Wie sicher sind QR-Codes? Die wichtigsten Tipps.

Noch nie war das Thema Sicherheit so wichtig! Die zunehmenden technologischen Möglichkeiten, zum Beispiel mit künstlicher Intelligenz, können uns entlasten, jedoch auch überfordern. KI kann tatsächlich viel und ist darum auch für Hacker spannend. Aber nur, wenn wir selbst fahrlässig mit unseren Daten und mit der Anwendung umgehen. Im folgenden Text legen wir den Fokus auf QR-Codes und deren Sicherheit.

QR-Codes tauchen überall in unserem Lebensalltag auf. Für Unternehmen sind sie ideal, um potenziellen Kunden den Zugang zu Daten zu erleichtern. Das können Daten zu Produkten sein, eine Anmeldung zu einem Infoanlass oder am bekanntesten, der überaus praktische QR-Code auf Rechnungen. Im Grunde genommen können Firmen QR-Codes da einsetzen, wo es darum geht, Hürden zu senken und potenzielle Kunden möglichst einfach zum richtigen Ziel zu führen. Der Nutzen ist klar:

Einfachheit gewinnt immer. Anstatt mühsam eine URL einzutippen, ganz einfach den Code fotografieren und schon wird man virtuell an der Hand genommen.

In unserer zunehmend stressigen Zeit sind QR-Codes eine gute Möglichkeit, um Zeit zu sparen, für Unternehmen wir für ihre Kunden. Kleiner Nachteil: Auch Hacker wissen diese Einfachheit zu schätzen.

Darum gibt es einige Punkte für Unternehmen und Kunden, die die Sicherheit wesentlich erhöhen.

Das sind die Gefahren bei QR-Codes

Ein QR-Code im guten Sinne wie für Marketingzwecke, Verkaufsförderungsmassnahmen oder Veranstaltungen etc. stellt grundsätzlich kein Sicherheitsproblem dar. Gefahren entstehen dort, wo Hacker mögliche Chancen sehen, zu Geld oder wertvollen Kundendaten zu kommen.

Hacker konzentrieren sich nicht nur auf die Technik. Oft sind es menschliche Schwächen, die sie leider erfolgreich ausnutzen können.

Das Wichtigste im Überblick:

Sogenannt statische QR-Codes, die durch eine einmalige Generierung stattfinden, können nicht bearbeitet werden und sind darum sehr sicher.

Mehr Gefahr geht von den dynamisch generierten Codes aus. Die Ersteller können den gleichen Code überarbeiten (vorhandene Daten flexibel erweitern und anpassen). Soweit also eine praktische Sache, die Unternehmen im hektischen Alltag auch einen Zeitgewinn verspricht.

Gelingt es Hackern, sich darauf Zugriff zu verschaffen, können sie sich «hinter dem Gesicht des Unternehmens verstecken» und Kunden auf andere, täuschend ähnliche Zielseiten führen. Auf diesen Websites werden dann sensitive Daten abgefragt.

Dieses Risiko ist gering, wenn Unternehmen, die mit QR-Apps arbeiten, ein Benutzerkonto verlangen. Dieses wird bei einem QR-Scan entsprechend aufgerufen. So ist auch hier die Gefahr eines Missbrauches eher klein, weil Logindaten erforderlich sind.

Offensichtliches erkennen wir relativ gut. Aber da ist noch das andere. Dasjenige, das wir erst erkennen, wenn wir bereits reingefallen sind.

Auch hier haben Firmen wie auch QR-Code-NutzerInnen wertvolle Möglichkeiten, Hacks zu verhindern.

Bankdaten-Hacking-Methode mit Pishing

Hinter QR-Codes sind meistens auch sensible Daten wie Namen, Geburtsdaten, Adressen, Beruf und Bankdaten hinterlegt. Insbesondere bei Letzteren kann ein Hacking grossen Schaden anrichten.

Die Gefahr ist dann sehr gross, wenn man sich bei einem unscheinbaren, leider gefälschten QR-Code einloggt oder ein neues Konto eröffnet und seine Bankdaten eingibt.

