Illustration Absmeier foto freepik
QR-Codes auf Verpackungen, Plakaten oder in Bars verlocken, einfach das Smartphone daran zu halten. Trotz vieler Vorteile für Unternehmen und Konsumenten raten Sicherheitsexperten zu Vorsicht und Einzelfallprüfung.
Der Mensch neigt bekanntlich zur Bequemlichkeit. Warum noch extra den Browser mit dem kleinen Smartphone-Display bemühen – da kommt ein QR-Code doch goldrichtig. Informationen, die auf der Stelle gebraucht werden, sind so schnell zur Hand. Diese Vorteile setzen immer mehr Unternehmen ein, beispielsweise um Kunden Zusatzinformationen zu Produkten oder deren Nutzung zu bieten. Und wie das immer so ist, sind Cyberkriminelle nicht weit, sobald sich eine Technik im Alltag durchgesetzt hat. »Quishing« heißt die Betrugsart mit QR-Codes.
Chester Wisniewski, Director, Global Field CTO von Sophos, gibt Antworten auf die wichtigsten Fragen zur Sicherheit von QR-Codes.
QR-Codes erweisen sich wachsender Beliebtheit in Verkauf, Marketing und Bezahlsystemen. Wie kam es zu dieser Entwicklung und inwieweit verbessern sie das Kundenerlebnis?
Chester Wisniewski: Niemand spricht gern in Computer-Art. Der Vorteil, ein Smartphone für schnelle Informationen oder Aktionen nutzen zu können, ist eine starke Motivation sowohl für die Anbieter als auch die Nutzer von QR-Codes. Das in Kombination mit den ökologischen Vorzügen des Nicht-Ausdruckens von Dokumenten und der Tatsache, dass viele Unternehmen komplexe Tracking-Tokens in die URLs einbauen können, trägt zur Verbreitung von QR-Codes zusätzlich bei.
Während QR-Codes einen großen Mehrwert bieten, wachsen die Bedenken zu ihrer Sicherheit. Welche Arten von Betrug oder schadhaften Aktivitäten sind in den letzten Jahren aufgetaucht, die Nutzer via QR-Codes ins Visier genommen haben?
Jeder kann QR-Codes herstellen und es ist nicht möglich, sie zu authentifizieren. Es erfordert einen hohen Grad an Vertrauen beim Konsumenten, dass der QR-Code, den er am Parkscheinautomat oder auf dem Kaffeetisch sieht, echt ist. Wir haben von Vorfällen gehört, speziell in denen Zahlungen beteiligt waren, bei denen Betrüger QR-Codes ausgedruckt haben und diese auf echte QR-Codes aufklebten, um die Leute auf eine Phishing-Webseite zu lenken und hier ihre Kreditkarten-Daten und persönliche Informationen abzugreifen.
Welche Schritte können beispielsweise Händler unternehmen, um sicherzustellen, dass die QR-Codes, die sie in den Geschäften oder Online einsetzen, sicher und legitimiert sind? Wie können sie ihre Kunden vor potenziellem Betrug oder Phishing-Angriffen schützen?
Geschäfte, Händler, Gastronomie usw., die QR-Codes nutzen, sollten sie regelmäßig kontrollieren – insbesondere, wenn die QR-Codes öffentlich aushängen. Das wird zu einer größeren Herausforderung bei verteilten Systemen wie Parkscheinautomaten. Konsumenten sind gut beraten, keine QR-Codes zu scannen, denen sie nicht wirklich vertrauen und lieber ein anderes Zahlungsmittel mit weniger Risiken verwenden.
Ich persönlich meide Geldautomaten, die zweifelhafte Tastaturen haben oder sich ersichtlich nicht im Originalzustand befinden – das gleiche könnte man für QR-Sticker anwenden. QR-Codes sollten wirklich niemals online genutzt werden, denn die meisten sind nur eine visuelle Form einer URL. Wenn man möchte, dass jemand auf einen Link klickt, dann sollte man auch einen Link benutzen. Es gibt Ausnahmen, aber im Allgemeinen bestätigen sie die Regel.
Vor welchen »red Flags« sollten sich Konsumenten in Acht nehmen, wenn sie QR-Codes in der Öffentlichkeit oder auf Produkten scannen, um nicht zum Opfer von Kriminellen zu werden?
