QR-Codes: Nicht alle sind sicher

Immer häufiger begegnen uns im Alltag QR-Codes – auch «Klötzchen-Codes» genannt. Man findet sie zum Beispiel auf elektronischen Bahnbilletten, auf Flugtickets oder Werbeplakaten. Im quadratischen Muster sind Informationen verschlüsselt. Diese können auch heikel sein.

QR-Codes: Nicht alle sind sicher

Bildlegende: QR-Codes: Nicht alle sind sicher SRF

QR steht für «quick response», also «schnelle Antwort». Die Idee dahinter ist, dass man schnell zu elektronischen Informationen kommt, ohne etwas auf einer Tastatur eingeben zu müssen. Dafür erfasst man mit der Handy-Kamera den quadratischen Code. Dieser wird dann umgewandelt in eine Internetadresse oder einen kurzen Text. Man benötigt dafür lediglich ein kleines Leseprogramm (Reader) auf dem Handy.

Vorsicht bei automatischer Weiterleitung

Heikel kann es laut QR-Code-Experte Oliver Bendel werden, wenn man vom Reader direkt auf die codierte Internetseite geleitet wird, und die Adresse nicht zuerst auf dem Handy angezeigt wird. So könnte man auf eine Seite mit schädlicher Software geleitet werden oder auf eine Phishing-Seite. Der QR-Code-Experte empfiehlt daher, immer einen Reader zu verwenden, der zuerst die entschlüsselte Internetadresse anzeigt. So könne man selber entscheiden, ob man wirklich dorthin geleitet werden wolle.

Technisch ist es auch möglich, dass in einem QR-Code ein Programm verschlüsselt ist, welches das Handy manipuliert. Besteht ein Code aus besonders vielen kleinen Quadrätchen , ist darin besonders viel Information versteckt. Dies ist für Oliver Bendel ein Warnzeichen und die Anwender sollten vorsichtig sein.

Zur Sicherheit sollte man immer das Umfeld des QR-Codes beachten: Einen irgendwo aufgeklebten Code ohne weitere Erläuterungen sollte man nicht aus Neugier ausprobieren. Neben einem seriösen Code sollte immer auch geschrieben stehen, wohin er führt und was sein Zweck ist. Aufpassen sollte man auch, dass der ursprüngliche Code nicht mit einem anderen, manipulierten Code überklebt wurde.

Leseprogramm von bekannten Anbietern

Reader für QR-Codes sollte man nur bei grossen App-Anbietern herunterladen, empfiehlt Bendel. Denn auch die Programme könnten problematisch sein. So könnten sie theoretisch dazu dienen, Daten der Benutzer auszuspionieren. Allerdings, schränkt Bendel ein, ist ihm noch kein solcher Fall bekannt.

Oliver Bendel selber ist nicht nur Wirtschasftsinformatiker, sondern auch Schriftsteller. Als solcher benutzt QR-Codes in seinen Büchern. Kurzgedichte sind auch als QR-Code abgedruckt. Diese können dann mit dem Handy eingelesen, gespeichert oder verschickt werden. Ein Beispiel dafür ist das Bild zu diesem Text.

Erfunden wurden die QR-Codes in den 90er-Jahren in Japan. Sie dienten dazu Autobauteile zu markieren und so die Logistik zu verbessern. Danach breiteten sich die «Klötzchen-Codes» immer mehr aus. In der Schweiz sind die Nutzerzahlen zwar noch niedrig, die Kurve steigt jedoch steil an.

Tipps vom Experten

  • Nur Reader verwenden, die zuerst entschlüsselte Internetseite anzeigen
  • Reader nur bei grossen App-Anbietern herunterladen
  • Vorsicht bei QR-Codes mit besonders vielen kleinen Quadrätchen!
  • Keine Codes verwenden, bei denen der Ziel-Link und der Zweck fehlt
  • Darauf achten, dass der ursprüngliche Code nicht mit einem manipulierten Code überklebt wurde