Sicherheitsmanagement und Datenaustausch sind Kern unserer Arbeit

Das Sicherheitsmanagement bei (((eTicket Deutschland sorgt für sichere Einnahmen bei den Verkehrsunternehmen und -verbünden. Gleichzeitig schützt es die Daten der Fahrgäste. Egal, ob diese Chipkarten oder Handytickets nutzen. Alles, was wir tun, erfüllt internationale Sicherheitsstandards: Unsere Systeme sind mehrfach verschlüsselt, unser Sicherheitsmanagement orientiert sich an den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Wird ein kryptografisch abgesichertes Ticket kontrolliert, fließen viele hochkomplexe Daten zwischen Smartphone, Hintergrundsystem und Kontrollgerät hin und her. Das muss schnell gehen – egal, wie groß die Last im System gerade ist.Dafür zu sorgen, dass Daten wie Gültigkeit und Geltungsraum des Tickets schnell kontrolliert werden können, ist ebenfalls Aufgabe unseres Sicherheitsmanagements.

Für das seit Mai 2023 gültige Deutschland-Ticket hat das Präsidium des Verbands Deutscher Verkehrsunternehmen (VDV) am 23. März 2023 in einer Sondersitzung per Beschluss das Einhalten eines Mindest-Sicherheitsniveaus für das Deutschland-Ticket eingefordert und beschlossen. Daraufhin haben wir ein Zentrales PV-System, kurz ZPVS, errichtet, das seit 25. April 2023 in Betrieb ist. Dieses ZPVS ist nicht nur wichtig für die Systemsicherheit, es kann auch wichtige Informationen über die genaue Anzahl aller D-Tickets an die Einnahmeaufteilung liefern. 
Natürlich sind auch alle Datensätze, die an das ZPVS versendet werden, pseudonymisiert und werden verschlüsselt über ein eigens gesichertes Netzwerk verschickt. 



Datenschutz & Sicherheit beim D-Ticket


So funktioniert das Sicherheitsmanagement von (((eTicket Deutschland

2006 haben wir gemeinsam mit der Deutschen Telekom Security GmbH ein dreistufiges Sicherheitssystem für das Ticketing im ÖPV entwickelt. Das grundsätzliche Verschlüsselungsprinzip gibt es zwar auch bei anderen Anwendungsbeispielen. Unser Sicherheitsmanagement bildet aber noch einige projekt- beziehungsweise branchenspezifische Besonderheiten wie die Übertragbarkeit von Tickets oder regionale Gültigkeitsbereiche ab.

Die Deutsche Telekom Security GmbH kümmert sich um den Aufbau und Betrieb unserer Public Key Infrastructure (PKI). Diese PKI besitzt eine sogenannte Root-CA (Certificate Authority), von der sich alle weiteren Verschlüsselungskomponenten (Sub CA) für Hintergrundsysteme, Terminals und (((eTickets ableiten. Mit diesen Sub-CAs werden Zertifikate ausgestellt, mit denen sich die Echtheit - beispielsweise von Handytickets - überprüfen lässt.

Was unser Sicherheitsmanagement für Fahrgastdaten bedeutet, lesen Sie hier.

Wir als VDV-ETS steuern den Sicherheitsprozess und den Web-Service ASM-Tool (Applikations- und Sicherheitsmanagement-Tool). Im ASM-Tool können die (((eTicket Deutschland-Teilnehmer die Komponenten unseres Sicherheitsmanagements (unter anderem Schlüssel, SAMs oder Zertifikate) bestellen. 

Den internen Datenaustausch der Verkehrsunternehmen regeln wir über equensWorldline SE Germany. Der Dienstleister betreibt für uns die ‚Zentrale Vermittlungsstelle‘ (ZVM) und das ‚Interoperable Netzwerk‘ (ION), das die Grundlage des Datenaustausch bei (((eTicket Deutschland bildet.

Die zweite Generation unseres Sicherheitsmanagements (2GSI) kommt

Die Root CA, die die Systeme von (((eTicket Deutschland vor Manipulation schützt, ging 2006 in Betrieb. Damals haben wir für diese Root CA eine Laufzeit von 20 Jahren festgelegt. Danach muss ein neuer Schlüssel her, der technisch auf dem allerneuesten Stand ist. Entsprechend passen wir ab 2026 unsere gesamte Sicherheitsinfrastruktur an; die zweite Generation unseres Sicherheitsmanagements tritt in Kraft. Auch darum kümmert sich die Telekom Security GmbH. 

Im Rahmen der Umstellung auf 2GSI vereinfachen wir das Keymanagement-System – und entwickeln die Version 3.0 des Ticketing-Standards VDV-Kernapplikation: (((etiCORE.

Ihr Ansprechpartner für Fragen zum Sicherheitsmanagement

Dr. Gunter Weinerth, Leiter Produkt- und Sicherheitsmanagement

Dr. Gunter Weinerth
Leiter Produkt- und Sicherheitsmanagement

E-Mail: weinerth@vdv.de