Dank der enormen Verbreitung von Smartphones ist parallel die Nutzung von QR-Codes weltweit um 57 % gestiegen. Für das Jahr 2025 wird ein Anstieg um weitere 22 % prognostiziert. Weltweit werden pro Minute bis zu acht neue QR-Codes generiert.

Kein Wunder, dass QR-Codes praktisch überall zu finden sind – auf Plakatwänden, in Einkaufszentren, in Veranstaltungsbroschüren, auf Speisekarten, auf Websites von Wohltätigkeitsorganisationen, im öffentlichen Raum wie beispielsweise auf Parkplätzen, schlicht überall. Was QR-Codes so überzeugend macht, ist natürlich ihre Benutzerfreundlichkeit. Sie sind bequem, denn man braucht nur einen einzigen Scan, um sich für eine Veranstaltung anzumelden oder einen bestimmten Artikel zu kaufen.

Diese Eigenschaften eines QR-Codes sind auch Cyberkriminellen nicht entgangen. QR-Codes sind allgegenwärtig, und das öffnet Betrügern Tür und Tor für das sogenannte »Quishing« (QR-Code Phishing). Sie platzieren gefälschte QR-Codes etwa an belebten öffentlichen Plätzen oder betten sie in Phishing-E-Mails und gefälschte Werbung in den sozialen Medien ein. Benutzer sollen so dazu verleitet werden, manipulierte Websites zu besuchen. Zusätzlich richten Cyberkriminelle E-Mail-Adressen, URLs und Webseiten angeblich von seriösen Unternehmen ein, die begehrte Produkte anbieten. Ziel ist es in erster Linie, die Benutzer zur Eingabe von Zahlungsdaten zu verleiten.

Inzwischen sind die gitterförmigen schwarzen und weißen Quadrate so weit verbreitet, dass Benutzer die Codes fast schon gewohnheitsmäßig scannen und einfach davon ausgehen, dass sie echt sind. Die einfache Handhabung und eine schnelle Transaktionsabwicklung sind zwei der Gründe, warum QR-Codes so beliebt sind. Gleichzeitig macht sie das so riskant – es gibt keinen Raum für Korrekturen. Ein einziger Scan, und es ist passiert.

QR-Codes verifizieren – alles andere als trivial

QR-Codes sind simpel zu scannen, aber extrem schwer zu authentifizieren. Gegen verdächtige Links hilft es, wenn die Nutzer aufmerksam bleiben und einige grundlegende Verhaltensmaßregeln beherzigen.

Gefälschte QR-Codes lassen sich jedoch nahtlos im öffentlichen Raum, in E-Mails oder auf Websites platzieren und sind schwer als solche zu erkennen. Einmal gescannt, leiten die Codes ahnungslose Benutzer auf gefälschte Websites um oder stoßen Malware-Downloads an – ohne, dass die Betroffenen davon etwas mitbekommen.

Wir greifen überwiegend von Smartphones und Tablets auf QR-Codes zu. Auch das erleichtert die Arbeit von Cyberkriminellen. Mobile Endgeräte dieser Art sind oft deutlich schlechter abgesichert als Rechnersysteme, auf denen eine valide Antiviren-Technologie installiert ist. Vorteilhaft ist auch, dass eine manipulierte oder Phishing-URL nicht erst in eine Spam-E-Mail einfügt werden muss. So kann ein Scammer beispielsweise E-Mail-Sicherheitslösungen mit URL-Scannern umgehen.

QR-Code-Sicherheitstipps für mobile Endgeräte

Wenn es um QR-Codes geht, eröffnet nicht nur die Vorweihnachtszeit oder die Black Week ein lukratives Spielfeld für Betrüger. Kaufwillige auf Schnäppchenjagd geraten jedes Jahr aufs Neue ins Visier. Raffinierte QR-Codes ködern potenzielle Opfer mit verlockenden Angeboten. Verbraucher sollten angesichts dessen, innehalten und einen QR-Code vorab prüfen, statt ihn intuitiv zu scannen.

