Viele Bahnfahrer buchen ihre Tickets online und bezahlen sie einfach per Lastschrift. Dieser Tage ist das aber nur eingeschränkt möglich, was gerade im Weihnachtsgeschäft viele Fahrgäste vor Probleme stellt. Wegen Betrugsfällen sieht sich die Bahn gezwungen, einige Zahlungsarten nicht mehr anzubieten. Das Unternehmen beobachtet „verstärkt betrügerische Aktivitäten“, die dazu führen, dass die Buchung von Tickets mit bestimmten Zahlungsmitteln eingeschränkt wurde. Man bitte um Verständnis, so ein Bahnsprecher gegenüber der dpa – eine Formulierung, die Bahnkunden gut kennen dürften.  „Wir arbeiten mit Hochdruck daran, dass unsere Services so schnell wie möglich wieder wie gewohnt zur Verfügung stehen werden.“ Einen Zeitrahmen nannte das Unternehmen nicht.

Kunden des Unternehmens können aktuell über die App DB-Navigator sowie per Bahn.de keine Ticketbestellungen mehr per Lastschrift bezahlen, sofern die Tickets stornierbar sind und rückerstattet werden können. Bereits im November hatte das Unternehmen die Summe, die per Lastschrift beglichen werden konnte, auf 150 Euro gesenkt. Doch das Problem der Bahn ist hausgemacht und resultiert aus einer Änderung, die speziell für Sparpreistickets im Sommer eingeführt wurde: Während bisher Ticketstornierungen abzüglich einer Bearbeitungsgebühr von 19 Euro auf dieselbe Weise rückerstattet wurden, wie die Zahlung geleistet wurde, fallen zwar seit August nur noch 10 Euro Bearbeitungsgebühr an, der Rest wird aber in Form eines Gutscheins, der drei Jahre gültig ist, erstattet. Die Bahn wollte sich so das Geld, das sie ja schon als Umsatz eingenommen hat, nicht mehr streitig machen lassen – was sie im Prinzip aus rechtlicher und wirtschaftlicher Sicht auch darf – hat sich damit aber gründlich ins Knie geschossen. Das Unternehmen spekulierte wohl außerdem darauf, dass – wie bei allen Gutscheinsystemen üblich – ein Teil der Gutscheine nicht eingelöst wird.

Die Gutscheine waren dabei nicht personen- oder kontogebunden und ließen sich nicht nur online, sondern auch am Automaten und im Reisezentrum gegen neue Fahrkarten tauschen. Dabei konnte der siebenstellige Code auch einem bestimmten Geschäftsvorfall zugeordnet werden, weil Fälle bekannt sind, in denen die Bahn entsprechende siebenstellige Codes gesperrt hat, wenn sie den Betrug mitbekam. Betrüger, die die Gutscheine schnell zu Geld gemacht haben, dürften dagegen leichtes Spiel gehabt haben (und den „faulen“ Gutschein damit an einen anderen Kunden weitergegeben haben).

Kriminelle haben offenbar in mehr als nur Einzelfällen Tickets auf fremde oder fiktive Konten mit per Phishing oder im Internet erbeuteten tatsächlich funktionierenden (Bank-)Kontoverbindungen gekauft und dazu das Lastschriftverfahren genutzt. Offenbar sind vor allem Zugangsdaten mit hinterlegten Lastschriftdaten dabei zum Einsatz gekommen, möglich sind aber auch per Phishing erbeute Zahlungsdaten aus anderen Quellen. Die Gutschein-Codes, die bei der darauf folgenden Stornierung anfielen, wurden dann offenbar zu Geld gemacht. Auch heute noch finden sich in den einschlägigen Kleinanzeigenportalen entsprechende Angebote. Da die siebenstelligen Codes auch bei anderen Aktionen der Bahn zum Einsatz kommen, ist selbst für gut informierte Bahnkunden übrigens nur schwer zu erkennen, ob die jeweiligen Codes ergaunert wurden oder ob es sich um korrekte Codes handelt.

In welchem Umfang die Bahn – oder vielmehr die Kunden, die offenbar per Phishing oder auf anderem Wege ihre Kontodaten preis gegeben haben – geprellt wurden, ist unklar: „Bei den derzeit hier bekannten Fällen handelt es sich auch um hochpreisige Buchungen im Wert von bis zu 2.500 Euro je Fahrtstrecke“, so die Bundespolizei in Potsdam auf Anfrage der Deutschen Presse-Agentur. Wie hoch der Schaden aber insgesamt ist und um wie viele Fälle es sich handelt, teilte die Polizei nicht mit. Kunden sollten deshalb besonders vorsichtig sein, wenn ihnen per Kleinanzeige oder an Bahnhöfen Stornogutscheine mit den siebenstelligen Einlösecodes angeboten werden.

Auch wenn die Buchung funktioniert, können im Nachhinein Ärger oder Nachfragen drohen. Um die Herkunft der Gutscheine zu verschleiern, kauften die Täter nämlich mit diesen teilweise auch neue Bahn-Tickets, stornierten diese erneut, um einen anderen Gutschein-Code über den Restwert zu erhalten. Das geht dann im Fall eines regulären Flexpreis-Tickets vor Beginn der Gültigkeit sogar ohne Abzüge und weitere Probleme. Spätestens dann verlor sich nämlich die Spur der Gutscheine und die Täter konnten weitgehend sicher sein, dass die Kunden mit dem Gutschein keine Probleme bekamen.

Die Bahn betont, dass es sich in keinen Fall um einen Hack des Bahnsystems gehandelt habe. „Stellen Kunden unberechtigte hohe Abbuchungen für Fahrkarten von ihrem Konto fest, dann sollten sie die Lastschrift durch ihre Bank widerrufen lassen und sich umgehend mit uns in Verbindung setzen“, so die Bahn. Vernünftig sei auch eine polizeiliche Anzeige gegen Unbekannt wegen Betrugs.

Auf den Seiten der Bahn-Community im Internet entlädt sich der Zorn etlicher Bahnfahrer. Bemängelt wird eine fehlende Information für die Kunden, die zum Teil seit langer Zeit das Lastschrift-Verfahren nutzen. Viele verweisen darauf, dass das 3D-Secure-Verfahren nicht kurzfristig verfügbar sei, sondern erst nach Rücksprache mit der Bank. Klar ist: Die Betrügereien sind auch nicht wegen der Zahlungsart Lastschrift möglich geworden, sondern wegen des von der Bahn geänderten Rückzahlungsmodus bei stornierten Tickets.

An dem im August eingeführten Verfahren der Storno-Rückzahlung will die Deutsche Bahn dagegen festhalten. Kunden in der Bahn-Community im Internet schlagen dagegen vor, wieder zur Rücküberweisung des Betrags auf das Konto zurückzukehren oder andere, sichere Verfahren zu wählen. Denkbar wäre aber auch ein anderer Weg: Die Erstattung personengebunden oder (Bahn-)kontogebunden auszuführen, was aber dazu führen würde, dass Kunden den Gutschein nicht einfach im Freundeskreis weitergeben oder offline benutzen können. Hilfreich wäre auch, wenn die Gutscheincodes zwar per E-Mail an die Adresse des Stornierenden versandt werden, nicht aber einfach über das Bahnkonto abrufbar wären. Dann bestünde zwar immer noch ein Restrisiko, ein Betrüger müsste aber zusätzlich zum Bahnportalzugang auch den Zugang zum hinterlegten E-Mail-Konto des Betrogenen haben. (mit Material von dpa)

Das könnte dich auch interessieren: Modelleisenbahn mal anders: Deutsche Bahn schult Mitarbeiter mit AR und VR