Sophos
QR-Code als Sicherheitsfalle?
QR-Codes auf Verpackungen, Plakaten oder in Bars verlocken dazu einfach das Smartphone daran zu halten. Trotz vieler Vorteile für Unternehmen und Konsument:innen, rät Chester Wisniewski, Sicherheitsprofi bei Sophos, zu Vorsicht und Einzelfallprüfung.
„QR-Codes sind ursprünglich für Maschinen entwickelt worden und nicht dafür, dass Menschen sie im Alltag nutzen.“ Chester Wisniewski, Director, Global Field CTO von Sophos
Bild: Montage © Sophos/Freepik
EHZaustria: QR-Codes erweisen sich großer Beliebtheit in Verkauf, Marketing und Bezahlsystemen.
Chester Wisniewski: Ja, der Vorteil, ein Smartphone für schnelle Informationen oder Aktionen nutzen zu können, ist eine starke Motivation sowohl für die Anbieter als auch die Nutzer von QR-Codes. Das in Kombination mit den ökologischen Vorzügen des Nicht-Ausdruckens von Dokumenten und der Tatsache, dass viele Unternehmen komplexe Tracking-Tokens in die URLs einbauen können, trägt zur Verbreitung von QR-Codes bei.
Während QR-Codes einen großen Mehrwert bieten, wachsen die Bedenken zu ihrer Sicherheit.
Chester Wisniewski: Jeder kann QR-Codes herstellen und es ist nicht möglich, sie zu authentifizieren. Es erfordert einen hohen Grad an Vertrauen beim Konsumenten, dass der QR-Code, den er am Parkscheinautomat oder auf dem Kaffeetisch sieht, echt ist. Wir haben von Vorfällen gehört, speziell in denen Zahlungen beteiligt waren, bei denen Betrüger QR-Codes ausgedruckt haben und diese auf echte QR-Codes aufklebten, um die Leute auf eine Phishing-Webseite zu lenken und hier ihre Kreditkarten-Daten und persönliche Informationen abzugreifen.
Was können etwa Händler tun, um sicherzustellen, dass die QR-Codes, die sie in den Geschäften oder online einsetzen, sicher und legitimiert sind?
Chester Wisniewski: Die genutzten QR-Codes sollten sie regelmäßig kontrollieren – insbesondere, wenn die QR-Codes öffentlich aushängen. Konsumenten sind gut beraten, keine QR-Codes zu scannen, denen sie nicht wirklich vertrauen. QR-Codes sollten wirklich niemals online genutzt werden, denn die meisten sind nur eine visuelle Form einer URL. Wenn man möchte, dass jemand auf einen Link klickt, dann sollte man auch einen Link benutzen.
Vor welchen „red Flags“ sollten sich Konsument:innen in Acht nehmen, wenn sie QR-Codes in der Öffentlichkeit oder auf Produkten scannen?
Chester Wisniewski: QR-Codes übertragen ein Bild in eine Webseiten-Adresse. Wenn sich der Code im Browser öffnet, sollte man auf die Adressleiste sehen und prüfen, wohin man als Nutzer gelenkt wurde. Gefällt einem dieses Ziel nicht, ist es klug, die Anwendung zu beenden. Der sicherste Weg für den Konsumenten? Den QR-Code nicht scannen. Stattdessen lieber die Lieblingssuchmaschine nutzen. Es existieren auch Applikationen für mobile Geräte die QR-Codes Scanner beinhalten, die auf schadhafte Links aufmerksam machen.
Wie wird sich die Rolle von QR-Codes in Verkauf und anderen Branchen weiterentwickeln?
Chester Wisniewski: QR-Codes sind ursprünglich für Maschinen entwickelt worden und nicht dafür, dass Menschen sie im Alltag nutzen. Eine Authentifizierung von QR-Codes stellt eine Aufgabe dar, die sich nicht so simpel lösen lässt. Im Idealfall sollten QR-Codes in Plakate, Produktverpackung etc. fest und ersichtlich eingebettet sein und nicht nur ein Sticker sein, der irgendwo draufgepappt wurde. Die Verantwortung liegt beim Konsumenten. Wenn ein QR-Code komisch erscheint, lieber die Finger davon lassen und auf eine bewährte, sichere Informationsgewinnung oder Zahlung setzten.