Das Versprechen von kostenlosen Zugtickets für junge Erwachsene, um durch Europa zu reisen und Freundschaften zu fördern, wirkt ansprechend und modern. Die Aktion „Passe France Allemagne“ sollte genau das erreichen: 30.000 Interrail-Pässe, verteilt an junge Menschen zwischen 18 und 27 Jahren in Deutschland und Frankreich. Was jedoch als symbolische Geste für deutsch-französische Freundschaft begann, entwickelte sich rasch zu einem Paradebeispiel für digitale Pannen, mangelhafte technische Planung und gravierende Sicherheitslücken. Im Zuge dieses Prozesses offenbarte sich nicht nur die Schwäche des Ticketbuchungssystems, sondern auch ein aufsehenerregendes Datenleck mit knapp 245.
000 Datensätzen bei einem vergleichbaren EU-Projekt namens DiscoverEU. Die Demontage einer gut gemeinten Initiative zeigt exemplarisch, wie wichtig robuste IT-Sicherheit und Nutzerfreundlichkeit bei der Umsetzung moderner digitaler Lösungen sind. Der Startschuss der Ticketvergabe für „Passe France Allemagne“ fiel am 12. Juni 2023 um 10 Uhr. Erwartungsgemäß sehnten sich zehntausende junge Menschen nach dem heiß begehrten Interrail-Pass.
Doch die Plattform erwies sich als völlig unvorbereitet auf den Ansturm. Anstatt die Anmeldung problemlos abzuwickeln, wurde der Server sofort überlastet, was für viele Nutzer Frust und Enttäuschung bedeutete. Diese technische Überforderung ist ein klassisches Beispiel für mangelnde Skalierbarkeit und fehlendes Lastmanagement. Dabei hätte man sich durchaus an bewährten Maßnahmen orientieren können: Etwa eine Verteilung des Verkaufszeitraums oder ein Losverfahren anstelle eines „Wer zuerst kommt, mahlt zuerst“-Prinzips. Die Folge war, dass nur User mit Glück und Geduld überhaupt einen Registrierungsversuch erfolgreich starten konnten.
Neben der Überforderungsproblematik zeigte sich bald, dass auch die Basisfunktionalitäten des Systems fehlerhaft implementiert waren. Die „Passwort vergessen“-Funktion beispielsweise schickte den Nutzer nicht zur sicheren Wiederherstellung des Passworts, sondern auf eine fehlerhafte Seite, deren URL zu einem unregistrierten Vercel-Projekt führte. Vercel ist eine Plattform zur Bereitstellung webbasierter Anwendungen, bei der Domainnamen an Projekte gekoppelt sind. Werden diese nicht registriert, kann jeder Dritte die Adresse beanspruchen und beispielsweise für Phishing einsetzen. Glücklicherweise wurde das Problem von einem sogenannten „White-Hat“-Sicherheitsforscher entdeckt und gemeldet, der die Domain registrierte und somit die Gefahr bannte – allerdings zeigt dieses Detail, wie wenig hinterher gedacht wurde.
Doch das war nicht die einzige Sicherheitslücke. Die Kontrolle darüber, wie viele Tickets ausgegeben wurden, wurde de facto außer Kraft gesetzt. Die Booking-Plattform zeigte zwar nach Erreichen der Marke von 30.000 vergebenen Pässen eine Auslastungsanzeige, die den weiteren Bestellprozess verhinderte, allerdings bestand eine Art Hintertür: Nutzer, die den Bestellprozess angefangen, aber nicht abgeschlossen hatten, erhielten per E-Mail einen Link, mit dem die Bestellung finalisiert werden konnte. Dieser Prozess ließ sich allerdings umgehen.
Mittels einfacher Befehle konnten neue Codes generiert werden, womit weitere Pässe beantragt werden konnten, auch lange nach offiziellen Ende der Aktion. Diese Lücke bot technisch versierten Personen die Möglichkeit, sich unrechtmäßig Interrail-Pässe zu sichern. Mit dem Gefühl, dass hier grundlegende Sicherheitskonzepte fehlen, wandten sich die Entdecker der Schwachstellen an diverse Stellen – vom Deutschen Bahn-Sicherheitsteam über das Bundesministerium für Verkehr bis hin zu CERT-Bund, der zentralen Anlaufstelle für IT-Sicherheitsvorfälle. Anfangs wurden ihre Berichte nicht ernst genommen, oder gar ignoriert. Doch als die Veröffentlichung weiterer Tickets sichtbar wurde und nicht nur der erste Backdoor-Hinweis, sondern auch eine offene Nutzung der API zur Registrierung erkannt wurden, griffen Verantwortliche schließlich ein.
Eurail, der Anbieter der Interrail-Pässe, bestätigte letztlich, dass die Sicherheitslücken geschlossen wurden und begann, fälschlich vergebene Tickets zurückzufordern. Der Vorgang bot einen Warnschuss in Sachen IT-Sicherheit: Eine Software wird nicht sicherer, weil Details ihrer Funktionsweise verborgen bleiben. Im Gegenteil, offene Schnittstellen (APIs) sind moderne Standards, die eine transparente und kontrollierte Nutzung ermöglichen. Die Sicherheit entsteht durch das richtige Absichern dieser Zugänge, also durch robuste Authentifizierung und sorgfältige Rechtevergabe. Ein Türschloss versteckt man nicht, man schließt es ab.
