Der QR-Code wurde bereits im Jahr 1994 von einer japanischen Firma entwickelt. Ausgeschrieben bedeutet die Abkürzung „Quick Response“. Der QR-Code feiert also in diesem Jahr seinen 30. Geburtstag. Auch wenn der QR-Code nicht mehr der Jüngste ist, wirklich verbreitet hat er sich erst in den letzten Jahren.
Inhalt
Mit einem QR-Code können Sie einfach Internetseiten aufrufen. Sie scannen den Code mit der Kamerafunktion Ihres Smartphones oder einem speziellen QR-Code-Scanner. Innerhalb von Sekunden gelangen Sie auf die entsprechende Webseite. Doch das Thema QR-Code birgt neben den vielen Chancen reale Gefahren, wie dieser Beitrag zeigt.
Wofür QR-Codes heute genutzt werden: Von der Speisekarte bis zum E-Scooter
QR-Codes haben den Einzug in unseren Alltag gefunden. Sie sind immer häufiger anzutreffen. Manche Restaurants verzichten inzwischen auf Speisekarten. Sie kleben stattdessen einen QR-Code auf jeden Tisch. Die Gäste scannen den Code mit dem Smartphone und gelangen dann auf die tagesaktuelle Speisekarte. Der Vorteil für Restaurants ist klar: Sie sparen sich die Kosten für den Druck und können die Speisekarte immer aktuell halten. Das ist eine Entwicklung, die vor allem die Corona-Pandemie beschleunigt hat.
Es ist inzwischen möglich, per QR-Code die Gebühr an einem Parkplatz zu bezahlen. Dabei bezahlen Autofahrer per App oder Webseite. Anschließend halten sie bei der Ausfahrt den QR-Code an den Scanner.
Im Umfeld von E-Scootern sind QR-Codes ebenfalls sehr präsent. Sie führen vom Roller direkt auf die Seite für die Anmeldung oder Registrierung.
Die Schattenseiten des QR-Codes: Mit dem QR-Code direkt ins fremde WLAN
Bei uns ist das Thema QR-Code neulich bei einem Kunden in Bezug auf das WLAN aufgetaucht. Das WLAN in der Firma wird dort standardmäßig von den Admins eingerichtet. Die Mitarbeiter haben daher keinen Zugriff auf das Passwort. Was dort jedoch passiert ist: Die Mitarbeiter hatten den Zugang zum Firmennetzwerk per QR-Code mit anderen Leuten geteilt. Doch wie war das möglich? Die Mitarbeiter haben dazu einfach eine Standardfunktion Ihres Android-Smartphones benutzt.
Im WLAN-Menü gibt es bei jedem Android-Gerät unter „Einstellungen“ die Option „WLAN teilen“. Es erscheint ein QR-Code-Symbol. Beim Klick darauf erscheint ein QR-Code samt dem aktuellen WLAN-Passwort. Somit können die Zugangsdaten zu einem WLAN geteilt werden. Und das ist sogar möglich, wenn der Handynutzer die Zugangsdaten selbst nicht kennt bzw. niemals selbst eingegeben hat. Die Verantwortlichen in der IT fanden das nicht lustig. Sie haben uns gefragt, was sie dagegen tun können.
Die schlechte Nachricht: Es gibt bei Android-Geräten derzeit keine richtige Möglichkeit, dieses Feature zu unterbinden. Die einzige Möglichkeit ist es, das WLAN hardwareseitig zu limitieren. Das hat zur Folge, dass nur Geräten mit bestimmter MAC-Adresse auf das WLAN zugreifen können.
Übrigens: Bei iPhones gibt es die Möglichkeit, den WLAN-Zugang per QR-Code zu teilen, gar nicht. Es gibt jedoch dort andere Möglichkeiten, den WLAN-Zugang zu teilen.
Weitere Betrugsfälle mit QR-Codes: Das Atagging von Codes
QR-Codes werden immer häufiger in der Außenwerbung eingesetzt. Sie begegnen uns zum Beispiel beim Spaziergang durch die Innenstadt. Sie kleben an Schaufenstern oder sind an Litfaßsäulen angebracht. QR-Codes haben ihren Weg in das Marketing geschafft. Unternehmen nutzen die QR-Codes, um auf aktuelle Aktionen hinzuweisen oder Gewinnspiele zu bewerben. Andere Geschäfte nutzen die QR-Codes, um auf Produktinformationsseiten zu verweisen.
Doch auch hier kann es ein Problem bzw. ein Sicherheitsrisiko geben. Ein QR-Code, der im Außenbereich angebracht ist, kann leicht überklebt werden. Wenn der Aufkleber zu jeder Zeit für jeden zugänglich ist, kann es passieren, dass ihn jemand überklebt. Immer häufiger nutzen Kriminelle solche QR-Codes. Das nimmt leider in der Realität immer größere Ausmaße an. Experten aus der Security-Szene bezeichnen diesen Vorgang als Atagging.
Schnell kann ein Krimineller einen QR-Code der gleichen Größe erstellen und den vorhandenen Code überkleben. Der QR-Code führt dann nicht mehr zum Gewinnspiel des Unternehmens, sondern im schlimmsten Fall zu einer verseuchten Webseite. Darüber können Sie sich schnell einen Trojaner oder andere Malware einfangen.
Wie real ist die Gefahr bei uns?
Betrugsfälle mit QR-Codes fanden bisher vor allem in Asien und in den USA statt. Dort waren vor allem E-Scooter oder Parkplätze betroffen. Kriminelle haben versucht mit den überklebten QR-Codes Zugangsdaten zu sammeln.
In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Jahr 2012 vor überklebten QR-Codes gewarnt. Bisher sind die gemeldeten Fälle aber noch überschaubar. Es ist nicht auszuschließen, dass bei uns Kriminelle in Zukunft QR-Codes für ihre Zwecke nutzen.
Wie die Nutzung von QR-Codes sicher gelingt
Von außen ist es nicht einfach zu erkennen, ob es sich um den richtigen oder einen veränderten QR-Code handelt. Daher ist es immer wichtig, beim Scan des QR-Codes darauf zu achten, welche Seite sich öffnet. Zudem können Sie Sicherheits-Apps von vertrauenswürdigen Dienstleistern nutzen. Diese überprüfen jede Webseite vor dem Öffnen darauf hin, ob Sie vertrauenswürdig ist.
Unser Appell an Sie lautet: Wenn Sie QR-Codes im Marketing nutzen, kontrollieren Sie diese regelmäßig. Damit können sie feststellen, ob der QR-Code möglicherweise überklebt worden ist.