Kann ein QR-Code dein Leben ruinieren? Die schwarz-weißen Quadrate haben sich in den vergangenen Jahren immer weiter verbreitet und nur den wenigsten Menschen ist bewusst, wie gefährlich sie eigentlich sind.
Ich habe einen ganz genauen Blick auf die möglichen Gefahren von QR-Codes geworfen und erkläre dir in diesem Artikel, wie du dich schützen kannst. Hast du keine Lust zu lesen? Dann schau dir gerne mein Video an.
Was sind QR-Codes?
Starten wir erst einmal mit ein paar Grundlagen zu QR-Codes. Egal, ob auf einer Visitenkarte, dem Bahn-Ticket oder auf einem Werbeplakat: QR-Codes laufen uns alltäglich über den Weg – genauer gesagt laufen wir ihnen über den Weg.
QR-Codes haben eine wichtige Aufgabe: Sie sollen einen Übergang von der analogen Welt in die digitale ermöglichen.
Weißt du, wofür das QR in QR-Codes überhaupt steht? QR ist eine Abkürzung für „Quick Response“, also auf Deutsch „schnelle Antwort“. Die Codes wurden 1994 von einer Tochterfirma von Toyota entwickelt, um Autoteile zu markieren und sie so schnell wiedererkennen zu können.
Man könnte QR-Codes als Weiterentwicklung von Bar-Codes bezeichnen. Bar-Codes funktionieren nach einem ähnlichen Prinzip, sind allerdings lediglich eindimensional.
QR-Codes hingegen sind zweidimensional, da die Informationen in den vielen Quadraten abgebildet werden. Um genau zu sein, sind das mindestens 21 und maximal 177 Quadrate pro Seite. Deshalb können in ihnen deutlich mehr Informationen gespeichert werden als in den guten alten Bar-Codes.
Einen QR-Code kann man übrigens sehr einfach selbst erstellen. Und genau hier liegt auch die Gefahr: Kriminelle können das mit zahlreichen kostenlose Online-Tools in wenigen Sekunden machen.
QR-Codes sind also eine echt coole Erfindung, die es uns ermöglicht, mit einer Kamera an unserem Smartphone super schnell eine Website aufzurufen, einen neuen Kontakt zu erstellen oder sich in ein WLAN einzuloggen. Aber wie genau könnte so ein Betrug aussehen?
Warum sind QR-Codes gefährlich?
Das größte Risiko bei QR-Codes ist, dass du nicht weißt, was eigentlich genau dahintersteckt. Also konkret ausgedrückt: Auf welche Website leitet dich der Code eigentlich weiter? Das weißt du ja erst, nachdem du ihn gescannt hast. Genau das können sich Kriminelle zunutze machen und dich auf gefälschte Websites weiterleiten.
Wenn du mal genau überlegst, bei den meisten QR-Codes kannst du dir nicht hundertprozentig sicher sein, ob sie auch tatsächlich von dem Unternehmen oder der Person stammen, von der du denkst, dass sie kommen.
Einen gefälschten QR-Code zu erstellen, ist – wie wir gerade gesehen haben – kinderleicht. Nun braucht man ihn nur noch auszudrucken und könnte ihn an beliebiger Stelle aufhängen oder so auch einen korrekten QR-Code überkleben.
Eine grundlegende Regel, um nicht Opfer von Phishing-Angriffen zu werden, ist ja: In E-Mails von einer unbekannten Quelle nicht auf die Links zu klicken oder Dateien zu öffnen. Und wenn du doch unbedingt einen Link öffnen musst, dann solltest du vorher auf jeden Fall einen sehr genauen Blick auf die URL werfen, um dir vor einer möglichen Phishing Mail zu schützen.
In der Praxis ergeben sich bei QR-Codes daher die folgenden beiden Risiken: Schadsoftware und Quishing. Starten wir mal mit dem vermutlich allgemein bekannteren der beiden Begriffe.
Schadsoftware durch QR-Code
Es gibt verschiedene Arten von Schadsoftware: Viren, Würmer, Ransomware und mehr. Eine Schadsoftware kannst du dir mit einem QR-Code zwar nicht direkt einfangen, allerdings kann der QR-Code einen Link auf eine App beinhalten. Vor allem Android-Nutzer sind hier gefährdet, da sich auf Android auch Apps installieren lassen, die nicht aus dem App Store kommen und so nicht von Google geprüft wurden. Das sind sogenannte APK-Dateien.
Sich einen Virus auf einem mobilen Gerät einzufangen, ist allerdings recht unwahrscheinlich. Die meisten modernen Computer und Smartphones sind in der Regel bereits mit einem guten Virenprogramm, wie z. B. dem Windows Defender ausgestattet.