QR-Codes übertragen ein Bild in eine Webseiten-Adresse. Wenn der Code im Browser öffnet, sollte man auf die Adressleiste sehen und prüfen, wohin man als Nutzer gelenkt wurde. Gefällt einem dieses Ziel nicht, ist es klug, die Anwendung zu beenden. Der sicherste Weg für den Konsumenten? Den QR-Code nicht scannen. Stattdessen lieber die Lieblingssuchmaschine nutzen. Es existieren jedoch auch Applikationen für mobile Geräte wie Sophos Intercept X, die QR-Codes Scanner beinhalten, die auf schadhafte Links aufmerksam machen.
Ein Blick in die Zukunft: Wie wird sich die Rolle von QR-Codes in Verkauf und anderen Branchen weiterentwickeln? Werden sie sicherer werden mit neuen Technologien oder wird die Sicherheit eine Herausforderung bleiben?
Ich sehe die Sicherheit von QR-Codes nicht besser werden. Sie sind ursprünglich für Maschinen entwickelt worden und nicht dafür, dass Menschen sie im Alltag nutzen. Eine Authentifizierung von QR-Codes stellt ein Aufgabe dar, die sich nicht so simpel lösen lässt. Im Idealfall sollten QR-Codes in Plakate, Produktverpackung etc. fest und ersichtlich eingebettet sein und nicht nur ein Sticker, der irgendwo draufgepappt wurde.
Die Verantwortung liegt beim Konsumenten: Wenn ein QR-Code komisch erscheint, lieber die Finger davon lassen und auf eine bewährte, sichere Informationsgewinnung oder Zahlung setzen.
Vorsicht Quishing: QR-Code Phishing Scams drohen
Dank der enormen Verbreitung von Smartphones ist parallel die Nutzung von QR-Codes weltweit um 57 % gestiegen. Für das Jahr 2025 wird ein Anstieg um weitere 22 % prognostiziert. Weltweit werden pro Minute bis zu acht neue QR-Codes generiert.
Kein Wunder, dass QR-Codes praktisch überall zu finden sind – auf Plakatwänden, in Einkaufszentren, in Veranstaltungsbroschüren, auf Speisekarten, auf Websites von Wohltätigkeitsorganisationen, im öffentlichen Raum wie beispielsweise auf Parkplätzen, schlicht überall. Was QR-Codes so überzeugend macht, ist natürlich ihre Benutzerfreundlichkeit. Sie sind bequem, denn man braucht nur einen einzigen Scan, um sich für eine Veranstaltung anzumelden oder einen bestimmten Artikel zu kaufen.
Diese Eigenschaften eines QR-Codes sind auch Cyberkriminellen nicht entgangen. QR-Codes sind allgegenwärtig, und das öffnet Betrügern Tür und Tor für das sogenannte »Quishing« (QR-Code Phishing). Sie platzieren gefälschte QR-Codes etwa an belebten öffentlichen Plätzen oder betten sie in Phishing-E-Mails und gefälschte Werbung in den sozialen Medien ein. Benutzer sollen so dazu verleitet werden, manipulierte Websites zu besuchen. Zusätzlich richten Cyberkriminelle E-Mail-Adressen, URLs und Webseiten angeblich von seriösen Unternehmen ein, die begehrte Produkte anbieten. Ziel ist es in erster Linie, die Benutzer zur Eingabe von Zahlungsdaten zu verleiten.
Inzwischen sind die gitterförmigen schwarzen und weißen Quadrate so weit verbreitet, dass Benutzer die Codes fast schon gewohnheitsmäßig scannen und einfach davon ausgehen, dass sie echt sind. Die einfache Handhabung und eine schnelle Transaktionsabwicklung sind zwei der Gründe, warum QR-Codes so beliebt sind. Gleichzeitig macht sie das so riskant – es gibt keinen Raum für Korrekturen. Ein einziger Scan, und es ist passiert.
QR-Codes verifizieren – alles andere als trivial
QR-Codes sind simpel zu scannen, aber extrem schwer zu authentifizieren. Gegen verdächtige Links hilft es, wenn die Nutzer aufmerksam bleiben und einige grundlegende Verhaltensmaßregeln beherzigen.
Gefälschte QR-Codes lassen sich jedoch nahtlos im öffentlichen Raum, in E-Mails oder auf Websites platzieren und sind schwer als solche zu erkennen. Einmal gescannt, leiten die Codes ahnungslose Benutzer auf gefälschte Websites um oder stoßen Malware-Downloads an – ohne, dass die Betroffenen davon etwas mitbekommen.
