weitergabe des Banking-Kennworts explizit verboten:
"7 Sorgfaltspflichten des Teilnehmers
7.1 Schutz der Authentifizierungselemente
(2) Zum Schutz der einzelnen Authenfizierungselemente hat der Teilnehmer
vor allem Folgendes zu beachten:
(a) Wissenselemente, wie z. B. die PIN, sind geheim zu halten; sie dürfen
insbesondere [...] nicht außerhalb des Online-Banking in Textform [...]
weitergegeben werden [...]"
5) Siehe ice-treff.de.
6) Siehe heise online: "Deutsche Bahn: Betrugsfälle durch Bankkonto-Bestätigung zurückgegangen".
7) Zu der Aussage der Bank of Scotland "Tink selber hat als ISO 27001-zertifiziertes Unternehmen zu keiner Zeit Einblick in Ihre Daten" ist anzumerken, dass es technisch unmöglich ist, absolut zu verhindern, dass Tink einen Einblick haben kann. Es ist höchstens möglich, einen solchen Einblick durch technische und organisatorische Maßnahmen sehr unwahrscheinlich zu machen.
Ob die ISO 27001-Zertifizierung12 zu dem Ergebnis führt, den die Bank of Scotland behauptet, kann also keineswegs mit absoluter Sicherheit beantwortet werden.
Zur Untermauerung dieser skeptischen Anmerkung siehe nochmals Computerbild (28.07.2022). Schließlich ist auch Verimi ein ISO 27001-zertifiziertes Unternehmen, siehe "Über uns – Über Verimi" (Abschnitt "Unsere Zulassungen & Zertifizierungen für Ihre Sicherheit)".
8) Aber auch im B2B-Geschäft sollte äußerste Vorsicht in Sachen digitaler Sicherheit herrschen: Nur das gegenüber der Bonitätsprüfung offen zu legende Geschäftskonto sollte durch den Online-Banking-Zugang erreichbar sein. Also nicht etwa, dass mit diesem Online-Banking-Zugang weitere Konten oder auch ein Postfach (für Mitteilungen der Bank) verwaltet werden.
Auch sollte nach jeder Offenlegung das Kennwort für das Online-Banking geändert werden.
Und: Man muss natürlich auch die Zustimmung der eigenen Kund*innen, deren Überweisungen in den Bankumsätzen auftauchen, einholen, bevor man solche personenbezogenen Daten Dritten gegenüber offenlegt.
9) Ich sage das ganz bewusst so hart. Nicht umsonst habe ich Felix von Leitner zitiert. Wenn monatelang Hinweise, dass hier etwas gewaltig schief läuft, ignoriert werden (oder zumindest überhaupt nicht kommuniziert wird, dass man vielleicht an dem Problem arbeiten will), dann stinkt der Fisch in der Regel vom Kopf her.
10) Eine solche Überprüfung wurde ja nur etwas bringen, wenn man sich sicher sein könnte, dass die Überprüfung mit Tink oder Verimi nicht schon morgen eingeführt oder abgeschafft würde. Daher lohnt die damit verbundene Arbeit nicht.
Wir haben also bezüglich des Deutschlandtickets eine ganz ungute Situation, für die aber allein die Deutsche Bahn verantwortlich ist.
11) Man sollte den Gesichtspunkt der Bequemlichkeit im Zusammenhang mit digitaler Sicherheit nicht gering schätzen: Bequemlichkeit fördert die Akzeptanz von Sicherheitsmaßnahmen, Unbequemlichkeit führt leicht zur Vernachässigung der Sicherheit.
12) Siehe Wikipedia "ISO/IEC_27001".