Dies zeigt, dass alle Einfachheit NutzerInnen nicht von Verantwortung befreit. Gefährlich sind unbekannte Anbieter. QR-Codes, die irgendwo mittels Aufkleber platziert sind, sollten gut überprüft oder noch besser nicht gescannt werden.

Bekanntes Beispiel dafür sind QR-Codes auf Parkplatzkassen.

Imageschaden durch Verbreitung bösartiger Inhalte

Sind Hacker erst einmal in einem System, können sie betroffenen Unternehmen schaden. Einem QR-Code sieht man von aussen nicht an, ob er echt ist oder nicht. Zudem waren wir alle schon mal gestresst und haben uns nicht an die bekannten Regeln gehalten. So sollen Ärzte heikle Patientendaten auch schon per WhatsApp (!) versendet haben. Genügend Stress und «Es machen es ja alle so» machen leider vieles möglich.

So auch bei QR-Codes. Cyberhacker können unsere vielleicht schwierige Lebenssituation und die daraus erfolgte Unkonzentriertheit ausnutzen. Durch Unachtsamkeit ermöglichen wir den Zugang zu sensiblen Daten.

Hacker können diese dazu verwenden, bösartige Inhalte zu verbreiten und so das Image von Personen und Unternehmen massiv zu schädigen.

Wie man da hineingerät? Ganz einfach: Da war ein nicht identifizierbarer QR-Code mit einem verlockenden Angebot, der automatisch eine App herunterlädt, inkl. Malware-Software.

QR-Code-Apps grundsätzlich gut überprüen

Das Bundesamt für Cybersicherheit BACS empfiehlt für das Verwenden von QR-Codes eine zuverlässige und als sicher anerkannte App.

Diese fordert die Benutzer auf, die Aktion zu bestätigen, bevor der im QR enthaltene Code ausgeführt wird.

Sowohl bei Apple als auch bei Android kann auch die Kamera QR Codes erkennen, sprich, es braucht keine zusätzliche App.

Ebenfalls empfiehlt das BACS:

«Geben Sie niemals Anmeldeinformationen auf einer Website ein, auf die Sie über einen QR-Code zugegriffen haben.»

Was bedeutet dies für Unternehmen?

Wie Sie als Unternehmen QR-Codes sicher einsetzen können

Letztendlich gibt es mehrere Beteiligte an einem QR-Code und alle sollten eine hohe Sicherheit berücksichtigen. Das bedeutet für Unternehmen:

• nur mit seriösen QR-Code-Anbietern wie zum Beispiel qrcodelodge.ch zu arbeiten. Dieses Tool bietet auch an, einen QR-Code mit Passwort zu versehen. BenutzerInnen können den Code scannen, müssen aber danach ein Passwort eingeben, um den Link zu erreichen. An solchen Tools erkennen Sie qualitativ hochstehend QR-Code-Anbieter.
• innerhalb der Einrichtung und Anwendung von QR-Codes klare Abläufe definieren.
• anstehende Updates umgehend zu aktivieren und Supportdienstleistungen vom Anbieter zu beanspruchen.
• den Fokus auf QR-Codes-Anbieter zu legen, die Erfahrung haben, ein menschliches Gesicht zeigen, ein Impressum und einen HR-Eintrag haben etc. Es gibt viele kleine Details, doch auf diese kommt es an.
• dass sie immer klare URLs verwenden. Also keine bit.ly Shortener. Genau diese werden von Hackern verwendet. Klare Kommunikation ist unverzichtbar für Unternehmen, die QR-Codes verwenden.

Als Unternehmen ist es wichtig, bestehende wie auch potenzielle Kunden zu unterstützen. Zum Beispiel:

• Risiken reduzieren, indem nicht möglichst viele Daten auf einmal gesammelt werden. Oder dann zumindest über verschiedene Wege.
• Ein Benutzerkonto und eine 2-Faktoren-Authentifizierung sind ein Muss.

Eine erfolgreiche und langjährige Partnerschaft mit Kunden erreicht man, indem man ihnen auch die Freiheit lässt, nicht alle Daten von sich preiszugeben. Dies steigert das Vertrauen – ein wesentliche Voraussetzung für eine langjährige Kundenbindung.

Autor: Andreas Räber, Enneagramm-Coach und Online-Marketing-Spezialist