QR-Codes sind beliebt bei Smartphone-Besitzern. Die schwarz-weißen Muster werden einfach mit dem Handy gescannt – und schon landen Zusatzinhalte auf dem Gerät des Nutzers. Doch nun haben auch Betrüger die QR-Codes für sich entdeckt. Das Risiko, einen schadhaften Code zu scannen, ist gering. Wenn es jedoch passiert, können sich dahinter Webseiten verstecken, die Trojaner beinhalten. Hier ein paar Tipps für den sicheren Umgang mit den Pixel-Codes.
Quick Response – die schnelle Antwort
Ob auf Plakaten, Flyern oder Tickets: Die kleinen Quadrate mit schwarzen und weißen Punkten sind die Brücke vom „echten“ ins virtuelle Leben. QR bedeutet Quick Response, also schnelle Antwort. Die Codes führen den Smartphone-Besitzer in Sekundenschnelle zu einer bestimmten Seite im Internet – er muss nur einen Barcode-Scanner installieren, diese App aufrufen und sein Handy über das pixelige Muster halten. Doch die Quadrate können noch mehr: Reisende können mit ihnen ihre Tickets verifizieren oder bequem wichtige Informationen wie Stadtpläne abfragen. Längst haben aber auch Hacker eigene Codes produziert. Die Codes geben an, auf harmlose Seiten zu verweisen. Doch tatsächlich führen sie auf andere Seiten als die angegebene, wo dann Schadsoftware lauern kann. Diese Form der Kriminalität nennt sich „Social Hacking“: Die Betrüger nutzen das persönliche Umfeld der Opfer aus und täuschen Identitäten vor, um persönliche Informationen zu erlangen.
Welche Gefahr geht von QR-Codes aus?
„QR-Codes selbst können dem Smartphone keinen Schaden zufügen. Allerdings können sich hinter QR-Codes nicht nur Texte, sondern auch Links auf Webseiten verbergen. Diese Webseiten können einen Trojaner beinhalten, der auf das Telefon geladen wird“, erklärt Florian Glatzner vom Verbraucherzentrale Bundesverband. Anwender, die die manipulierten Codes scannen laufen also Gefahr, dass über die Schadsoftware persönliche Daten vom Handy abgerufen werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucher vor betrügerischen QR-Codes.
[Update 21.2.2013]: Das Risiko beschränkt sich allerdings auf solche Handys, deren Betriebssystem eine Installation von Software aus beliebigen Quellen ermöglicht, wie zum Beispiel Android. Und auch für Android-Handys ist bislang keine Schadsoftware bekannt, die sich – wie beim PC – völlig selbstständig und ohne Zutun des Nutzers installieren könnte. Der Nutzer müsste ein Schadprogramm, auf das ein bösartiger QR-Link verweist, selbstständig herunterladen und der Installation zustimmen. Davon ist grundsätzlich abzuraten. Software sollte nur aus vertrauenswürdigen Quellen geladen werden. [/Update]
Wie können Nutzer sich schützen?
Auf QR-Codes kann man an vielen Stellen im öffentlichen Raum treffen, besonders häufig werden sie bei Werbeplakaten oder im Nahverkehr genutzt. Für Nutzer ist es schwierig, bösartige Codes von den Originalen zu unterscheiden. Sie sollten folgende Punkte beachten:
- Aufgeklebte Codes. Wenn Sie auf der Straße, an öffentlichen Plätzen, Codes scannen, dann achten Sie darauf, dass es nicht um aufgeklebte Codes handelt.
- Codes auf Flyern. Codes auf Flyern oder Gutscheinen, die auf der Straße gratis verteilt werden, sollten Sie ebenfalls mit Vorsicht genießen.
