QR-Codes – Anwendungen und Risiken

Seit einigen Jahren finden QR-Codes (Quick Response) immer häufiger Verwendung. Im Herbst 2022 wird die QR-Rechnung sogar die herkömmlichen Einzahlungsscheine ablösen. Mit QR-Codes lässt sich aber beispielsweise auch in Restaurants auf die digitale Speisekarte zugreifen, Websites auf einfache Weise ansurfen oder Twint-Zahlungen erledigen. Was ist der Grund für diesen Erfolg? Wo wird der Code überall eingesetzt und welche Risiken bestehen bei seiner Nutzung? 

Entwickelt wurde der QR-Code bereits 1992 von Masahiro Hara, einem Ingenieur des japanischen Unternehmens «Denso-Wave». Dieser sollte die Nachverfolgung von Ersatzteilen auf den Montagelinien der Toyota-Fabriken ermöglichen.

Mit dem Aufkommen von Smartphones wurde der QR-Code vorerst hauptsächlich in Zeitschriften und auf Werbetafeln verwendet. Der Vorteil besteht vor allem darin, dass die URL des beworbenen Produkts oder des Unternehmens nicht mehr manuell eingegeben werden muss.

Was ist der Grund für diesen Erfolg?

QR-Codes sind einfach in der Anwendung und kostengünstig in der Herstellung. Die Erstellung eines QR-Codes erfordert keine besonderen Ressourcen oder technischen Kenntnisse. Auf unzähligen Websites kann man QR-Codes generieren. Die einzige «Schwäche» des QR-Codes ist, dass er sich nicht mehr ändern lässt, wenn er generiert worden ist. Dieser Makel wird heute durch dynamische QR-Codes behoben.

Neben den klassischen QR-Codes (Abbildung 1, links) werden zunehmend auch massgeschneiderte und kreative QR-Codes erzeugt, welche Aufmerksamkeit und vor allem einen Werbeeffekt erzeugen sollen.

Abbildung 1: QR-Code für https://www.ncsc.admin.ch klassisch auf der linken Seite und kreativ auf der rechten Seite.

Anwendungen

Meistens kommen QR-Codes für die vereinfachte Eingabe von Internetadressen (URLs) zum Einsatz. Mit einem einfachen Scan lässt sich die gewünschte Webseite aufrufen, und das Abtippen entfällt. Es gibt aber noch diverse andere Einsatzmöglichkeiten:

QR-Rechnung
Die QR-Rechnung modernisiert den Schweizer Zahlungsverkehr. Die ersten QR-Rechnungen sind seit Mitte 2020 statt der gewohnten Einzahlungsscheine im Einsatz und ersetzten diese im Herbst 2022 vollumfänglich. Der QR-Code beinhaltet alle relevanten Informationen für eine bequeme, automatische und effiziente Zahlung.

SMS und E-Mail
Ein QR-Code kann eine Anweisung enthalten, die eine fixfertige SMS-Nachricht mit einer Empfängertelefonnummer oder eine E-Mail mit Titel, Inhalt und Empfängeradresse erstellt. Nur noch das Tippen auf den «Senden»-Button ist notwendig.

GPS-Koordinaten
Ein QR-Code kann eine Anweisung enthalten, die Ihre Positionsdaten übermittelt.

Adresse einer Website
Ein QR-Code kann eine Adresse zu einer Website enthalten.

Kalenderereignis
Ein QR-Code kann ein Ereignis in Ihrem Kalender auslösen und Termine hinzufügen oder löschen.

Soziale Netzwerke
QR-Codes können Anweisungen enthalten, automatisch einem Instagram- oder Twitter-Account zu «folgen».

WLAN-Netzwerk
Die Informationen zu einem WLAN-Netzwerk inklusive dem Passwort können in einem QR-Code gespeichert sein.

App Store
Ein QR-Code kann auch einen Link zu einer beliebigen App in einem beliebigen App-Store enthalten.

Dynamische QR-Codes
In dynamischen QR-Codes ist eine kurze URL eingebettet, mit der Nutzerinnen und Nutzer auf die eigentliche Ziel-Website umgeleitet werden. Die kurze URL bleibt gleich, die Umleitung kann aber nachträglich verändert werden, so dass diese den momentanen Bedürfnissen angepasst werden kann.

Welche Risiken bestehen?

  • Da der Inhalt des QR-Codes von einem Menschen nicht gelesen werden kann, ist es unmöglich, vor dem Scannen des Bildes zu wissen, was sich wirklich dahinter verbirgt;
  • Die in einem QR-Code kodierten Informationen sind nicht auf Webseiten beschränkt;
  • Hinter dem QR-Code kann sich auch ein Link verbergen, der beispielsweise auf eine bösartige Datei, eine bösartige App oder einen dubiosen App-Store führt;
  • Hinter einem QR-Code können sich auch Informationen zu dubiosen WLAN-Hotspots befinden.
  • Für einen Betrüger ist es ein Leichtes, einen gefälschten QR-Code auszudrucken und diesen über einen bestehenden zu kleben oder einen QR-Code hinzuzufügen, wo keiner ist;
  • Mit dynamischen QR-Codes kann aber auch nicht mehr vorausgesagt werden, auf welche Webseiten diese dann letztlich hinführen.

Empfehlungen

  • Verwenden Sie zum Scannen von QR-Codes eine zuverlässige und als sicher anerkannte Anwendung (Apps). Der Vorteil dabei ist, dass Ihr Gerät Sie auffordert, die Aktion zu bestätigen, bevor der im QR enthaltene Code ausgeführt wird. Sowohl bei Apple als auch bei Android kann auch die Kamera QR-Codes erkennen.
  • Nach dem Scannen und vor dem Ausführen wird bei den meisten Scannern eingeblendet, was für eine Aktion ausgeführt wird, respektive auf welche Seite verlinkt wird. Überprüfen Sie diese Angaben.
  • Geben Sie niemals Anmeldeinformationen auf einer Website ein, auf die Sie über einen QR-Code zugegriffen haben.
  • Bevor Sie einen QR-Code scannen, betrachten oder berühren Sie ihn, um zu sehen, ob es sich nicht nur um einen Aufkleber handelt, der auf dem Original angebracht ist.
  • Wenn Sie einen QR-Code scannen, der etwas Bösartiges enthält, benachrichtigen Sie sofort den Besitzer des Ortes (Zeitschrift, Website, usw.), an dem Sie ihn entdeckt haben.

Letzte Änderung 10.03.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/qr-codes.html