Termin bei der Behörde für `nen „Fuffi“?

Termin bei der Behörde für `nen „Fuffi“?
Anfrage Stadtrats-Mitglieder Dr. Evelyne Menges und Manuel Pretzl (Stadtratsfraktion der CSU mit FREIE WÄHLER) vom 20.3.2025

Antwort IT-Referentin Dr. Laura Dornheim:

In Ihrer Anfrage haben Sie folgenden Sachverhalt vorausgeschickt: „In verschiedenen Presseberichterstattungen vom 19.3.2025 und den diversen Social-Media-Kanälen konnte man lesen, dass die digitale Terminvergabe beim KVR von sogenannten Bots dahingehend ausgenutzt wird, zahlreiche Termine zu blocken und dann an Interessierte weiter zu ‚verkaufen‘. Die Einführung der Online-Termin-Buchung in der letzten Amtszeit hatte den Zweck, dass die Kundinnen und Kunden unkompliziert, zeitnah und vor allem berechtigterweise ‚kostenlos‘ einen Termin bei den städtischen Behörden bekommen. Allein die Möglichkeit des Verkaufs von grundsätzlich kostenlosen Behördenterminen ist im höchsten Maße unsozial. Wenn es zu den beschriebenen Vorkommnissen tatsächlich gekommen ist, ist insbesondere auch das städtische IT-Referat gefragt solche Missstände umgehend abzustellen und eine ‚bot‘sichere Terminvergabe einzurichten.“

Zu den im Einzelnen gestellten Fragen kann ich Ihnen Folgendes mitteilen:

Das Problem der Buchungen durch Bots ist nicht erst mit der neuen Terminvereinbarung aufgetreten. Diese Fälle sind schon seit mindestens fünf bis sechs Jahren bekannt und damit war auch schon das vorherige System betroffen. Die unten genannten Maßnahmen wurden daher teilweise auch schon im vorherigen System durchgeführt.

In den bisherigen Analysen wurden bei vermuteten Buchungen durch Bots verschiedene E-Mail-Adressen und Namen verwendet. E-Mail-Adressen werden nur für die Buchung eines Termins verwendet, es gibt hier keine Regelmäßigkeiten und damit keine einfachen Sperrmöglichkeiten. Es gibt möglicherweise auch eine Auslagerung an sog. Click-Worker aus anderen Ländern, die das Warten und Durchklicken übernehmen und dann Termine verkaufen.

Frage 1:
Seit wann weiß die Stadtspitze und die Referatsleitung von dieser Situation?

Antwort:
Erstmalig war das Thema dem IT-Referat in 2020 mit dem Einbau des ersten Captchas und dessen Produktivsetzung im April 2020 bekannt. Da während der Coronazeit keine Termine vergeben wurden, kam das Thema erst in 2022 wieder auf und es wurden verschiedene Maßnahmen (siehe Antwort zu Frage 2) ergriffen.

Das KVR nimmt zu dieser Frage wie folgt Stellung:
Das Kreisverwaltungsreferat hat vorliegende Erkenntnisse immer umgehend mit dem IT-Referat geteilt.

Frage 2:
Was wurde bereits dagegen unternommen?

Antwort:
Die Ausnutzung eines technischen Services durch Bots lässt sich nicht endgültig verhindern. Die Nutzung kann nur erschwert werden, z.B. durch Bot-Protection (z.B. mit Captcha), IP-Sperren, Geolocation-Einschränkung, etc. Solange Terminsuchende bereit sind, mehr Geld für einen Termin zu bezahlen, als die Buchung und Abwicklung den Verkäufer des Termins kostet, hat das Geschäftsmodell für den illegalen Terminhandel Bestand. Es spielt dabei keine Rolle, ob die Termine von Bots oder von Mitarbeitenden in Click-Farmen gebucht werden.

