QR-Codes Manche QR-Codes sind gefähr­lich

10

QR-Codes sind beliebt bei Smartphone-Besitzern. Die schwarz-weißen Muster werden einfach mit dem Handy gescannt – und schon landen Zusatz­inhalte auf dem Gerät des Nutzers. Doch nun haben auch Betrüger die QR-Codes für sich entdeckt. Das Risiko, einen schadhaften Code zu scannen, ist gering. Wenn es jedoch passiert, können sich dahinter Webseiten verstecken, die Trojaner beinhalten. Hier ein paar Tipps für den sicheren Umgang mit den Pixel-Codes.

Quick Response – die schnelle Antwort

Ob auf Plakaten, Flyern oder Tickets: Die kleinen Quadrate mit schwarzen und weißen Punkten sind die Brücke vom „echten“ ins virtuelle Leben. QR bedeutet Quick Response, also schnelle Antwort. Die Codes führen den Smartphone-Besitzer in Sekunden­schnelle zu einer bestimmten Seite im Internet – er muss nur einen Barcode-Scanner installieren, diese App aufrufen und sein Handy über das pixelige Muster halten. Doch die Quadrate können noch mehr: Reisende können mit ihnen ihre Tickets verifizieren oder bequem wichtige Informationen wie Stadt­pläne abfragen. Längst haben aber auch Hacker eigene Codes produziert. Die Codes geben an, auf harmlose Seiten zu verweisen. Doch tatsäch­lich führen sie auf andere Seiten als die angegebene, wo dann Schadsoftware lauern kann. Diese Form der Kriminalität nennt sich „Social Hacking“: Die Betrüger nutzen das persönliche Umfeld der Opfer aus und täuschen Identitäten vor, um persönliche Informationen zu erlangen.

Welche Gefahr geht von QR-Codes aus?

„QR-Codes selbst können dem Smartphone keinen Schaden zufügen. Allerdings können sich hinter QR-Codes nicht nur Texte, sondern auch Links auf Webseiten verbergen. Diese Webseiten können einen Trojaner beinhalten, der auf das Telefon geladen wird“, erklärt Florian Glatzner vom Verbraucherzentrale Bundes­verband. Anwender, die die manipulierten Codes scannen laufen also Gefahr, dass über die Schadsoftware persönliche Daten vom Handy abge­rufen werden. Das Bundes­amt für Sicherheit in der Informations­technik (BSI) warnt Verbraucher vor betrügerischen QR-Codes.

[Update 21.2.2013]: Das Risiko beschränkt sich allerdings auf solche Handys, deren Betriebs­system eine Installation von Software aus beliebigen Quellen ermöglicht, wie zum Beispiel Android. Und auch für Android-Handys ist bislang keine Schadsoftware bekannt, die sich – wie beim PC – völlig selbst­ständig und ohne Zutun des Nutzers installieren könnte. Der Nutzer müsste ein Schad­programm, auf das ein bösartiger QR-Link verweist, selbst­ständig herunter­laden und der Installation zustimmen. Davon ist grund­sätzlich abzu­raten. Software sollte nur aus vertrauens­würdigen Quellen geladen werden. [/Update]

Wie können Nutzer sich schützen?

Auf QR-Codes kann man an vielen Stellen im öffent­lichen Raum treffen, besonders häufig werden sie bei Werbeplakaten oder im Nahverkehr genutzt. Für Nutzer ist es schwierig, bösartige Codes von den Originalen zu unterscheiden. Sie sollten folgende Punkte beachten:

