Nach der Fusion: die fünf Geschäftsführer Jochen Engert, Torben Greve, André Schwämmlein, Panya Putsahit und Daniel Krauss (von links)
Wem gehört die FlixBus-Software?
„Neues Jahr und gleich der größte Knaller“, mit diesen Worten verkündete der Fernbus-Anbieter FlixBus Anfang Januar seine Fusion mit Wettbewerber MeinFernbus auf Facebook. Zumindest für eines der beiden beteiligten Unternehmen, das 2011 gegründete Münchner Startup FlixBus, steht derzeit ein weiteres Knaller-Thema auf der Agenda: Mit einem ehemaligen IT-Dienstleister zofft sich FlixBus um Rechte an seiner Buchungssoftware, es wird mit harten Bandagen gekämpft. Über Anwälte und mittlerweile auch unter Beteiligung der Staatsanwaltschaft.
„Hinter den bunten Kulissen des Startups tobt ein Streit“, formulierte das Handelsblatt dazu bedeutungsvoll. „Um ein Herzstück des Unternehmens“ gehe es dabei: die Software hinter der Online-Plattform. Wie MeinFernbus oder Konkurrent DeinBus besitzt FlixBus keine eigene Flotte, sondern verkauft Tickets für Linien, die dann regionale Busunternehmen betreiben. Die Plattform ist zentral für das Unternehmen.
Aber worum geht es genau? Der Geschäftsführer einer Hamburger Entwicklerfirma, S., ist überzeugt, dass FlixBus für Shop- und Ticketingsystem Software-Bausteine nutzt, an denen sein Unternehmen die Rechte besitze und für die FlixBus nicht bezahlt habe. Ende November, so geht die Version von S., habe FlixBus die Software in die eigene Infrastruktur übernommen. Der Busanbieter habe das mit Anforderungen des bei der Fusion eingestiegenen Investors General Atlantic begründet. Mit dem Umzug, so S., seien ihm sämtliche Zugänge entzogen worden – obwohl er der Urheber der Software sei. Das System sei ihm quasi geraubt worden.
Bei FlixBus wird eine andere Version der Vorgänge erzählt. Bei der Firma handle es sich tatsächlich um einen ehemaligen Dienstleister, der ein existierendes Shop- und Ticketingsystem zwar pflegen und weiterentwickeln sollte, für deren Erstellung er aber gar nicht verantwortlich gewesen sei. Ende 2013 sei mit den Hamburgern ein Vertrag über die Programmierung eines komplett neuen Ticketsystems geschlossen worden. Doch die Neuschöpfung sei niemals „in einer vollständig lauffähigen Version“ übergeben und daher auch nie eingesetzt worden. Den Umzug der Software habe FlixBus vorgenommen, weil S. mit dem Abschalten gedroht habe. An einem Tag Mitte November habe er die Drohung sogar in die Tat umgesetzt. Diese Version unterstreicht ein FlixBus-Manager in einer eidesstattlichen Versicherung.
Offiziell gibt sich FlixBus zu der Angelegenheit schweigsam. Eine Sprecherin sagt: Die Verträge mit S. seien längst rechtmäßig gekündigt, alle nötigen Rechte an der Software lägen bei FlixBus. Nach Gründerszene-Informationen wurden die Verträge kurz vor Weihnachten von FlixBus-Seite gekündigt, die Begründung: S. habe FlixBus-Manager beleidigt, vertrauliche Informationen weitergegeben und eben Mitte November das System unrechtmäßig abgeschaltet.
In München gilt S. offenbar als Querulant, der nun, da das Unternehmen erfolgreich Fusion und Finanzierung hinter sich hat, seinen Teil vom Kuchen abbekommen möchte.
S. besteht darauf, dass ihm ein hoher sechsstelliger Betrag zusteht. Der ursprünglich geschlossene Dienstleistervertrag mit den Hamburgern soll 1,4 Millionen Euro wert gewesen sein. Seinen Willen versucht er mit Strafanzeigen durchzusetzen, und einem Antrag auf eine einstweilige Verfügung, um wieder Zugriff auf das System zu bekommen. Nach Gründerszene-Informationen hält das zuständige Hamburger Landgericht den Antrag aber „nicht für erfolgversprechend“.
Doch S. könnte zusätzlich zu sehr viel drastischeren Mitteln gegriffen haben. Dieser Ansicht sind zumindest die Anwälte von FlixBus – und die der Hamburger Strafverfolgungsbehörden.
Denn zwischen Mitte Dezember und Anfang Januar gab es mehrere Denial-of-Service-Attacken (DoS) auf FlixBus: Ein automatisiertes Skript habe, so steht es in einem Dokument der Staatsanwaltschaft, „in großem Umfang“ Buchungen vorgenommen, diese anschließend aber wieder abgebrochen. Weil für jede versuchte Buchung für 30 Minuten ein Platz reserviert wird, blockierte der Sabotage-Akt weite Teile des Buchungssystems. Ein weiteres Skript habe wiederum „in großem Umfang“ Anfragen an das Fahrten-Suchsystem gestellt, dieses übermäßig ausgelastet und damit Suchanfragen der Nutzer massiv verzögert. Und schließlich sei jemand in das FlixBus-Ticket-Backend vorgedrungen, habe dort sämtliche Nutzer mit Admin-Rechten gelöscht und die Druckvorlage für Tickets derart verändert, dass sie von Busfahrern nicht mehr als gültig akzeptiert worden wären.
Die DoS-Attacken erfolgten nach Ansicht der Staatsanwaltschaft teilweise über anonyme Tor-Server – zum Teil aber auch von IP-Adressen aus, die dem Unternehmen von S. zuzuorden werden konnten. Und: Die Zugriffsdaten für den internen Ticketing-Bereich habe mit Ausnahme von FlixBus-Mitarbeitern nur das Unternehmen von S. gekannt.
Über 100.000 Euro soll FlixBus die Aktion gekostet haben, wegen ausbleibender Buchungen und notwendig gewordener Reperaturmaßnahmen. Für die Hamburger Staatsanwaltschaft Grund genug, vorvergangenen Dienstag die Hamburger Firmenräume von S. durchsuchen zu lassen und Computer zu beschlagnahmen. S. sei verdächtig, Daten „gelöscht, unterdrückt, unbrauchbar gemacht oder verändert“ zu haben und damit einen „Vermögensverlust großen Ausmaßes herbeigeführt zu haben“.
S. will sich zu den Vorwürfen nicht äußern. Auch sein Anwalt Dittmar Kania ließ eine Gründerszene-Anfrage unbeantwortet. Dem Handelsblatt hatte der Anwalt noch gesagt, in dem Durchsuchungsbeschluss des Amtsgerichts finde sich „kein einziges Beweismittel“, es sei nicht klar, „woraus der notwendige Anfangsverdacht abgeleitet wird“.
FlixBus will sich zu der Attacke und laufenden Ermittlungen der Staatsanwaltschaft nicht äußern. Nur so viel ist zu hören: Eigentlich habe man mit der Fusion schon genügend andere Baustellen. Ein Knaller reicht FlixBus derzeit.