Sie kennen sie sicher: Die kleinen quadratischen Strichcodes mit wirren Mustern, die immer öfter in Werbung, auf Tickets, Formularen oder in Restaurants zum Einsatz kommen. QR-Codes sind ideal, um eine kleine Datenmengen unkompliziert zu übermitteln, etwa Kontaktinformationen oder Links. Steht zum Beispiel auf einer Visitenkarte ein QR-Code, lassen sich die darin enthaltenen Daten mit dem Smartphone einlesen und der Kontakt speichern. Der Vorteil: Es geht schnell und ist praktisch. Der Nachteil: Sie wissen nie, was hinter einem QR-Code wirklich steckt.



So tauchen beispielsweise immer wieder Phishing-Mails auf, die fragwürdigen QR-Code enthalten. In der Nachricht werden die Empfänger etwa dazu aufgefordert ein wichtiges Dokument zu überprüfen. Um die Datei aufzurufen, soll der Nutzer aber nicht wie üblich einen Anhang herunterladen, sondern stattdessen einen QR-Code scannen. Wozu das Ganze? Auf diese Weise umgehen die Angreifer die Sicherheitsmaßnahmen von Sicherheitsprogrammen, schließlich sind in den Nachrichten keine untersuchbaren Links enthalten. Folglich werden diese nicht herausgefiltert, sondern landen direkt im Nachrichteneingang des potenziellen Opfers.

QR-Codes: Sicherheitsmechanismen clever ausgehebelt

Der zweite Trick: Um etwas herunterzuladen, muss der Empfänger den QR-Code per Smartphone einlesen. Dahinter steckt der zweite perfide Trick: Denn dadurch verlässt das Opfer die gesicherte Umgebung seines Computers, die in der Regel durch ein Antivirenprogramm geschützt ist. Das wiederum warnt vor gefährlichen Internetseiten. Auf einem ungeschützten Smartphone öffnen sie sich dagegen widerstandslos. Meist erscheint dann eine gut gemachte, gefälschte Seite, die nach einer Anmeldung verlangt. Wer hier in die Falle tappt, liefert seine Anmeldedaten den Betrügern frei Haus. Die Masche mag abenteuerlich klingen. Das jemand darauf hereinfällt, den QR-Code tatsächlich einliest und dann noch seine Anmeldedaten preisgibt, scheint unrealistisch. Für die Cybergangster ist das Ganze aber schon dann ein Erfolg, wenn nur wenige hereinfallen.

QR Codes generell unsicher

Die Masche zeigt aber das grundsätzliche Problem von QR-Codes auf. Einige Scanprogramme führen den im Bild versteckten Code „blind” aus, ohne ihn zu überprüfen. Auch dem Nutzer ist nicht bekannt, was sich hinter einem QR-Code verbirgt. Beides versuchen Cybergangster ausnutzen. Verschiedene Szenarien sind denkbar: Angreifer lotsen Nutzer per QR-Code Nutzer auf eine Internetseite, die Schadsoftware enthält. Oder sie versuchen die Opfer auf Phishing-Seiten zu leiten, um dort Zugangsdaten und Passwörter abzugreifen. Derartige QR-Codes waren bereits mehrfach im Umlauf. Auch die Ausführung von Schadcode ist möglich, schließlich lässt sich in QR-Codes die Programmiersprache JavaScript unterbringen. In diesem Fall liest das Smartphone den Code ein und führt ihn aus. Theoretisch können Cyber-Gangster so das Scan-Programm kapern und im schlimmsten Fall gleich das ganze Smartphone. 

Das hilft gegen verseuchte QR-Codes

  • Erstens: Vor dem Öffnen einer Internetseite über einen QR-Code erst einmal die URL in der Benachrichtigung überprüfen. Stimmt hier etwas nicht, sollten Sie den Vorgang sofort abbrechen. Was Sie wissen müssen: Theoretisch können Angreifer auch die URL so anpassen, dass Sie zum QR-Code passt. Deswegen ist es nicht immer möglich, eine Fälschung auszumachen.
  • Zweitens: Android-Nutzer sollten eine Sicherheits-App wie Bitdefender Mobile Security installieren. Die App überwacht und erkennt linkbasierte Angriffe.
  • Und drittens: Nicht jeden Code, den Sie sehen, gleich scannen. Vertrauen Sie nur seriösen Quellen wie abgedruckten Codes in Magazinen (wie IMTEST) und offiziellen Formularen.