Doch der Alptraum war an dieser Stelle noch nicht vorbei. Die Recherchen führten zum EU-weiten Projekt DiscoverEU, einem Programm, das seit 2018 18-jährigen jungen Menschen kostenlose Interrail-Pässe ermöglicht. Erstaunlicherweise wurde es von denselben Agenturen umgesetzt wie das deutsch-französische Projekt. Nach einer kurzen Analyse offenbarten die Sicherheitsforscher eine massive Schwachstelle: Auf einer internen Plattform waren fast 246.000 Registrierungen für DiscoverEU ohne ausreichenden Schutz zugänglich.
Namen, E-Mail-Adressen, Herkunftsland, Status der Anmeldung, Ticketarten und komplette Bestellnummern konnten mit minimalem technischem Aufwand abgerufen werden. Dieses Datenleck stellt einen schwerwiegenden Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) dar und wirft Fragen zu Verantwortung und Kontrolle bei der Verwaltung öffentlicher Förderprogramme auf. Die Betroffenen der Datenpanne sind mehr als nur Nummern in einer Datenbank. Es handelt sich um junge Menschen, die ihr Vertrauen in öffentliche Angebote gesetzt und dabei sensible persönliche Informationen bereitgestellt haben. Werden diese Daten offen im Netz zugänglich, drohen Identitätsdiebstahl, Phishing-Attacken und weitere Missbräuche.
Das Vertrauen in digitale Behördenprozesse kann dadurch nachhaltig beschädigt werden. Das verantwortliche Unternehmen reagierte jedoch zügig, nachdem der Datenkatalog durch die Sicherheitsforscher gemeldet wurde. Die Registrierungsfunktion wurde gesperrt und eine externe Sicherheitsüberprüfung eingeleitet. Betroffene wurden informiert, und es wurden Maßnahmen getroffen, um die Vorgaben der DSGVO umzusetzen und weitere Schäden zu verhindern. Dennoch bleibt die Frage offen, wie es zu einer solchen Konzeption kommen konnte, die weder grundlegende Zugangssicherungen berücksichtigte noch eine praxistaugliche Datenschutzstrategie umsetzte.
Die Beispiele aus „Passe France Allemagne“ und DiscoverEU sind symptomatisch für eine häufig unterschätzte Gefahr: Digitale Projekte und Dienstleistungen im öffentlichen Bereich wachsen schnell, während deren Sicherheitsarchitekturen zu oft nur unzureichend geplant sind. Gerade bei Initiativen, die eine hohe öffentliche Aufmerksamkeit erzeugen, ist eine enge Zusammenarbeit von IT-Sicherheitsexpertinnen mit Entwicklerteams unerlässlich. Fehler bei der frühen Planung und Umsetzung zeigen sich schnell, führen zu Datenpannen und fressen letztlich Zeit, Geld und Image – auf Kosten der Betroffenen. Neben der technischen Implementierung spielt zudem eine klare Kommunikationsstruktur eine entscheidende Rolle. Fehlende oder nicht bekannte Sicherheitskontakte beziehungsweise eine schleppende Reaktion auf Meldungen von Sicherheitsforschern verschärfen Risiken unnötig.
Idealerweise sollten Verantwortliche für jede digitale Anwendung ihr Sicherheitsteam klar benennen und über gut zugängliche Kanäle erreichbar sein, um potenzielle Schwachstellen früh zu erkennen und zu beheben. Das Etablieren einer sogenannten security.txt auf Webseiten kann hier ein erster kleiner Schritt sein, der große Wirkung entfalten kann. Am Ende des Tages zeigt die Geschichte von der versuchten Bahnfahrkarte bis zum Datenleck mit Hunderttausenden Datensätzen eine bittere Wahrheit: Gute digitale Produkterlebnisse und hohe Sicherheitsstandards passen zusammen wie Schienen und Züge. Nur wenn sie Hand in Hand gehen, entstehen vertrauenswürdige und nutzerfreundliche digitale Angebote, die ihren Zweck erfüllen, ohne Schaden anzurichten.
Die Initiativen „Passe France Allemagne“ sowie DiscoverEU verdienen prinzipiell große Anerkennung für ihre Intention, europäischen Zusammenhalt und Mobilität der Jugend zu stärken. Doch der Erfolg solcher Programme hängt maßgeblich von der sorgfältigen technischen Umsetzung und Sensibilität für Datenschutz ab. Hier gilt es Lehren aus diesen Vorkommnissen zu ziehen, um zukünftige Projekte besser, sicherer und gerechter zu gestalten. Für die Nutzer bedeutet dies auch, wachsam zu bleiben und sich bewusst zu machen, dass nicht alle vermeintlich großzügigen Online-Angebote gut geschützt sind. Man sollte seine Daten stets mit Bedacht teilen und bei ungewöhnlichen Vorgängen besonders vorsichtig sein.
Ebenso wichtig ist es, Forderungen an Behörden und Dienstleister zu stellen, die nachweislich professionelles Sicherheitsmanagement garantieren. Der Fall ist Mahnung und Weckruf zugleich. Während Europa seine Jugend über Zugverbindungen näher zusammenbringen möchte, verbindet dieses digitale Debakel eine andere Route: die zur dringend erforderlichen Stärkung von IT-Sicherheit und Datenverantwortung in öffentlichen Projekten. Nur so kann das Vertrauen der Nutzer langfristig gesichert und echte Fortschritte im Bereich digital unterstützter Mobilitätsangebote erreicht werden.
