21.02.2013

QR-Codes: Manche QR-Codes sind gefähr­lich

QR-Codes Meldung

QR-Codes sind beliebt bei Smartphone-Besitzern. Die schwarz-weißen Muster werden einfach mit dem Handy gescannt – und schon landen Zusatz­inhalte auf dem Gerät des Nutzers. Doch nun haben auch Betrüger die QR-Codes für sich entdeckt. Das Risiko, einen schadhaften Code zu scannen, ist gering. Wenn es jedoch passiert, können sich dahinter Webseiten verstecken, die Trojaner beinhalten. Hier ein paar Tipps für den sicheren Umgang mit den Pixel-Codes.

Quick Response – die schnelle Antwort

Ob auf Plakaten, Flyern oder Tickets: Die kleinen Quadrate mit schwarzen und weißen Punkten sind die Brücke vom „echten“ ins virtuelle Leben. QR bedeutet Quick Response, also schnelle Antwort. Die Codes führen den Smartphone-Besitzer in Sekunden­schnelle zu einer bestimmten Seite im Internet – er muss nur einen Barcode-Scanner installieren, diese App aufrufen und sein Handy über das pixelige Muster halten. Doch die Quadrate können noch mehr: Reisende können mit ihnen ihre Tickets verifizieren oder bequem wichtige Informationen wie Stadt­pläne abfragen. Längst haben aber auch Hacker eigene Codes produziert. Die Codes geben an, auf harmlose Seiten zu verweisen. Doch tatsäch­lich führen sie auf andere Seiten als die angegebene, wo dann Schadsoftware lauern kann. Diese Form der Kriminalität nennt sich „Social Hacking“: Die Betrüger nutzen das persönliche Umfeld der Opfer aus und täuschen Identitäten vor, um persönliche Informationen zu erlangen.

Welche Gefahr geht von QR-Codes aus?

„QR-Codes selbst können dem Smartphone keinen Schaden zufügen. Allerdings können sich hinter QR-Codes nicht nur Texte, sondern auch Links auf Webseiten verbergen. Diese Webseiten können einen Trojaner beinhalten, der auf das Telefon geladen wird“, erklärt Florian Glatzner vom Verbraucherzentrale Bundes­verband. Anwender, die die manipulierten Codes scannen laufen also Gefahr, dass über die Schadsoftware persönliche Daten vom Handy abge­rufen werden. Das Bundes­amt für Sicherheit in der Informations­technik (BSI) warnt Verbraucher vor betrügerischen QR-Codes.

[Update 21.2.2013]: Das Risiko beschränkt sich allerdings auf solche Handys, deren Betriebs­system eine Installation von Software aus beliebigen Quellen ermöglicht, wie zum Beispiel Android. Und auch für Android-Handys ist bislang keine Schadsoftware bekannt, die sich – wie beim PC – völlig selbst­ständig und ohne Zutun des Nutzers installieren könnte. Der Nutzer müsste ein Schad­programm, auf das ein bösartiger QR-Link verweist, selbst­ständig herunter­laden und der Installation zustimmen. Davon ist grund­sätzlich abzu­raten. Software sollte nur aus vertrauens­würdigen Quellen geladen werden. [/Update]

Wie können Nutzer sich schützen?

Auf QR-Codes kann man an vielen Stellen im öffent­lichen Raum treffen, besonders häufig werden sie bei Werbeplakaten oder im Nahverkehr genutzt. Für Nutzer ist es schwierig, bösartige Codes von den Originalen zu unterscheiden. Sie sollten folgende Punkte beachten:

  • Aufgeklebte Codes. Wenn Sie auf der Straße, an öffent­lichen Plätzen, Codes scannen, dann achten Sie darauf, dass es nicht um aufgeklebte Codes handelt.
  • Codes auf Flyern. Codes auf Flyern oder Gutscheinen, die auf der Straße gratis verteilt werden, sollten Sie ebenfalls mit Vorsicht genießen.
  • Barcode-Scanner. Um Codes zu lesen, brauchen Sie eine Scanner-App. Es gibt sowohl kostenlose als auch kosten­pflichtige Scanner. Das Wichtigste: Ein sicherer Scanner zeigt zunächst die Internet­adresse an, auf die der QR-Code verlinken möchte. Die Seite wird nicht sofort aufgerufen und Sie haben die Möglich­keit, den Vorgang noch abzu­brechen, falls Sie die Seite nicht kennen. Viele QR-Codes verfügen nur über einen Kurz­link, dieser besteht aus wenigen Buch­staben und Zahlen. Ein guter Scanner entschlüsselt diesen auto­matisch und zeigt Ihnen direkt die originale Adresse an (wie das im Detail aussieht, sehen Sie im Video). Bei manchen Scannern muss die Vorschau­funk­tion erst in den Einstel­lungen akti­viert werden. Sichere Scanner können Sie sich gratis herunter­laden, für Android-Smartphones beispiels­weise den Barcode Scanner von ZXing Team, für iOS etwa Qrafter von Kerem Erkan.
  • [Update 21.2.2013]: Smartphone-Nutzer sollten Zusatz­software grund­sätzlich nur aus vertrauens­würdigen Quellen installieren. Bei Android-Handys ist der Menü­punkt „Installation von Apps aus unbe­kannten Quellen zulassen“ stan­dard­mäßig deaktiviert. Wer diese Möglich­keit dennoch nutzen will, sollte die alternativen Quellen genau prüfen. Apps von Webseiten, auf die ein irgendwo öffent­lich angebrachter QR-Code verweist, sollte er besser nicht installieren. [/Update]

Testen mit test.de

QR-Codes Meldung
Code-Scanner-Test

Wenn Sie testen möchten, ob Ihre Scanner-App die Internet­adresse vor dem Aufruf der Webseite anzeigt und Kurz-Links entschlüsseln kann, dann scannen Sie einfach den ange­zeigten QR-Code im Artikel. Dieser verweist mit einem Kurz­link auf test.de. Wenn Sie einen sicheren Scanner haben, dann wird dieser den Kurz-Link entschlüsseln und Ihnen die Adresse test.de anzeigen – und die Seite nicht sofort aufrufen.

Dieser Artikel ist hilfreich. Nutzer finden das hilfreich.

Kommentare (8)

weitere Kommentare anzeigen

Alle Kommentare anzeigen

Schreiben Sie bitte einen Kommentar

Nur registrierte Nutzer können Kommentare verfassen. Jetzt einloggen oder Neu registrieren.
Individuelle Fragen richten Sie bitte an den Leserservice