Die Deutsche Bahn setzt auf die Sicherheit von 2-Faktor-Authentifizierung (2FA), doch es scheint, dass es dabei einige Unannehmlichkeiten für die Nutzer gibt. In diesem Artikel werfe ich einen kritischen Blick auf die Herausforderungen und schlage mögliche Verbesserungen vor.
Die Deutsche Bahn ermöglicht die Nutzung von SMS-Codes oder Authentifikator-Apps für die 2FA. Allerdings gibt es während und nach der Einrichtung einige Fallstricke. Eine besonders kritische Situation entsteht, wenn der Zugang über die Authentifikator-App verloren geht. Ich würde mir wünschen, dass die Bahn eine Möglichkeit zur Sicherung und Wiederherstellung anbietet für die man keine Hotline bemühen muss.
Fehlende Backup-Codes
Ein großes Manko scheint mir die fehlende Möglichkeit zu sein, Backup-Codes herunterzuladen. Backup-Codes sind entscheidend, besonders wenn der Zugang über die Hauptmethode verloren geht. Es sind vorab generierte Codes, die du sicher aufbewahren kannst. Im Falle, dass du keinen Zugriff auf deine Haupt-2FA-Methode (z.B., wenn du dein Handy verlierst oder die Authentifikator-App nicht funktioniert) hast, kannst du diese Backup-Codes verwenden, um dich dennoch anzumelden.
Begrenzte Möglichkeiten nach Einrichtung
Nach erfolgreicher Einrichtung einer der beiden Methoden ist es scheinbar nicht möglich, eine zweite Methode hinzuzufügen. Auf Grund der fehlenden Backup-Codes wäre das eine gute Möglichkeit den Zugriff auf sein Konto sicherstellen zu können. Hilft die Bahn dir im Worst-Case wenigstens mit guten Hilfetexten weiter?
Fehlermeldungen und Support
Wenn man dann doch keinen Zugriff auf seinen zweiten Faktor mehr hat, steht man erst einmal alleine da. Die Login-Maske fordert stur die Eingabe des 2-Faktor-Codes. Gibt man einen falschen ein, erscheint lediglich „Ungültiger Authentifizierungscode“. Der Link „Login-Daten vergessen?“ ist nach Eingabe des Passworts bereits verschwunden – und würde auch nicht weiterhelfen. Zum Glück gibt es ein FAQ zur 2-Faktor-Authentifizierung. Die muss man aber erst einmal finden. Zum Glück erscheinen die relevanten Fragen aber auch dann, wenn man „2-Faktor“ in das Suchfeld der allgemeinen „Hilfe & Kontakt“-Seite für Privatkunden eintippt.
FAQ
Die FAQ spricht in der relevanten Hilfe-Seite zwar nur davon, was man bei verlorenem Zugriff auf SMS-Codes tun kann. Ich gehe aber davon aus, dass die Antwort bei Nutzung einer Authentifikator-App die gleiche wäre: „Bitte kontaktieren Sie unser Service-Team unter 030 2970.“ Dauer der Bearbeitungszeit: Bis zu einer Woche!
Insbesondere die Dauer für die Rücksetzung der 2FA könnte für viele Kunden problematisch sein. Hier muss die Deutsche Bahn die Prozesse optimieren, um eine schnellere Unterstützung zu gewährleisten. Ist man auf Reisen unterwegs und hat sein Ticket nur in der App dabei, verliert aber – aus welchen Gründen auch immer – den Zugriff auf sein Bahn-Konto, wird man im Zweifelsfall ein zweites Ticket kaufen müssen.
Mein Fazit
Insgesamt gibt es großen Raum für Verbesserungen bei der 2FA der Deutschen Bahn. Eine erhöhte Flexibilität bei der Einrichtung durch die Möglichkeit der Einrichtung mehrer 2Fa-Methoden, klare Anweisungen bei Problemen und eine schnellere Unterstützung durch den Kundenservice könnten die Nutzererfahrung erheblich verbessern. Und die Deutsche Bahn würde davon auch profitieren: Durch eine Entlastung ihrer Support-Hotline. Aktuell kann ich die Einrichtung der 2-Faktor-Authentifizierung bei der Deutschen Bahn nur bedingt empfehlen.