Wir greifen überwiegend von Smartphones und Tablets auf QR-Codes zu. Auch das erleichtert die Arbeit von Cyberkriminellen. Mobile Endgeräte dieser Art sind oft deutlich schlechter abgesichert als Rechnersysteme, auf denen eine valide Antiviren-Technologie installiert ist. Vorteilhaft ist auch, dass eine manipulierte oder Phishing-URL nicht erst in eine Spam-E-Mail einfügt werden muss. So kann ein Scammer beispielsweise E-Mail-Sicherheitslösungen mit URL-Scannern umgehen.
QR-Code-Sicherheitstipps für mobile Endgeräte
Wenn es um QR-Codes geht, eröffnet nicht nur die Vorweihnachtszeit oder die Black Week ein lukratives Spielfeld für Betrüger. Kaufwillige auf Schnäppchenjagd geraten jedes Jahr aufs Neue ins Visier. Raffinierte QR-Codes ködern potenzielle Opfer mit verlockenden Angeboten. Verbraucher sollten angesichts dessen, innehalten und einen QR-Code vorab prüfen, statt ihn intuitiv zu scannen.
An dieser Stelle einige Tipps:
- Widerstehen Sie der Versuchung, einen QR-Code blind zu scannen, auch wenn er noch so authentisch wirkt.
- Entscheiden Sie sich für Apps, die eine Vorschau der mit dem QR-Code verknüpften URL anzeigen, bevor Sie die Website besuchen. Mit dieser simplen Vorsichtsmaßnahme können Sie das Ziel prüfen und eine fundierte Entscheidung darüber treffen, ob es sicher ist, fortzufahren.
- Seien Sie besonders vorsichtig bei QR-Codes, die Sie unaufgefordert per Post, auf Flugblättern oder an eher ungewöhnlichen Orten finden. Dabei handelt es sich um eine gerne genutzte Methode. Auch überklebte QR-Codes sind ein deutliches Warnsignal, den Code keinesfalls zu scannen.
- Und der Evergreen unter den Tipps: Wenn es zu gut klingt, um wahr zu sein, dann ist es das vermutlich auch. Gehen Sie auf Nummer sicher und verzichten sie darauf, den betreffenden Code zu scannen.
Wichtige QR-Code-Sicherheitstipps für Unternehmen
Unternehmen sollten ihrerseits Maßnahmen ergreifen, um Geschäftsprozesse und Kunden proaktiv zu schützen. Zumal der QR-Code ein fantastisches Instrument ist, um die User Experience zu personalisieren, die Reichweite zu maximieren und generell den saisonalen Umsatz anzukurbeln.
In erster Linie sollten Firmen in Technologielösungen investieren, die einen mehrschichtigen Ansatz für QR-Code-Sicherheit bieten. Sie tragen dazu bei, die Authentizität und Sicherheit von QR-Codes im laufenden Geschäftsbetrieb zu verifizieren. So lassen sich beispielsweise umfassende OR-Code Scans durchführen. Dabei werden die zugrundeliegenden URLs und Daten analysiert und Schutzmaßnahmen gegen Quishing-basierte Bedrohungen bereitgestellt. Die Integration solcher Sicherheitstools sorgt für mehr Resilienz im Unternehmen und fungiert zudem als vertrauensbildende Maßnahmen gegenüber den Kunden, die diese Codes verwenden.
Zusätzlich gilt es, Strategien für die Verwaltung von QR-Code-Protokollen zu entwickeln, einschließlich von Erstellung, Verteilung, Validierung und Rückverfolgbarkeit der Codes. Noch wichtiger ist es, diese Richtlinien strikt durchzusetzen. Durch diese granulare Form der Überwachung senkt man das Risiko, dass nicht autorisierte oder kompromittierte QR-Codes in das betriebliche Ökosystem gelangen.
Und nicht zuletzt sollten Firmen Cybersicherheitsschulungen organisatorische Priorität einräumen. Unabhängig davon, wie ausgeklügelt und fortschrittlich Sicherheitslösungen auch sein mögen, Awareness-Trainings sind nicht mehr wegzudenken, und das aus gutem Grund. Saisonal sollte man sich dabei auf Risiken wie QR-Code Phishing und speziell in der Vorweihnachtszeit beliebte Betrugstaktiken konzentrieren. Entwickeln sie praxisbezogene Schulungen, die reale Szenarien widerspiegeln. Erstellen Sie zum Beispiel einen QR-Code-Phishing-Simulation die im Kontext des Unternehmens erscheint und die jeweiligen Arbeitsprozesse präzise nachahmt.