An dieser Stelle einige Tipps:

Widerstehen Sie der Versuchung, einen QR-Code blind zu scannen, auch wenn er noch so authentisch wirkt.

Entscheiden Sie sich für Apps, die eine Vorschau der mit dem QR-Code verknüpften URL anzeigen, bevor Sie die Website besuchen. Mit dieser simplen Vorsichtsmaßnahme können Sie das Ziel prüfen und eine fundierte Entscheidung darüber treffen, ob es sicher ist, fortzufahren.

Seien Sie besonders vorsichtig bei QR-Codes, die Sie unaufgefordert per Post, auf Flugblättern oder an eher ungewöhnlichen Orten finden. Dabei handelt es sich um eine gerne genutzte Methode. Auch überklebte QR-Codes sind ein deutliches Warnsignal, den Code keinesfalls zu scannen.

Und der Evergreen unter den Tipps: Wenn es zu gut klingt, um wahr zu sein, dann ist es das vermutlich auch. Gehen Sie auf Nummer sicher und verzichten sie darauf, den betreffenden Code zu scannen.

Wichtige QR-Code-Sicherheitstipps für Unternehmen

Unternehmen sollten ihrerseits Maßnahmen ergreifen, um Geschäftsprozesse und Kunden proaktiv zu schützen. Zumal der QR-Code ein fantastisches Instrument ist, um die User Experience zu personalisieren, die Reichweite zu maximieren und generell den saisonalen Umsatz anzukurbeln.

In erster Linie sollten Firmen in Technologielösungen investieren, die einen mehrschichtigen Ansatz für QR-Code-Sicherheit bieten. Sie tragen dazu bei, die Authentizität und Sicherheit von QR-Codes im laufenden Geschäftsbetrieb zu verifizieren. So lassen sich beispielsweise umfassende OR-Code Scans durchführen. Dabei werden die zugrundeliegenden URLs und Daten analysiert und Schutzmaßnahmen gegen Quishing-basierte Bedrohungen bereitgestellt. Die Integration solcher Sicherheitstools sorgt für mehr Resilienz im Unternehmen und fungiert zudem als vertrauensbildende Maßnahmen gegenüber den Kunden, die diese Codes verwenden.

Zusätzlich gilt es, Strategien für die Verwaltung von QR-Code-Protokollen zu entwickeln, einschließlich von Erstellung, Verteilung, Validierung und Rückverfolgbarkeit der Codes. Noch wichtiger ist es, diese Richtlinien strikt durchzusetzen. Durch diese granulare Form der Überwachung senkt man das Risiko, dass nicht autorisierte oder kompromittierte QR-Codes in das betriebliche Ökosystem gelangen.

Und nicht zuletzt sollten Firmen Cybersicherheitsschulungen organisatorische Priorität einräumen. Unabhängig davon, wie ausgeklügelt und fortschrittlich Sicherheitslösungen auch sein mögen, Awareness-Trainings sind nicht mehr wegzudenken, und das aus gutem Grund. Saisonal sollte man sich dabei auf Risiken wie QR-Code Phishing und speziell in der Vorweihnachtszeit beliebte Betrugstaktiken konzentrieren. Entwickeln sie praxisbezogene Schulungen, die reale Szenarien widerspiegeln. Erstellen Sie zum Beispiel einen QR-Code-Phishing-Simulation die im Kontext des Unternehmens erscheint und die jeweiligen Arbeitsprozesse präzise nachahmt.

Kurz gesagt: Unternehmen sollten mehrere Verteidigungsebenen miteinander verweben, um sich und ihre Kunden zu schützen – von Mitarbeiterschulungen über die Durchsetzung strenger QR-Code-Richtlinien bis hin zum Einsatz moderner Sicherheitstechnologien. Ein ganzheitlicher Ansatz wie dieser gestattet es Firmen, von QR-Codes zu profitieren, ohne beim Thema Sicherheit unnötige Risiken einzugehen. Für ein Tool, dem weltweit und branchenübergreifend ein exponentielles Wachstum prognostiziert wird, ist eine überlegte, sichere Nutzung die einzige Option.

Sam Mayne, Product Solution Analyst, VIPRE Security Group