Folgenden technische Maßnahmen wurden durchgeführt:
- Einführung einer verkürzten Aktivierungszeit
Bei einer Terminreservierung muss der Termin innerhalb einer vorgegebenen Zeit per Klick auf einen Link reserviert werden. Diese Zeit wurde konfigurierbar pro Standort gemacht und kann entsprechend vom Fachbereich verkürzt werden.
- Beschränkung der Anzahl Termine pro Mailadresse
Es wurde eine Beschränkung eingeführt, so dass für eine Mailadresse nur eine bestimmte Anzahl an Terminen gebucht werden kann. Die
Anzahl der möglichen Termine pro Mailadresse ist für den Fachbereich konfigurierbar.
- IP-Sperren
Auffällige IP-Adressen wurden gesperrt. Die Sperrung von IPs wurde zwischenzeitlich wieder aufgegeben, da der Verwaltungsaufwand hoch ist. Es ist für Betreiber von Netzwerken einfach möglich IP-Adressen zu ändern und damit die Sperrung zu umgehen. Zudem werden potenziell auch Bürger*innen ausgeschlossen, die regulär aus dem Ausland versuchen einen Termin bei der LHM zu buchen. Daher müssen gesperrte IP-Adressen bei berechtigtem Interesse wieder freigegeben werden (die Sperrung gilt grundsätzlich für alle Terminbuchungen, nicht nur für z.B. Termine der SZE).
- Einsatz von Captchas
Ungefähr seit dem Jahr 2020 werden in der Online-Terminvereinbarung Captchas eingesetzt. Captchas sind eine etablierte Technik, um Bots den Zugriff zu erschweren und werden daher von verschiedenen Websites und Onlineshops eingesetzt, die ähnliche Probleme mit automatisierten Zugriffen haben. 2024 wurde das verwendete Captcha-Tool durch ein neues, leistungsfähigeres Tool ersetzt. Zudem wird regelmäßig die Platzierung des Captchas auf der Website verändert. Keines der Captchas hat aber mittelfristig eine Veränderung erzeugt, da sich die Betreiber von Bot-Netzwerken darauf einstellen und diese entweder umgehen oder lösen.

Das KVR nimmt zu dieser Frage wie folgt Stellung:
Das Kreisverwaltungsreferat warnt Kund*innen auf der Terminbuchungsseite und vor Ort auf den digitalen Stelen vor der Buchung kostenpflichtiger Termine. Ferner werden die Kund*innen um Hinweise auf entsprechende Angebote gebeten. Diesbezüglich gehen die Mitarbeiter*innen der Servicestelle für Zuwanderung und Einbürgerung auch mit den Kund*innen in das Gespräch und suchen selbst aktiv in Foren und auf Messenger-Diensten.

In diesem Zusammenhang wird der Verkauf von Terminen konsequent zur Anzeige gebracht. Dies hat bereits zu Erfolgen geführt, wonach die Anzahl der verkauften Termine reduziert werden konnte.

Frage 3:
Wurde im KVR darauf geachtet, dass der Kunde den Termin wahrnimmt, der auch den Termin gebucht hat?

Antwort:
Das KVR hat die Frage wie folgt beantwortet:
Bei den Vorsprachen in den einzelnen Bereichen des KVR erfolgt grundsätzlich ein Abgleich der vorsprechenden Person mit den in der Terminbuchungsmaske eingetragenen Daten.

Frage 4:
Wie kann das IT-Referat die Software für den Buchungsvorgang so verändern, dass „Bots“ keine Chance mehr haben?

Antwort:
Siehe Antwort zu Frage 2. Außerdem ist zu beachten, dass sich die Änderungen im Buchungsablauf auch auf „normale“ Bürger*innen auswirken und die Buchbarkeit von Terminen erschweren. Daher muss eine Balance aus Absicherung und Nutzbarkeit (inklusive Barrierefreiheit) gefunden werden.

- Neues Captcha
Aktuell laufen die Vorbereitungen ein Open-Source-Captcha einzubinden, das it@M selbst bei der LHM hostet. Damit können Änderungen an der Konfiguration des Captchas und der Schwierigkeit des Lösens selbst vorgenommen werden und so der Preis für die illegalen Anbieter erhöht werden.
- Regelmäßige Analysen und Maßnahmen
Mit dem entsprechenden Personalaufwand kann täglich die Nutzung des Services durch Bots analysiert werden und so regelmäßige Maßnahmen zur Erschwerung getroffen werden. Je nach Maßnahme werden hier weitere Ressourcen von it@M gebunden.

Die genannten Möglichkeiten (wie auch z.B. eine verpflichtende Registrierung vorab) führen zu weiteren Erschwerungen der Zugriffe durch Bots, werden diese aber nicht vollständig verhindern können und stellen auch für den Service nutzen wollende Bürger*innen eine große Einschränkung dar.

Frage 5:
Wie sieht die Situation bei anderen städtischen Behörden aus, die vergleichbare digitale Terminvereinbarungen haben?

Antwort:
Es sind keine weiteren Fälle aus anderen städtischen Behörden der LHM bekannt.