Kurz gesagt: Unternehmen sollten mehrere Verteidigungsebenen miteinander verweben, um sich und ihre Kunden zu schützen – von Mitarbeiterschulungen über die Durchsetzung strenger QR-Code-Richtlinien bis hin zum Einsatz moderner Sicherheitstechnologien. Ein ganzheitlicher Ansatz wie dieser gestattet es Firmen, von QR-Codes zu profitieren, ohne beim Thema Sicherheit unnötige Risiken einzugehen. Für ein Tool, dem weltweit und branchenübergreifend ein exponentielles Wachstum prognostiziert wird, ist eine überlegte, sichere Nutzung die einzige Option.
Sam Mayne, Product Solution Analyst, VIPRE Security Group
161 Artikel zu „QR Code“
News | Trends 2024 | Trends Security | IT-Security
Zunahme von Malware-, BEC- und QR-Code-Phishing-Angriffen
Im aktuellen E-Mail Threat Landscape Report zeigen sich deutliche Veränderungen in der Cyber-Bedrohungslandschaft [1]. Unter anderem setzen Cyberkriminelle beim Phishing von Anmeldedaten verstärkt auf Links in E-Mail-Anhängen und QR-Codes. E-Mails bleiben als Hauptkommunikationsmittel von Unternehmen der am häufigsten genutzte Angriffsvektor. Umso wichtiger ist es, diese Entwicklungen im Blick zu behalten und wenn nötig zu reagieren.…
News | IT-Security | Tipps
QR-Code Scams – verstehen und vermeiden
Jeder kennt sie, und so gut wie jeder verwendet sie: QR-Codes. Inzwischen sind die schwarz-weißen Quadrate allgegenwärtig und aus kaum einem Bereich mehr wegzudenken, von der Speisekarte bis hin zum Zahlungsportal. Wie so oft hat die wachsende Popularität ihre Schattenseiten: Die stetig steigende Zahl von QR-Code Scams, also betrügerische Aktivitäten auf der Basis von QR-Codes.…
News | IT-Security | Ausgabe 3-4-2023 | Security Spezial 3-4-2023
QR-Code-Phishing – Quishing
Wie QR-Codes den Erfolg von Unternehmen untergraben können.
News | IT-Security | Tipps
Gefälschte E-Mails, QR-Codes und Deep Fakes erkennen
Eine weit verbreitete Angriffsmethode von Cyberkriminellen ist die Kompromittierung von (Geschäfts)-E-Mails. Dabei erhalten die Benutzer beispielsweise eine E-Mail, vermeintlich von einem Vorgesetzten, Manager oder einer anderen Autorität, mit der Bitte sensible Daten weiterzuleiten, einen Link anzuklicken oder eine Datei zu öffnen. Zwar stammt die E-Mail mitnichten vom vorgeblichen Absender – aber da sie so wirkt,…
News
Olympische Spiele und Burner Phones: Die Sicherheit von QR-Codes
Die Olympischen und Paralympischen Spiele stehen für die höchsten Leistungen in der Welt des Sports und feiern die harte Arbeit und Ausdauer der Teilnehmer. Bei den Spielen 2022 in Peking steht jedoch eine andere Art von hartnäckigen Aktivitäten im Mittelpunkt: Cyberbedrohungen. Das Federal Bureau of Investigation (FBI) forderte die US-Athleten auf, ihre eigenen…
News | Digitale Transformation | Digitalisierung | Effizienz
Low-Code: Mehr Effizienz im Einzelhandel und Gesundheitswesen
Das Gesundheitswesen und der Einzelhandel haben aktuell mit vielen Herausforderungen zu kämpfen. Digitale Transformation, Datenschutz, Ärztemangel und Kostendruck führen zum Beispiel im Gesundheitswesen zu vielen Problemen. Der Einzelhandel hat hingegen häufig mit Lieferketten, der Integration von künstlicher Intelligenz (KI), dem Nachhaltigkeitsaspekt und der Online-Konkurrenz zu kämpfen. In unserer schnelllebigen Welt sind Flexibilität, Effizienz und Anpassungsfähigkeit…
News | Trends Security | IT-Security | Trends 2023
Anstieg von QR-Scan-Betrug über mobile Endgeräte
HP Wolf Security Studie: Blockierung von Makros zwingt Bedrohungsakteure zu neuen Angriffsmethoden. HP präsentiert den aktuellen HP Wolf Security Threat Insights Report. Dieser zeigt, dass Hacker ihre Angriffsmethoden zunehmend diversifizieren und QR-Code-Phishing-Kampagnen zunehmen. Die Isolierung von Bedrohungen auf PCs, die sich Erkennungstools entzogen haben, bietet HP Wolf Security einen besonderen Einblick in die neuesten Techniken,…