Das Märchen mit den personalisierten Tickets

Ich war bei den Heimspielen gegen Dresden und Darmstadt im Stadion und werde auch am Samstag Abend gegen Sandhausen dort sein. Für alle drei Spiele habe ich mir personalisierte Tickets zugelegt und möchte nun, nachdem man einen einmaligen Fehler ausschließen kann, auf einen schwerwiegenden Systemfehler hinweisen, der den eigentlichen Grund für personalisierte Tickets, die Möglichkeit zur Kontaktnachverfolgung im Fall einer unkontrollierten Corona-Infektion, ad absurdum führt.

Nachdem man im Online-Ticketshop des HSV den Platz ausgewählt und das Ticket bestellt hat, erhält man eine Bestätigungs-E-Mail mit drei Anhängen im PDF-Format: Die Rechnung, die allgemeinen Geschäftsbedingungen und die Print@Home-Version des Tickets zum Selbst-Ausdruck zu Hause. Auf dem ausgedruckten Ticket befinden sich neben reichlich Werbung und einem inkludierten HVV-Ticket die Kundennummer, die Rechnungsnummer, der Sitzplatz, der Preis, der Eingangsbereich, die Einlasszeit, der QR-Code und der vollständige Name des Ticket-Nutzers, es handelt sich also definitiv um ein personalisiertes Ticket.

Zusätzlich erhält man die Möglichkeit, eine mobile Version des Tickets auf dem Smartphone abzuspeichern. Dazu kann man einen Link anklicken, der das mobile Ticket in der Wallet-App abspeichert. Das ist diese App, in der man auch seine mobilen Bordkarten für den Flieger oder die Tickets der Bahn abspeichern kann. Dort werden deutlich weniger Informationen angezeigt: Start- und Zielflughafen-Code, Flugnummer, Sitzplatz, Gate, Boarding-Zeit, QR-Code und der vollständige Name. Also sind auch das personalisierte, mobile Tickets.

Wenn man sich das mobile Ticket des HSV in der Wallet-App anschaut, sieht man Datum, Uhrzeit, den Gegner des HSV, den Eingang, Block, Reihe, Sitz und den QR-Code. Der Name wird nicht angezeigt, also handelt es sich um kein personalisiertes, mobiles Ticket. Was daraus folgt, kann man anhand des folgenden Fallbeispiels erkennen:

Nehmen wir an, ein HSV-Fan, nennen wir ihn der Einfachheit halber mal Helm-Peter, erwirbt online ein Ticket für das Spiel gegen Sandhausen. Am Tag des Spiels entscheidet er sich spontan, das Spiel lieber zu Hause vor dem Fernseher anzuschauen und möchte sein Ticket einem guten Kumpel überlassen, nennen wir einfach mal Der Sievi. Der pfiffige Kultfan leitet die E-Mail mit dem Link für das mobile Ticket an den sympathischen Brüll-Ork weiter und dieser klickt den Link an und speichert das mobile Ticket auf seinem Smartphone ab. Er ist damit im Besitz eines gültigen mobilen Tickets, was zwar über den QR-Code und die 22-stellige Zahl eindeutig dem ursprünglichen Käufer zuzuordnen ist, aber den zugehörigen Namen des Ticketbesitzers nicht anzeigt.

Bei der Kontrolle durch das Sicherheitspersonal werden in der Regel der Personalausweis, ein PCR-Test oder ein Impfnachweis (beides personalisiert) und eben das mobile Ticket kontrolliert. Die fleißigen Ordner können also nur feststellen, dass dort ein Mensch steht, der sich ausweisen kann, die 3G-Regel einhält und irgendein mobiles Ticket vorzeigt. Der Sievi checkt also am Ticket-Scanner ein und ab dem Moment geht das Ticket-System davon aus, dass Helm-Peter zu Gast im Stadion ist, während den Sievi es sich auf dem zugeordneten Sitzplatz gemütlich macht. So weit, so gut.

