QR-Code: Fluch oder Segen?

Seit 1994 läuft er uns immer wieder über den Weg: Die Rede ist von dem QR-Code, QR steht für Quick-Response. Ob auf Plakaten, Verpackungen Visitenkarten, Magazinen oder im IT-Bereich – die QR-Codes sind heute wie damals in allen möglichen Lebensbereichen zu finden und eigentlich auch eine super Idee. Diente er früher noch als Brücke zwischen Offline und Online-Medien, wird er heute vielseitiger eingesetzt. Das kleine Quadrat mit den schwarzen Punkten muss nur mit dem Mobiltelefon gescannt werden (früher benötigte man dafür noch eine Extra-App, heute funktioniert das mit jeder integrierten Handykamera) und schon wird der Nutzer – in den meisten Fällen – auf eine Internetseite weitergeleitet. Das ist praktisch und vor allem einfach – einfach und gefährlich.

Welche Gefahren können hinter einem QR-Code Stecken?

Stellen wir uns folgendes Szenario vor:

Julia Schmidt geht in ihr Lieblingscafé. Sie bestellt sich einen Milchcafé und setzt sich an einen Tisch in der Sonne. Auf ihrem Handy, welches sie dienstlich wie privat nutzt, will sie noch ein paar E-Mails beantworten, sich über das bevorstehende Webinar informieren und fix durch Instagram scrollen. Um mobile Daten zu sparen, scannt sie das auf ihrem Tisch stehende Kärtchen mit dem gedruckten QR-Code. Anmeldedaten eingeben und fertig. Sie kennt den Café-Besitzer schon seit Jahren und vertraut ihm.

Was soll auch passieren? Wir sagen: Eine ganze Menge …

Der QR-Code entwickelte sich in den letzten 12 Monaten als optimales, berührungsloses Medium, und wird daher zum Beispiel von Gastronomen für digitale Speisekarten oder von Fitnessstudios und sonstigen Geschäften zur Kontaktrückverfolgung mittels eines Formulars genutzt. Wir vertrauen dem schwarzen Quadrat (fast blind). Wir sind leichtsinnig geworden. Und genau diese Leichtsinnigkeit öffnet Cyberkriminellen sämtliche Türen, denn sie missbrauchen die QR-Codes für ihre Social-Engineering-Attacken. Das heißt, sie nutzen unsere menschliche Schwäche aus, um unrechtmäßig an persönliche Informationen zu gelangen. „Qshing“ wird das genannt: QR-Code-Betrug.

Worin besteht denn die Gefahr unseres Szenarios?

Vielleicht wurden ja genau zehn Minuten vorher auf allen Tischen von Julias Lieblingscafé diese kleinen Kärtchen ausgetauscht? Und vielleicht verweist der neue QR-Code nun auf einen bösartigen Link? Und ohne es zu merken wird Julia auf eine mit Schadstoffsoftware versehene Internetseite umgeleitet?

Ein kleiner Wermutstropfen: Cyberkriminelle können einen QR-Code nicht einfach hacken. Sie können ihn jedoch leicht austauschen, wie in unserem Beispiel. Auf diese Weise verschaffen sich die Angreifer unter anderem Zugang zu Kontakt- und Kreditkarteninformationen sowie sensiblen Unternehmensdaten.

Werden zusätzliche Tools wie „bit.ly“ verwendet, um die URL zu kürzen, haben Verbraucher noch weniger Chancen, die Links vor ihrer Weiterleitung auf Vertrauenswürdigkeit zu prüfen.

Unser Rat an dieser Stelle:

  • Setzen Sie sich sensibel mit diesem Thema auseinander!
  • Scannen Sie die QR-Codes nur, wenn die Quelle vertrauenswürdig ist!
  • Achten Sie generell darauf, keinen QR-Code zu scannen, der über einen anderen QR-Code geklebt wurde.
  • Sollten Sie auf eine Seite mit Formular geführt werden, bedenken Sie, dass es eine Falle sein könnte. Geben Sie nicht unüberlegt persönliche Daten ein.
  • Überprüfen (und bereinigen) Sie regelmäßig Ihre Netzwerkverbindungen.
  • Im Businessumfeld raten wir zum Einsatz einer Mobile-Endpoint-Security-Lösung. Sie dienen dabei dem direkten Schutz der iOS- oder Android-Devices vor Cyberangriffen und Phishing.

Zurück