  • Aufgeklebte Codes. Wenn Sie auf der Straße, an öffent­lichen Plätzen, Codes scannen, dann achten Sie darauf, dass es nicht um aufgeklebte Codes handelt.
  • Codes auf Flyern. Codes auf Flyern oder Gutscheinen, die auf der Straße gratis verteilt werden, sollten Sie ebenfalls mit Vorsicht genießen.
  • Barcode-Scanner. Um Codes zu lesen, brauchen Sie eine Scanner-App. Es gibt sowohl kostenlose als auch kosten­pflichtige Scanner. Das Wichtigste: Ein sicherer Scanner zeigt zunächst die Internet­adresse an, auf die der QR-Code verlinken möchte. Die Seite wird nicht sofort aufgerufen und Sie haben die Möglich­keit, den Vorgang noch abzu­brechen, falls Sie die Seite nicht kennen. Viele QR-Codes verfügen nur über einen Kurz­link, dieser besteht aus wenigen Buch­staben und Zahlen. Ein guter Scanner entschlüsselt diesen auto­matisch und zeigt Ihnen direkt die originale Adresse an (wie das im Detail aussieht, sehen Sie im Video). Bei manchen Scannern muss die Vorschau­funk­tion erst in den Einstel­lungen akti­viert werden. Sichere Scanner können Sie sich gratis herunter­laden, für Android-Smartphones beispiels­weise den Barcode Scanner von ZXing Team, für iOS etwa Qrafter von Kerem Erkan.
  • [Update 21.2.2013]: Smartphone-Nutzer sollten Zusatz­software grund­sätzlich nur aus vertrauens­würdigen Quellen installieren. Bei Android-Handys ist der Menü­punkt „Installation von Apps aus unbe­kannten Quellen zulassen“ stan­dard­mäßig deaktiviert. Wer diese Möglich­keit dennoch nutzen will, sollte die alternativen Quellen genau prüfen. Apps von Webseiten, auf die ein irgendwo öffent­lich angebrachter QR-Code verweist, sollte er besser nicht installieren. [/Update]

Testen mit test.de

QR-Codes - Manche QR-Codes sind gefähr­lich
Code-Scanner-Test

Wenn Sie testen möchten, ob Ihre Scanner-App die Internet­adresse vor dem Aufruf der Webseite anzeigt und Kurz-Links entschlüsseln kann, dann scannen Sie einfach den ange­zeigten QR-Code im Artikel. Dieser verweist mit einem Kurz­link auf test.de. Wenn Sie einen sicheren Scanner haben, dann wird dieser den Kurz-Link entschlüsseln und Ihnen die Adresse test.de anzeigen – und die Seite nicht sofort aufrufen.

10

Mehr zum Thema

  • Online-Ausweis­funk­tion So nutzen Sie den digitalen Ausweis

    - Dank der Online-Ausweis­funk­tion lassen sich von Kfz-Zulassung bis Bafög-Antrag bereits einige Dinge online erledigen. Das funk­tioniert auch mit dem Smartphone.

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

  • Blitzer-App Ist die Warnung vor Radarfallen legal?

    - Millionen Deutsche haben ein Programm auf ihrem Handy, das sie vor Radarfallen warnt. Doch Achtung: Für Auto­fahrer ist die Nutzung einer solchen Blitzer-App illegal....

10 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 24.11.2017 um 13:43 Uhr
Empfehlung für sichere Scanner?

Nein, es liegen leider keine Untersuchungen vor, die hätten wir hier verlinkt. (Bu)

koli.bri am 24.11.2017 um 07:54 Uhr
Barcode Scanner von ZXing

Ist schon lange her, die Anfrage von hwolny, eine Antwort würde mich aber immer noch interessieren!

hwolny am 13.04.2013 um 10:58 Uhr
NOCHMAL: Barcode Scanner von ZXing Team

Ich kann klausklaus nur bestätigen.
Und stelle Stiftung Warentest daher die Frage, ob Sie nicht doch einen QR-Scanner empfehlen können, der
1) sicher ist (nach ihrer Definition) und
2) keine (oder so wenig wie möglich ..) dafür nicht nötigen Informationen abgreift.
Bin gespannt auf die Antwort!

Profilbild Stiftung_Warentest am 26.02.2013 um 11:53 Uhr
bitly-Link

@klausff: Wie oben beschrieben enthält unser QR-Code eine Kurz-URL - die wir über den Link-Verkürzungsdienst bitly eingerichtet haben. Der bitly-Link verlinkt wiederum auf test.de. Wie sie sehen entschlüsselt Ihr QR-Code-Scanner den Code zunächst und zeigt Ihnen an, auf welche Webseite sie geleitet werden sollen - noch bevor sie die Webseite tatsächlich aufrufen. Genau das ist die sichere Variante, denn man sollte ja auch nicht jeden beliebigen Link in Spam-Mails anklicken, ohne zu wissen, auf welche Seite man geleitet wird.

klausff am 25.02.2013 um 20:10 Uhr
Merkwürdiger QR-Code

Ich erhalte beim Scannen Ihres Test-Codes mit dem "ScanMe Barcodescan" folgende Meldung angezeigt: "http://bit.ly/uxjEI3. Umleiten: http://www.Test.de/" - Was hat das zu bedeuten?