Blöd wird es nur, wenn sich herausstellt, dass im Bereich dieses Sitzplatzes eine Corona-Infektions-Häufung festgestellt wurde, die eine Kontaktnachverfolgung auslöst und dabei festgestellt wird, dass Helm-Peter vor Ort war und entsprechend getestet werden und sich in eine 14-tägige Quarantäne begeben muss. Viel schlimmer ist natürlich, dass der eigentlich Beteiligte, hier der Sievi, vom System nicht erkannt wird und die ganze Zeit frei herumläuft.

Dieser Systemfehler könnte schon bei der Kontrolle zuverlässig verhindert werden, wenn die fleißigen Ordner den Namen beim Personalausweis, dem 3G-Nachweis und dem mobilen Ticket abgleichen könnten. Somit ergibt sich die Forderung an den HSV, dass die mobilen Tickets mit dem vollständigen Namen ergänzt werden sollten und dadurch zu personalisierten mobilen Tickets werden.

Nachdem wir bei der Vorstellung des Projektes Future Dock erfahren haben, dass sich der HSV eine weitere Direktorenstelle leistet, sollte es für Dr. Karsten Zimmermann, seines Zeichens Direktor Digital und IT, ein leichtes sein, diesen Systemfehler zeitnah zu beheben. Kleiner Tipp für alle, die jetzt nervös werden: Unter den drei Muscheln, äh drei Punkten verbirgt sich die fehlende Information zwar, aber die Ordner wissen das nicht und überprüfen es auch nicht. 

Und da die Geschäftsstelle hier ja mitliest… Dafür nicht!

Von | 2021-09-21T17:29:49+02:00 10. September 2021|Allgemein|25 Kommentare

25 Comments

  1. Bidriovo 10. September 2021 um 08:02 Uhr

    Das System wird schon ad absurdum geführt, dass sich die Zuschauer nicht an die Einlasszeiten halten. Wurde hier auch schon skizziert, wie es kurz vor dem Anpfiff zum Zuschauerandrang an den Einlasskontrollen kam und dann mehr oder weniger unkontrolliert die Horde ins Stadion gelassen wurde.

    @Alex: Viel Spaß im Stadion. Ich halte es da lieber wie Gravesen. Von mir sehen die keinen Cent mehr, um den ganzen Müll zu finanzieren, den die sich da zurecht fummeln.

  2. UliStein 10. September 2021 um 08:21 Uhr

    Interessanter Beitrag. Danke dafür, Alex. Die Eintracht aus Frankfurt hat das übrigens anders gelöst. Da kannst Du das Ticket auch als Print@Home bekommen oder Du bekommst es in deine personalisierte Eintracht-App, in der dann praktischerweise auch Impfstatus und eine Menge anderer Informationen hinterlegt sind. Am Anfang gab es sehr viele Diskussionen, da so etwas natürlich auch ein Datenfänger größeren Ausmaßes ist, bis hin zu der Möglichkeit, mit der Mastercard des Premiumpartners und Namenssponsors des Stadions zu zahlen. Hat sich aber inzwischen gegeben, da man gesehen hat, dass das Ding wirklich gut funktioniert. Im Gegensatz zu anderen Teilen des digitalen Universums.

    https://maintracht.blog/2021/09/10/sge-das-digitale-desaster-called-eintrachttech/

  3. baltic 10. September 2021 um 08:43 Uhr

    Lieber das Photo wieder rausnehmen, wenn es dein Ticket sein sollte.
    Sonst kannst du leicht enttarnt werden.

  4. Boxer 10. September 2021 um 08:53 Uhr

    Ohne den HSV jetzt zu sehr in Schutz zu nehmen, aber hier wird wohl der liebe Datenschutz auch eine Rolle spielen. Ist ein lösbares Problem, aber natürlich bitter dass das nicht erkannt wird.
    Wenn man das System überlisten will, benötigt man nicht wirklich viel Fantasie.

