Posten Sie niemals Tickets mit Strichcodes!

25 Aug 2016

Sicherheits- und Medienexperten warnen davor, Bilder von Tickets online zu posten. Viele Leute folgen diesem Rat, aber nicht jeder. Immer wieder und wieder und wieder finden wir Fotos von Tickets auf sozialen Medien, besonders auf Instagram. Sehen Sie nur einmal unter #tickets nach.

Warum ist das nochmal eine schlechte Idee?

Das Problem mit dieser Art von Posts ist, dass User Tickets von Events posten, die noch stattfinden werden, und nicht daran denken, die Strichcodes und die daneben stehenden Zahlen zu verwischen oder zu verdecken. Kriminelle können sie von den Fotos kopieren und mit ihnen Tickets duplizieren – und sie weiterverkaufen oder das Event auf Kosten der Opfer besuchen.

Ticket

Die gleiche Regel gilt auch für Flugtickets: Kriminelle werden sich nicht auf Ihren Platz im Flugzeug setzen, aber sie können buchstäblich Ihre Reise ruinieren — die schlechtesten Plätze für Sie buchen oder sogar Ihren Rückflug stornieren. Alle nötigen Informationen für diese Tricks sind auf Ihrem Flugticket gedruckt, also posten Sie es nicht online. Wirklich nicht.

Ist es wirklich so ernst?

Erinnern Sie sich an eine Australierin mit dem Namen Chantelle, die beim Pferderennen des Melbourne Cup 730 € gewann? Sie postete ein Selfie mit ihrem Ticket und verlor so ihr ganzes Preisgeld.

Fast jedes Großevent erregt die Aufmerksamkeit von Cyberkriminellen. Letztes Jahr verloren Briten 5,2 Millionen Pfund durch Ticketbetrug, und die Situation wird nicht besser. Größere Sportevents, wie der Rugby World Cup oder die Fußball EM 2016 stehen ganz oben beim Ticketbetrug. Danach kommen Konzerte und Festivals.

Ticketdienste haben normalerweise Regeln, nach denen jeder Kunde Daten der Tickets Dritten vorbehalten muss. Das Veröffentlichen eines Fotos mit Ihrem Ticket kommt dem Teilen Ihrer Daten mit jedem, der das Foto sieht, gleich. Also, wenn Sie das tun, schieben Sie es nicht auf die Ticketdienste – sie können nichts machen, wenn Sie sich nicht an ihre Regeln halten und Ihre Tickets an Fremde weitergeben.

Das Posten von Tickets online ist auch ein guter Weg, um Einbrecher über das Datum und die Uhrzeit zu informieren, zu denen Sie nicht zuhause sind.

Warum werden individuelle Tickets mit Namen erstellt, wenn sie so einfach gefälscht werden können?

Wenn eine Person ihre Ticketbilder online stellt, kann das eine windige Verkettung von Ereignissen auslösen, bei der jemand anderes ein gefälschtes Ticket von einer Privatperson kauft und der originale oder der Käufer des gefälschten Tickets nicht an einem Event teilnehmen kann – nur weil jemand anderes ihr Ticket benutzt hat und vor ihnen da war. Kann man dieses Problem irgendwie lösen? Natürlich, Eventmanager können Ihre ID am Eingang überprüfen – mit etwas, wie einer Zwei-Faktoren-Authentifizierung. Aber im wahren Leben ist dieser Ansatz überhaupt nicht perfekt.

Zunächst können Ticketbesitzer verärgert werden, wenn es eine strikte Kontrolle für die Übereinstimmung von Namen und Ticket gibt. Zweitens ist es nicht praktisch. Wenn auf einem Event Hunderte von Menschen zusammenkommen, kann man ihre Identität überprüfen, aber nicht so viel Zeit dafür aufwenden. Wenn 30.000 Besucher zusammenkommen – ist es beinahe unmöglich. Stellen Sie sich ein Konzert vor, das nicht beginnt, da die Besucher stundenlang in einer Schlange stehen. Niemand möchte wegen strikten Sicherheitsmaßnahmen den Anfang eines Konzerts verpassen.