Update (07. November 2025)
Ich habe heute noch einmal geprüft, ob es inzwischen möglich ist weitere Methoden in der Kontoverwaltung der Deutschen Bahn hinzufügen. Das ist zwar immer noch nicht möglich, allerdings kann man inzwischen „Ersatzcodes aktivieren“ – also Backup Codes erstellen. Dies sollte man auch unbedingt tun. Ist ein Login mit dem eingerichteten zweiten Faktor z.B. wegen Verlust nicht mehr möglich, kann man mit diesen Codes doch noch Zugriff auf sein Konto erhalten.
Wichtig bleibt: Diese Backup Codes sind letzten Endes TAN-Listen und sollten den gleichen Schutz wie dein Passwort erhalten. Um die Wirkweise als zweiten Faktor zu erhalten, solltest du diese z.B. nicht im gleichen Passwort-Manager wie dein Passwort ablegen. Durchaus empfehlenswert kann es aber sein, die Liste auszudrucken und zuhause an einem sicheren Ort zu verwahren (z.B. in einem Dokumenten-Safe). Bleibt dann nur zu klären, wie man auf einer Reise an diese Codes gelangt.
Mein Fazit bleibt daher unverändert: Die Bahn sollte weitere alternative Faktoren anbieten. Dann könnte ich bei Verlust meines Telefons z.B. noch ganz einfach Zugang über meinen FIDO2-Sicherheitsschlüssel erhalten.
Es kommt leider noch schlimmer: wegen Datenschutz darf die Deutsche Bahn Support-Hotline den Datenabgleich zur Deaktivierung der 2-Faktor-Authentifizierung nicht mehr durchführen und empfiehlt daher das Anlegen eines neuen Kontos unter einer anderen E-Mail-Adresse..
Daher stimmt ich dem obigen Fazit völlig zu und bedanke mich herzlichst bei Pascua für diesen äußerst hilfreichen Artikel!
Hallo Peter K.,
die von Ihnen beschriebene „Empfehlung“ habe ich auch erhalten. Eine Lösung ist das nicht. Die Software der DB für die 2-FA enthält offenbar einen eklatanten Fehler: Nach der Änderung meiner Telefonnummer in meinem Profil habe ich die 2-FA eingerichtet. Zu meinem Erstaunen referenziert die SW auf die alte, gelöschte Telefonnummer.
Ich komme nun nicht mehr in mein Kundenkonto und meine dort hinterlegten persönlichen Daten wie Adresse, Zahlungsmittel, etc.
Mein gut gepflegtes Kundenkonto mit Deutschlandticket und Bahncard ist für mich nicht mehr zugänglich. Ich sehe mich derzeit gezwungen, einen zweiten Datensatz mit einer anderen E-Mail anzulegen.
Das ist mehr als kundenunfreundlich. Meiner Meinung nach verstößt die DB im Namen des Datenschutzes so eben gegen diesen. Ich bin nicht mehr Herr meiner eigenen persönlichen und sensiblen Daten auf meinem Kundenkonto (siehe oben), die nun weiterhin irgendwo und wie bei der DB gespeichert sind, ohne dass ich einen Einfluss darauf habe, was mit diesen geschieht. Ich muss sogar alles noch einmal anlegen, womit dann nicht ein zweiter Datensatz sensibler Daten entsteht.
Das ist für mich mehr als ein Unding! Ich bin mehr als enttäuscht und verärgert.
Die DB hat hier erhebliches Verbesserungspotential, wenn nicht sogar eine Verpflichtung zu einer Verbesserung.
Hey Michael,
du hast ein Löschungsanspruch gegenüber der Deutschen Bahn. Um diesen durchzusetzen
stellst du einen formlosen Antrag beim Verantwortlichen (am besten an den Datenschutzbeauftragten der Deutschen Bahn). Der Antrag sollte die zu löschenden Daten benennen. Der Verantwortliche muss deinen Antrag unverzüglich bearbeiten und innerhalb eines Monats antworten. Mehr dazu findest du z.B. bei der Stiftung Datenschutz: https://stiftungdatenschutz.org/ehrenamt/praxisratgeber/praxisratgeber-detailseite/betroffenenrechte-nach-dsgvo-richtig-umsetzen-276