  5. Karsten der Große 10. September 2021 um 13:21 Uhr

    Beim Spiel gegen Dresden wurde das Ticket und der Inpfnachweis kontrolliert. Es gab jedoch keinerlei anderweitige Kontrollen (Abtasten etc)…. Als würden Terroristen ihre bösen Absichten in Zeiten von Corona hinten anstellen….

  6. Ex-HSVer+im+Herzen 10. September 2021 um 15:10 Uhr

    Passt doch wie die Faust aufs Auge. Inkompetenz auf allen Ebenen. Ich würde das einfach mal der DFL und dem Gesundheitsamt weiterleiten und die werden dann schon Maßnahmen ergreifen

  7. Profikommentator 10. September 2021 um 17:51 Uhr

    Ich war jetzt noch nicht unter Coronabedingungen im Stadion anwesend, aber können wir ausschließen, dass auf dem Scangerät beim Scannen des QR-Codes nicht evtl. der Name dann angezeigt wird?

    Also, dass die anhand des Zahlencodes vom Server die Daten übertragen bekommen und dann den Namen lesen können?

    • Alex 10. September 2021 um 23:53 Uhr

      Dazu noch folgende Ergänzung:

      Ja, das können wir ausschließen, denn der Ablauf ist wie folgt: Die Einlasskontrolle findet in zwei Schritten statt. Im unteren Bereich des Aufgangs werden das Ticket, der Personalausweis und der 3G-Nachweis kontrolliert, danach erfolgt die Leibesvisitation. Wenn man das überstanden hat, ist man „durch“. Danach latscht man weiter nach oben zum Scangerät, wo man das Ticket ranhält, bis die Dreiarmsperre den Weg freigibt. Beim Scan-Vorgang selbst schaut niemand zu, es befinden sich jedoch einige Ordner in Sichtweite, falls es beim Einscannen Probleme gibt.

      Nochmal: Wenn man bei der ersten Kontrolle ein mobiles Ticket vorzeigt, können die Ordner nicht sehen, ob es auf den Zuschauer personalisiert ist, denn auf dem mobilen Ticket ist kein Name angegeben. Bei der Ausweiskontrolle wird der Name gecheckt und anhand des Passfotos die Identität überprüft und dann mit dem 3G-Nachweis abgeglichen, das Ticket wird einfach so akzeptiert, wie es ist. Die Ordner wissen also nur, dass sie einen Menschen mit überprüfter Identität und 3G-Nachweis mit irgendeinem Ticket eingelassen haben.

      Das ganze Problem wäre einfach zu lösen, indem man den Namen des Ticketkäufers auf dem mobilen Ticket in der Wallet-App anzeigen würde und nicht hinter irgendwelchen Punkten eines Kontextmenüs verstecken würde, wo weder der Ticketbesitzer ahnt, dass dort noch Informationen enthalten sind, noch die Ordner wissen, dass man dort nachschauen könnte und müsste. Alles wie immer beim HSV: Keine Qualitätskontrolle, keine Plausibilitätsabfrage und vor allem keine ausreichende Einweisung des Ordner-Personals.

  8. Gravesen 10. September 2021 um 18:22 Uhr
    • BesuchausdemSüden 10. September 2021 um 19:14 Uhr

      “ Es macht mir trotz der sportlich lausigen Aussichten weiter Spaß, diesen Blog zu betreiben Noch kostet er mich Geld, aber ich habe mir immer geschworen, diesen Blog so lange in dieser Form auch so anzubieten, wie er mir Spaß macht.“

      Er zahlt also „drauf“ und macht das alles nur dem Sport, seinen Usern und dem großen HSV zuliebe. Was für ein moderner Held ..

      • Gravesen 10. September 2021 um 19:16 Uhr

        Das ist nun schon der dritte Blog, der ihn „Geld“ kostet, obwohl „TschüssVollspack“ mit Google-Billigwerbung zugekleistert ist. Münchhausen ist ein echter Business-Wizzard 😀

        • BesuchausdemSüden 10. September 2021 um 19:29 Uhr

          Ja ein Finanzmagier :). Lebt in einer der teuersten Städte des Landes, hat Privatinsolvenz angemeldet und berichtet jeden Tag vollkommen uneingenützig seinen Usern vom ehemals großen HSV.
          Wie bekommt man sowas hin ?