Qishing
Das zweite Risiko ist um einiges verbreiteter in der Praxis: Quishing. Bis vor Kurzem hatte ich hinter dem lustigen Wort eher ein Pokémon erwartet – tatsächlich handelt es sich hierbei um eine Wortkombination aus Phishing und QR-Codes.
Beim Quishing wird über einen QR-Code versucht, sensible Daten von dir abzugreifen. So kam es bei der ING-Diba beispielsweise vergangenen Sommer dazu, dass Hacker einen QR-Code in einer gefälschten E-Mail an die Kunden platzierten. Dieser QR-Code verlinkte auf eine gefälschte Login-Seite, worüber die Kriminellen an die Login-Daten der Kunden herankommen wollten.
Ein anderes Beispiel ist das Platzieren eines gefälschten QR-Codes an einem Parkautomaten. Du hast bestimmt selbst schon mal an einem Parkautomaten mit einer App bezahlt, was echt praktisch sein kann. Zum Beispiel, wenn man im Ausland ist oder kein Bargeld zur Hand hat.
Nun ist es natürlich ein Leichtes für Kriminelle, den QR-Code einfach mit einem gefälschten Code zu überkleben, damit du dann auf einer gefälschten Website für ein Parkticket bezahlst, das du letztendlich überhaupt nicht bekommst. Genau das passierte letztes Jahr mit mehr als hundert Parkautomaten in Texas in den USA.
So kannst du dich vor den QR-Code Gefahren schützen
Du weißt jetzt also, dass die schwarz-weißen Quadrate gefährlich sein können. Wie kannst du dich konkret gegen die Gefahren von QR-Codes schützen? Dafür habe ich vier Tipps für dich.
Das größte Problem bei QR-Codes ist ja, dass du nicht siehst, was eigentlich dahintersteckt. Bevor du auf einen Link klickst, könntest du vorher anhand der URL zumindest kontrollieren, welche Website sich dahinter verbirgt. Bei einem QR-Code musst du hingegen blind darauf vertrauen, dass die Website korrekt ist.
Ob dein Smartphone den Link hinter dem QR-Code anzeigt, hängt von deinem Betriebssystem ab. Bei einem iPhone wird beispielsweise nicht angezeigt, auf welche Domain ich weitergeleitet werde. Alternativ solltest du zumindest nach dem Einscannen eines QR-Codes kontrollieren, auf welcher Website du eigentlich gerade gelandet bist.
Noch besser ist allerdings, wenn du vor dem Aufrufen der Website kontrollierst, auf welche Website du eigentlich geleitet wirst. Allerdings gibt es zum Scannen von QR-Codes Apps, die es dir ermöglichen, nach dem Scannen einen Blick auf die URL zu werfen, bevor du diese dann aufrufst.
Bei der URL solltest du darauf achten, dass es sich auch wirklich um die Website handelt, die du erwarten würdest. Um beim Beispiel mit den Parkautomaten zu bleiben: Angenommen, das Unternehmen des Parkautomaten würde Parkmeter heißen. Leitet dich der QR-Code dann auch wirklich auf deren Website parkmeter.de oder vielleicht stattdessen auf parmeter.de weiter?
Wenn du dann auf der Website angekommen bist, solltest du dort vorsichtig mit dem Eingeben von Informationen sein. Gib deine Login-Daten oder deine Kreditkarteninformationen nur dann ein, wenn du dir auch wirklich sicher bist, dass es sich um die Website des Unternehmens handelt.
Außerdem solltest du einen zweiten Faktor verwenden. Warum das generell keine schlechte Idee ist und wie du das am besten machst, erfährst du in diesem Video.
Beim Schutz gegen Phishing – beziehungsweise Quishing – errichtest du mit einer 2-Faktor-Authentifizierung eine zusätzliche Sicherheitsbarriere: Solltest du doch mal deine Login-Daten auf einer gefälschten Website eingeben, könnten Kriminelle damit nicht allzu viel anfangen, da sie zusätzlich noch deinen zweiten Faktor benötigen.
Jetzt würde mich deine Erfahrung mit QR-Codes interessieren: Warst du dir den Gefahren von QR-Codes bewusst? Bist du schon mal gefälschten QR-Codes über den Weg gelaufen? Mir ist das bisher noch nicht passiert. Oder vielleicht wurde ich ja schon einmal gequisht und mir ist es nur nicht aufgefallen.Hinterlasse mir gerne einen Kommentar mit deinen Erfahrungen und Fragen zu QR-Codes! 🙂