Zudem ist es sehr gefährlich, Führerscheine, Pässe oder andere Formen der offiziellen ID bei Großveranstaltungen offen bei sich zu tragen – Diebe können solche Dinge einfach in der Menge stehlen. Auf der anderen Seite können Konzertmanager den Opfern entgegen kommen und ihnen einen Platz anbieten – auch wenn er vielleicht nicht so gut ist, wie der, den sie zuvor erstanden haben. Dieser Ansatz hat auch seinen eignen Nachteil. Einige Personen missbrauchen diese Situation: Sie geben ihren Freunden ein Ticket, damit sie kostenlos auf ein Event kommen, und wenden sich dann an den Eventmanager, damit er das „Problem“ löst. Darum glauben viele Ticketkontrolleure Besuchern nicht, die bereits verwendete Tickets besitzen.

Leider gibt es keine Universallösung für dieses Problem – wir müssten ein neues Ticket-Identifizierungssystem erfinden, um es zu lösen. Bis dahin sollten wir alle aufmerksam sein und niemals Tickets und Dokumente online posten.

Gibt es einen Weg, Tickets sicher zu posten?

Ja, es gibt einen sicheren Weg. Wenn Sie ein Ticket posten möchten, müssen Sie wissen, was verdeckt werden muss. Sie müssen wissen, was ein Strichcode ist und wie er funktioniert.

Es gibt 1D-Strichcodes, mit denen kurze Informationen codiert werden und 2D-Strichcodes — um große Datenmengen zu verpacken.

Ein 1D-Strichcode basiert auf einem Binärcode. Nun, ok, es ist vielleicht ein bisschen komplizierter: Jede Dezimalzahl besteht aus sieben Strichen, die entweder weiß oder schwarz sein können. Manchmal werden schwarze Striche nicht durch weiße Striche getrennt, wodurch dickere Striche entstehen. Die letzten Striche des Codes bezeichnen normalerweise Prüfziffern, mit denen bestätigt werden kann, dass der Code korrekt gelesen wurde. Kino-, Konzert- und Flugtickets enthalten oft verschiedene Prüfziffern, die die im Strichcode angegebenen Daten bestätigen.

Einer der verbreitetsten 2D-Strichcodes ist QR-Code. Oft wird er benutzt, um Webseiten auf Mobiltelefonen schnell zu öffnen, aber nicht immer: man findet sie z. B. auf IRCTC-Zugtickets in Indien. Viele Flugtickets enthalten auch 2D-Strichcode (nicht direkt QR, aber einen PDF417). Hier ist eine gute Seite, die über den Gebrauch von 2D-Strichcodes zum Kartenverkauf bei Quora informiert.

2D-Strichcodes bestehen aus schwarzen und weißen Streifen, die auch – Sie erraten es – 1 und 0 sind. Aber 2D-Strichcodes sind komplizierter als 1D, da sie normalerweise nicht nur einige Prüfziffern haben, sondern auch spezielle Bereiche für die Kameras, um 2D-Strichcodes als Strichcodes zu erkennen. QR-Codes z. B. haben drei unterscheidbare Streifen an ihren Rändern.

Wenn Sie Tickets online posten möchten, müssen Sie den Strichcode komplett, zusammen mit den unteren Ziffern, unkenntlich machen. Obwohl Ticketkontrolleure Scanner benutzen, um Strichcodes zu lesen, können Kriminelle den Code mithilfe der angegebenen Ziffern wiederherstellen.

Unterm Strich raten wir davon ab, Tickets vor dem Event ins Internet zu stellen, selbst wenn Sie den Code unkenntlich machen – können Kriminelle mit Erfahrung in Social Engineering die fehlenden Daten aus Ihnen oder Ihrer Umgebung hervorlocken. Wenn Sie Ihre Freude mit anderen teilen möchten, können Sie einfach etwas schreiben, wie: „Hi! Ich gehe auf das Black Sabbath-Abschiedskonzert!“