  9. Hekto 10. September 2021 um 18:34 Uhr

    Der fette Versager hat mich gesperrt besitze noch Mails aus der spendenzeit nA warte Qualle

    • Gravesen 10. September 2021 um 18:38 Uhr

      Warte auf Morgen, dann wird er versenkt 😀

  10. Hekto 10. September 2021 um 18:40 Uhr

    Bin dabei

    • Gravesen 10. September 2021 um 18:50 Uhr

      Jetzt kommen natürlich alle Arschlecker wieder unter dem Stein hervorgekrochen und werden ihm Beifall spenden. Für seinen lächerlichen Schwachsinn. Dieser Scheißblog ist sein verfickter Beruf und er erklärt, er ist seit Wochen nicht dazu gekommen, zum Training zu fahren, also seinem Beruf nachzugehen. Was für ein Versager

      • Fohlenstall 10. September 2021 um 19:18 Uhr

        …was für ne Heulsuse. Der User Luky Luke hat es auf den Punkt gebracht.
        Ich schrob es schon vor einigen Monaten. Die letzten Zuckungen….bald ist
        Ende im Gelände!

      • Chancentod 10. September 2021 um 22:28 Uhr

        Vom Insolvenzverwalter wird Münchhausen früher oder später eine deutliche Ansage bekommen zum Thema Ausgaben für das Betreiben eines HSV-Bolgs.
        Und beim Jobcenter eine Ansage wie die beruflichen Aussichten auf eine Tätigkeit als Sportjournalist wirklich aussehen.

  11. prenk 10. September 2021 um 19:32 Uhr

    Ich hatte nen Kommentar geschrieben, aber leider kam nach dem Absenden nur eine Fehlermeldung. Und nun isser weg….

    und der war gut und lang….

    • Demosthenes 10. September 2021 um 22:07 Uhr

      Schade, Prenk. Leider ist auch hinter den Kulissen nichts zu finden, weder im Papierkorb noch im Spam.
      Prenki wegen FSR?

      • prenk 11. September 2021 um 05:30 Uhr

        Ich hatte vergessen, den Datenverarbeitungzustimmungshaken zu setzen . Nach der Fehlermeldung bin ich wieder zurück und dann war das Formular wieder leer. Evtl. setze ich mich später nochmal hin und schreibe ihn erneut.
        Was ist denn FSR?

        • Demosthenes 11. September 2021 um 06:06 Uhr

          Das war das FrühStyxRadio von FFN.
          Mit Wischmeyer, Welke, Kalkofe und Bulthaupt.

          • Fohlenstall 11. September 2021 um 07:53 Uhr

            KULT😃😁!!!

          • Demosthenes 11. September 2021 um 08:05 Uhr

            Der größte Kulturmagazin der Welt. EINSCHALTEN!

  12. prenk 11. September 2021 um 20:23 Uhr

    Das FrühStyxRadio von FFN kenne ich noch, auch wenn ich schon seit Jahrzehnten nicht mehr im Sendegebiet wohne. Der Zusammenhang erschließt sich mir trotzdem nicht….

    Nachdem Grave heute vieles von dem geschrieben hat, was auch in meinem Post war, erspare ich mir und Euch die Wiederholung. Außerdem frage ich mich gerade, ob Hr. Scholz gerade ein Praktikum bei der Mopo macht, um – nach Jura Studium usw. – noch mehr in seinen Lebenslauf schreiben zu können, da dort die Aufstelliung nur aus 10 Spielern besteht….ok, wahrscheinlich wird von Kinn-Zombie wieder nichts zu sehen sein, von daher ist die Aufstellung ja nicht ganz falsch, was wiederum gegen die Theorie des Praktikums sprechen würde…

Die Kommentarfunktion wurde geschlossen.

Unser Archiv