Deine IP: Unbekannt · Dein Status: GeschütztUngeschütztUnbekannt

Erst gescannt, dann gehackt – so unsicher können QR-Codes sein

QR-Codes sind seit Beginn der Covid-Pandemie Standard in vielen Bereichen geworden. Schnell und kontaktlos können wir damit einchecken, Speisekarten aufrufen oder Rabatte einlösen. Unternehmen aller Art haben QR-Codes sogar als Zahlungsmittel für Waren und Dienstleistungen eingeführt. Leider macht jede Technologie, die das Leben einfacher oder bequemer macht, es auch für Cyberkriminelle einfacher und setzt dich damit einem erhöhten Risiko aus.

Werner Beckmann

Werner Beckmann

Erst gescannt, dann gehackt – so unsicher können QR-Codes sein

Was ist ein QR-Code?

Ein QR-Code ist ein quadratisches Symbol mit einem einzigartigen Muster – eine Art erweiterter Barcode. QR-Codes sind eine Art zweidimensionaler Barcode, der Daten enthält, oft für einen Locator, eine Kennung oder einen Tracker. Der Code kann damit einfach von einem Smartphone oder einem anderen Gerät mit einer Kamera gelesen und in nützliche Informationen für den Endnutzer umgewandelt werden, z. B. in eine URL für eine Website oder eine App.

QR-Codes wurden 1994 von einem Automobilhersteller erfunden, um Autoteile zu verfolgen, aber ihre einfache Handhabung und die größere Speicherkapazität – bis zu 2.500 Zeichen im Vergleich zu 43 Zeichen bei einem Barcode – machten sie bald auch in anderen Branchen beliebt.

Wie sicher sind QR-Codes?

Wenn er wie vorgesehen verwendet wird, ist der QR-Code ziemlich sicher und einfach in der Anwendung. Wenn du die Kamera deines Smartphones auf einen QR-Code richtest, erscheint auf magische Weise ein Link, auf den du tippen kannst, um die entsprechende Website aufzurufen. Das Problem ist jedoch, dass du nicht weißt, was die angegebene Website eigentlich ist. Du weißt nicht, wohin der QR-Code dich führt, und kannst nicht wissen, ob es sich um eine sichere, verschlüsselte Website oder ein bösartiges Ziel handelt.

Wenn du den QR-Code scannst, vertraust du darauf, dass er dorthin zeigt, wo du denkst, dass er hin soll, oder dass er zumindest nicht bösartig ist. Dieses Vertrauen kann leicht von Cyberkriminellen ausgenutzt werden.

Wie bereits erwähnt, haben die meisten Restaurants und Bars ein QR-Code-System eingeführt, um ihre Speisekarten weiterzugeben – und diese QR-Codes sind in der Regel nur ein Aufkleber, den das Lokal auf Tische und Theken klebt. Irgendein Dritter könnte diese Sticker aber ganz einfach selbst über die QR-Codes des Restaurants kleben, ohne dass es auffällt.

Welche Arten von QR-Code-Attacken gibt es?

Wie bei Phishing-Angriffen verwenden Cyberkriminelle verschiedene Taktiken, um User zum Scannen des bösartigen QR-Codes zu verleiten. Zu den Arten von QR-Code-Angriffen gehören:

Quishing. Bei einem Quishing-Angriff senden die Angreifer eine Phishing-E-Mail mit einem bösartigen QR-Code als Anhang. Sobald der Nutzer den QR-Code scannt, wird er auf eine Phishing-Seite geleitet, die sensible Daten wie die Anmeldedaten des Nutzers abfängt.

QRLjacking. Die meisten Unternehmen verwenden Quick Response Code Login (QRL) als Alternative zu passwortbasierten Authentifizierungsverfahren. Mit einem QRL können sich die Nutzer durch Scannen eines QR-Codes, der mit den Anmeldedaten verschlüsselt ist, in ihre Konten einloggen.

QRLJacking ist eine Art Social-Engineering-Attacke, bei der alle Konten, die sich auf die Funktion „Login mit QR-Code“ stützen, angegriffen werden. Bei einem QRLJacking-Angriff bringen die Angreifer ahnungslose Nutzer dazu, einen speziell gestalteten QRL-Code zu scannen, anstatt den legitimen. Sobald das Opfer die bösartige QRL einscannt, wird das Gerät kompromittiert, sodass der Angreifer die vollständige Kontrolle über das Gerät übernehmen kann.

Erst nachdenken, dann scannen

QR-Codes werden auch in absehbarer Zeit nicht verschwinden. Sie bieten eine einfache und bequeme Möglichkeit, Informationen zu teilen oder zu sammeln. Es ist nicht so, dass Unternehmen oder Verbraucher QR-Codes komplett meiden sollten. Aber du solltest aufhören, QR-Codes von vornherein zu vertrauen. Es ist Vorsicht geboten und es sollte das gleiche Maß an Skepsis und Wachsamkeit vorherrschen wie bei einem unbekannten Link oder Dateianhang in einer E-Mail.

So kannst du dich vor unsicheren QR-Codes effektiv schützen:

  1. Scanne sie nicht, wenn du dir nicht absolut sicher über das Ziel bist.
  2. Nimm dir Zeit, um den Link zu überprüfen.
  3. Aktiviere ein VPN (virtuelles privates Netzwerk), um deinen Datenverkehr zu verschlüsseln und deine Privatsphäre vor Kriminellen zu schützen. NordVPN bietet außerdem einen integrierten Bedrohungsschutz, der schädliche Webseiten blockiert sowie Werbung, Tracker und Viren abwehrt.
  4. Achte auf Anzeichen von physischer Manipulation der Aufkleber.
  5. Lade niemals Apps über QR-Codes herunter.
  6. Mache keine elektronischen Zahlungen über QR-Codes.
  7. Aktiviere die Multi-Faktor-Authentifizierung (MFA).

Online-Sicherheit beginnt mit einem Klick.

Bleib sicher – mit dem weltweit führenden VPN


Werner Beckmann
Werner Beckmann Werner Beckmann
success Geprüfter Autor
Werner ist Copywriter und Wortjongleur bei NordVPN. Er recherchiert gerne die neuesten Trends in Sachen Cybersicherheit und berichtet über spannende Tech-Themen im NordVPN-Blog. Mit seinen Texten möchte er die Menschen über Online-Sicherheit aufklären und die Vision eines wahrhaft freien Internets vorantreiben.