Franzi, Lisa, Gunter

Datum: 01.05.2023 | (((eTicket Deutschland

Wir sorgen für Sicherheit und Datenschutz im eTicket-System

Das Deutschlandticket gilt überall. Entsprechend müssen alle Systeme und alle Kontrollgeräte in ganz Deutschland prüfen können, ob das vorgezeigte Ticket echt und gültig ist. Im Hintergrund übernimmt das Zentrale PV-System (ZPVS) genau diese Aufgabe. Es ist Teil unseres Sicherheitsmanagements für Tickets im ÖPNV und sorgt dafür, dass jedes ausgegebene Ticket nachvollziehbar ist und Kopie oder Fälschung bei Kontrollen auffallen.

Seit dem 1. Mai 2023 gibt es das Deutschland-Ticket im monatlich kündbaren Abo. Ein solches deutschlandweit gültiges Abo-Ticket braucht auch ein nationales Sicherheitsmonitoring, bei dem z.B. geprüft wird, ob zu jedem Kontrollnachweis auch eine Ausgabetransaktion vorliegt. Sprich: Wurde das Ticket, das gerade in der U-Bahn kontrolliert wurde, auch tatsächlich verkauft oder handelt es sich um eine Kopie oder Fälschung?

Damit sich das überprüfen lässt, müssen alle nationalen Tickets in einem revisionssicheren System existieren. Ein solches System betreiben wir: das Zentrale PV-System (ZPVS) für das Deutschland-Ticket.

Das ZPVS ist Teil unseres Sicherheitsmanagements für digitale Tickets im ÖPNV und kann unter anderem wichtige Informationen über die genaue Anzahl aller D-Tickets an die Einnahmeaufteilung liefern. Damit das klappt, müssen die Vertriebs- und Kontrollsysteme aller Verkehrsunternehmen und -verbünde in Deutschland ihre Ausgabe- und Kontrollnachweise an dieses System senden. Um diese Kontrollhinweise kümmern sich bei uns Abdin, Bolu und Cezary aus dem ZPVS-Team.

Zur ZPVS-Zentrale

Wird ein Ticket kontrolliert, läuft im Hintergrund mehr ab als nur „gültig“ oder „ungültig“. Zwischen Kontrollgerät, Ticket und Hintergrundsystem werden Daten ausgetauscht und geprüft. Das passiert in Sekundenbruchteilen. Auch dann, wenn viele Kontrollen gleichzeitig stattfinden. Die technische Infrastruktur ist darauf ausgelegt, diese Prüfungen schnell und zuverlässig durchzuführen. Unabhängig davon, ob das Ticket auf einer Chipkarte gespeichert ist oder auf einem Smartphone.

So funktioniert das Sicherheitsmanagement von (((eTicket Deutschland

Hinter allen digitalen Tickets, auch dem Deutschland-Ticket, steht ein mehrstufiges Sicherheitskonzept, das wir 2006 gemeinsam mit der Deutschen Telekom Security nach den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik entwickelt haben.
Eine zentrale Rolle spielt dabei eine Public Key Infrastructure (PKI). Sie sorgt dafür, dass Tickets eindeutig geprüft und nicht manipuliert werden können. Zertifikate stellen sicher, dass nur autorisierte Systeme Tickets ausgeben und kontrollieren können.

Zusätzlich betreiben wir die zentralen Systeme für den Datenaustausch zwischen Verkehrsunternehmen und -verbünden. Dazu gehören unter anderem die Vermittlung der Datenströme sowie Werkzeuge für das Schlüssel- und Sicherheitsmanagement. Das grundsätzliche Verschlüsselungsprinzip gibt es zwar auch bei anderen Anwendungsbeispielen. Unser Sicherheitsmanagement bildet aber noch einige projekt- beziehungsweise branchenspezifische Besonderheiten wie die Übertragbarkeit von Tickets oder regionale Gültigkeitsbereiche ab.

Dieses Zusammenspiel aus Verschlüsselung, Zertifikaten und Systemarchitektur bildet die Grundlage für ein sicheres und interoperables Ticketing im ÖPNV.

Was wir machen

Wir als VDV-ETS steuern den Sicherheitsprozess und den Web-Service ESH (eTicket Security Hub). Im ESH können die (((eTicket Deutschland-Teilnehmer die Komponenten unseres Sicherheitsmanagements (unter anderem Schlüssel, SAMs oder Zertifikate) bestellen.

Den internen Datenaustausch der Verkehrsunternehmen regeln wir über equensWorldline SE Germany. Der Dienstleister betreibt für uns die Zentrale Vermittlungsstelle (ZVM) und das Interoperable Netzwerk (ION), das die Grundlage des Datenaustausch bei (((eTicket Deutschland bildet.

Mehr über uns