QR-Codes
QR-Codes (Quick Response Codes) sind zweidimensionale Barcodes, die eine Vielzahl von Informationen verschlüsselt speichern können.
Sie bestehen aus einer quadratischen Anordnung schwarzer und weißer Pixel, die Informationen in beiden Dimensionen (horizontal und vertikal) kodieren. In einem QR-Code können bis zu 7.089 Ziffern oder 4.296 alphanumerische Zeichen gespeichert werden.
Wie funktionieren QR-Codes?
- QR-Codes können mit einem Smartphone oder anderen mobilen Geräten mit der Kamera-App oder – besser – mit eigenständigen Apps gescannt und die darin enthaltenen Informationen ausgelesen werden (s. u. „Gefahren beim Scan von QR-Codes“).
- Die Informationen können URLs, Text, Kontaktdaten, Kalenderereignisse, Zahlungsinformationen und vieles mehr sein.
- Die Apps nutzen dabei die Hardware und Elektronik der Kameras von Mobilgeräten, nehmen jedoch kein Bild auf. Die Software analysiert die Zeichen, die im QR-Codes verschlüsselt sind und zeigt sie als Text an.
- QR-Codes enthalten Redundanzen, sodass bis zu 30% des Codes beschädigt sein können, ohne dass er unleserlich wird.
Anwendungsbereiche von QR-Codes
Ursprünglich für die Produktionsverfolgung in der Automobilindustrie entwickelt, finden QR-Codes heute vielfältige Anwendung:
- Marketing und Werbung (Verlinkung zu Websites, Produktinformationen)
- Kontaktdaten und Visitenkarten
- Ticketing und Zugangskontrolle
- Zahlungsverkehr (z.B. QR-Rechnungen)
- Digitale Speisekarten in der Gastronomie
- … und viele weitere kreative Einsatzmöglichkeiten
QR-Codes ermöglichen durch ihre hohe Speicherkapazität und einfache Lesbarkeit mit Smartphones die Verknüpfung der physischen mit der digitalen Welt.
Gefahren beim Scan von QR-Codes
QR-Codes bieten zwar viele nützliche Anwendungsmöglichkeiten, können aber auch für böswillige Zwecke missbraucht werden.
- Quishing (QR-Code-Phishing) – QR-Code-basierter Phishing-Angriff. Angreifer erstellen einen QR-Code, der auf eine gefälschte Phishing-Website führt, um Anmeldedaten, persönliche Daten oder andere vertrauliche Informationen des Opfers zu stehlen.
- Schädliche Downloads – gefälschte QR-Codes können an öffentlichen Orten, auf Produktverpackungen oder in Werbung platziert werden. Sie sehen aus wie echte Codes, leiten Nutzer aber auf schädliche Websites, die unerwünschte Downloads auslösen können.
- Unerwünschte Aktionen auf Geräteebene – Angreifer können QR-Codes erstellen, die nach dem Scannen unerwünschte Aktionen auf dem Gerät auslösen, wie Anrufe tätigen, Textnachrichten senden, Zahlungen veranlassen oder dem Gerät den Beitritt zu einem WLAN-Netzwerk befehlen.
- QRLjacking (QR-Code-Login-Hacking) – Quick Response Login (QRL) wird oft als Alternative zur Passwort-Authentifizierung verwendet. Bei einem QRLjacking-Angriff verleiten Hacker Nutzer dazu, einen manipulierten QR-Code zu scannen, anstatt des echten QRL-Codes.
Um sich vor diesen Gefahren zu schützen, ist es wichtig,
- QR-Codes nur aus vertrauenswürdigen Quellen zu scannen und
- direkt nach dem Scan zu prüfen, welche Informationen (welcher Text, welche Internetadresse, …) tatsächlich gerade gescannt wurde.
Apps zum Scan von QR-Codes
Bei den meisten Mobilgeräte können die Kamera-Apps zum Scan von QR-Codes verwenden. Es gibt jedoch eine Vielzahl von eigenständigen Apps für diesen Zweck.
Wichtig ist, dass die Apps die Möglichkeit bieten, den soeben gescannten Text (Internetadresse, Zugangsdaten, …) zu überprüfen, ob dieser tatsächlich mit den angekündigten Daten übereinstimmt (siehe oben, „Gefahren …“).
Als besonders sicher und privatsphärefreundlich ist in diesem Zusammenhang der von der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie – KIT herausgegebene „QR Scanner (PFA)“ (nur für Android) zu werten. Die Nutzung der App ist wegen der Hinweise und Erläuterungen nicht unbedingt besonders schnell, lohnt sich bei seltenem Einsatz gerade deshalb. Die App ist in den Onlinestores F-Droid und im Google Play Store zu beziehen (am besten mit „secuso“ suchen).
QR-Codes erstellen
QR-Codes können auf vielen Webseiten kostenlos, durch Eintippen des im QR-Codes enthaltenen Text und anschließendem Ausdruck erzeugt werden. Beispielhaft seien erwähnt:
- QR_Code-Generator der TU Chemnitz
- Online QR Code Generator(R) der Fa. TEC-IT Datenverarbeitung GmbH
Quellen:
– Wikipedia – QR-Codes
– IONOS – QR-Codes
– Security-Insider – Gefahren QR-Codes