- Barcode-Scanner. Um Codes zu lesen, brauchen Sie eine Scanner-App. Es gibt sowohl kostenlose als auch kostenpflichtige Scanner. Das Wichtigste: Ein sicherer Scanner zeigt zunächst die Internetadresse an, auf die der QR-Code verlinken möchte. Die Seite wird nicht sofort aufgerufen und Sie haben die Möglichkeit, den Vorgang noch abzubrechen, falls Sie die Seite nicht kennen. Viele QR-Codes verfügen nur über einen Kurzlink, dieser besteht aus wenigen Buchstaben und Zahlen. Ein guter Scanner entschlüsselt diesen automatisch und zeigt Ihnen direkt die originale Adresse an (wie das im Detail aussieht, sehen Sie im Video). Bei manchen Scannern muss die Vorschaufunktion erst in den Einstellungen aktiviert werden. Sichere Scanner können Sie sich gratis herunterladen, für Android-Smartphones beispielsweise den Barcode Scanner von ZXing Team, für iOS etwa Qrafter von Kerem Erkan.
- [Update 21.2.2013]: Smartphone-Nutzer sollten Zusatzsoftware grundsätzlich nur aus vertrauenswürdigen Quellen installieren. Bei Android-Handys ist der Menüpunkt „Installation von Apps aus unbekannten Quellen zulassen“ standardmäßig deaktiviert. Wer diese Möglichkeit dennoch nutzen will, sollte die alternativen Quellen genau prüfen. Apps von Webseiten, auf die ein irgendwo öffentlich angebrachter QR-Code verweist, sollte er besser nicht installieren. [/Update]
Testen mit test.de
Code-Scanner-Test
Wenn Sie testen möchten, ob Ihre Scanner-App die Internetadresse vor dem Aufruf der Webseite anzeigt und Kurz-Links entschlüsseln kann, dann scannen Sie einfach den angezeigten QR-Code im Artikel. Dieser verweist mit einem Kurzlink auf test.de. Wenn Sie einen sicheren Scanner haben, dann wird dieser den Kurz-Link entschlüsseln und Ihnen die Adresse test.de anzeigen – und die Seite nicht sofort aufrufen.
-
So nutzen Sie den digitalen Ausweis
- Dank der Online-Ausweisfunktion lassen sich von Kfz-Zulassung bis Bafög-Antrag bereits einige Dinge online erledigen. Das funktioniert auch mit dem Smartphone.
-
Starker Schutz für lau
- Antiviren-Apps wehren Schadsoftware und Phishing ab. Unser Test von Sicherheits-Apps für Android zeigt: Viele Programme schützen gut. Ganz vorn liegt eine Gratis-App.
-
Wo niemand mitliest
- WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Nein, es liegen leider keine Untersuchungen vor, die hätten wir hier verlinkt. (Bu)
Ist schon lange her, die Anfrage von hwolny, eine Antwort würde mich aber immer noch interessieren!
Ich kann klausklaus nur bestätigen.
Und stelle Stiftung Warentest daher die Frage, ob Sie nicht doch einen QR-Scanner empfehlen können, der
1) sicher ist (nach ihrer Definition) und
2) keine (oder so wenig wie möglich ..) dafür nicht nötigen Informationen abgreift.
Bin gespannt auf die Antwort!
@klausff: Wie oben beschrieben enthält unser QR-Code eine Kurz-URL - die wir über den Link-Verkürzungsdienst bitly eingerichtet haben. Der bitly-Link verlinkt wiederum auf test.de. Wie sie sehen entschlüsselt Ihr QR-Code-Scanner den Code zunächst und zeigt Ihnen an, auf welche Webseite sie geleitet werden sollen - noch bevor sie die Webseite tatsächlich aufrufen. Genau das ist die sichere Variante, denn man sollte ja auch nicht jeden beliebigen Link in Spam-Mails anklicken, ohne zu wissen, auf welche Seite man geleitet wird.
Ich erhalte beim Scannen Ihres Test-Codes mit dem "ScanMe Barcodescan" folgende Meldung angezeigt: "http://bit.ly/uxjEI3. Umleiten: http://www.Test.de/" - Was hat das zu bedeuten?