Sie prangen auf Werbeplakaten, Briefen, in Zeitungen und Zeitschriften – quadratische Strichcodes, so genannte QR-Codes mit wirren Mustern. Sie sind praktisch, um eine größere Menge Daten zu übermitteln, beispielsweise Kontaktinformationen. So kann auf statt einer Speisekarte auf dem Tisch ein Aufkleber mit einem QR-Code stehen, der sich mit einem auf dem Smartphone installierten Scan-Programm einlesen lässt und die verfügbaren Köstlichkeiten auf dem Bildschirm anzeigt. Der Vorteil: Es geht schnell und ist praktisch.

QR-Code im Schuh
Auf immer mehr Produkten, wie diesem Turnschuh, sind QR-Code zu finden. © Arif Ubayy von Unsplash

QR-Codes haben sich zu einem omnipräsenten Phänomen entwickelt. Sie sind überall zu finden: Auf Müslipackungen, Webeplakaten bis hin zu Mitarbeiteruniformen. Vor allem durch die Corona-Pandemie haben die QR-Codes in einer möglichst berührungslosen Welt ein Comeback gefeiert.

Was ist ein QR-Code?

Vor allem drei Eigenschaften machen QR-Codes zu etwas Besonderem. Die Datenmenge, die sie speichern können, die Geschwindigkeit, mit der sie sich auslesen lassen, und dass sie praktisch jeder mithilfe seines Smartphones auslesen kann.

QR steht für Quick Response (zu Deutsch „schnelle Reaktion“). Es handelt sich um scannbare Barcodes, die Daten enthalten. Im Marketingbereich werden sie häufig verwendet, um Nutzer zu Landing Pages, Social-Media-Profilen oder Gutscheinaktionen weiterzuleiten. Ein QR-Code auf einem Werbeplakat kann zum Beispiel zur Internetseite des Unternehmens weiterleiten, um dort weitergehende Informationen zu liefern. Im privaten Bereich ist es zum Beispiel möglich, einen QR-Code auf der Rückseite seiner Visitenkarte zu platzieren, um so zu seinem LinkedIn-Profil zu leiten.

QR-Codes können die Adressen von Internetseiten, Telefonnummern oder bis zu 7.089 numerische Zeichen oder 4.296 alphanumerische Zeichen enthalten. Zum Vergleich: Ein normaler eindimensionaler Strichcode, etwa auf einer Lebensmittelverpackung, kann nur 20 bis 100 Zeichen speichern. Die Fähigkeit, eine so große Menge an Informationen zu speichern und schnell bereitzustellen, macht sie zu viel nützlicheren Instrumenten als herkömmliche Strichcodes.

QR-Codes kommen darüber hinaus zum Einsatz um:

  • Apps aus dem Apple App Store oder bei Google Play einfach herunterzuladen.
  • Online-Konten und Anmeldedaten (etwa von Bank-Konten) zu verifizieren.
  • Einfachen Zugriff aufs WLAN durch Speichern von Verschlüsselungsdetails wie SSID, Passwort und Verschlüsselungstyp zu ermöglichen.
  • Zahlungsinformationen zu senden und zu empfangen (etwa über PayPal).

Die Einsatzmöglichkeiten sind nahezu unendlich. Ein britisches Unternehmen namens QR Memories erstellt sogar QR-Codes für Grabsteine, die es den Menschen ermöglichen, den Code zu scannen, um mehr über das Leben der verstorbenen Person zu erfahren.

Die Geschichte der QR-Codes

Der QR-Code wurde 1994 von Masahiro Hara erfunden, einem japanischen Ingenieur. Ursprünglich diente er dazu, Fahrzeuge und Teile auf dem Fließband zu verfolgen. Seinen Durchbruch feierte der QR-Code allerdings erst in der Smartphone-Ära. Allerdings mussten Nutzer anfangs eine spezielle Scan-App herunterladen, um die die Codes einlesen zu können. Das ändert sich im Jahr 2017, als Apple einen QR-Leser in die Kamera-App des iPhones einbaute. Andere Hersteller folgten diesem Beispiel. Dank der einfacheren Zugänglichkeit folgte ein wahrer Hype, der aber schnell wieder abebbte. Bis 2020, bis Corona den Bedarf nach kontaktlosen Interaktionsmöglichkeiten befeuerte. Während der COVID-19-Pandemie boten QR-Codes Unternehmen und Geschäften eine einfache Möglichkeit, mit ihren Kunden möglichst berührungslos zu interagieren. Vom Gastgewerbe und der Lebensmittelindustrie bis hin zum Einzelhandel und der verarbeitenden Industrie setzten zahlreiche Unternehmen vermehrt auf QR-Codes.

QR Code im Restaurant
In Restaurants kommen QR-Codes häufig zum Einsatz. © Alba Lantigua von Unspalsh

Wie funktionieren QR-Codes?

Ein QR-Code funktioniert ähnlich wie ein Barcode im Supermarkt. Er besteht aus schwarzen Quadraten und Punkten, die verschiedene Informationen darstellen. Beim Scanvorgang wird das einzigartige Muster auf dem Strichcode in für Menschen lesbare Daten umgewandelt. Die Umwandlung erfolgt innerhalb von Sekunden.

Aus diesen Bestandteilen besteht ein QR-Code

  • Datenfeld: Dabei handelt es sich um die Standardeinheit des QR-Codes. In der Regel handelt es sich um ein schwarzes Quadrat auf weißem Hintergrund. Obwohl Farbe und Kontrast nicht vorgegeben sind, hat sich schwarz-auf-weiß als optimal erwiesen. Die Anordnung dieser schwarzen Quadrate oder Datenmodule macht den Großteil eines QR-Codes aus.
  • Positionsmarkierung: Jeder QR-Code enthält drei Positionsmarker. Sie bestehen aus einem inneren und einem äußeren Auge und ermöglichen es Scannern und Kameras, die Datenmodule und die Scanrichtung schnell und genau zu erfassen.
  • Randzone: Dies ist der leere Bereich an allen Seiten der Datenmodulmatrix, der alle Datenmodule und Positionsmarkierungen enthält. Sie ermöglicht es Scannern und Lesegeräten, optisch zu erkennen, an welcher Stelle der Code beginnt und wo er endet.
QR Code auf Smartphone
Gut zu sehen: Die drei Positionsmarkierungen oben links, recht sowie unten links. © Markus Winkler von Unsplash

Was sind dynamische QR-Codes?

Bei einem dynamischen QR-Code lassen sich die Informationen nach der Erstellung ändern lassen. Der Trick: Die kodierten Informationen leiten an eine Internetseite (URL), die wiederum zur Ziel-Internetseite weiterleitet. Auf der Ziel-Internetseite befindet sich der Inhalt, zum Beispiel eine digitale Weinkarte, ein Lehrplan, Kontaktinformationen, eine Einladung usw. sein. Der Inhalt der Ziel-URL lässt sich immer anpassen, ohne dass eine Änderung nötig ist. Denn dieser enthält lediglich die Umleitungs-URL, nicht die Ziel-URL. Dynamische QR-Codes erlauben darüber hinaus zu erfassen, wann, wo und mit welchem Gerät der Scanvorgang erfolgte. Für Unternehmen ist das äußerst interessant.

Im Gegensatz dazu enthält ein statischer QR-Code Informationen, die sich nicht mehr ändern lassen. Sie sind daher ideal zum Speichern fester oder sensibler Daten, beispielsweise WLAN-Passwörter, Lagepläne oder Zugangscodes.



Wie sicher sind QR-Codes?

Man weiß nie, was hinter einem QR-Code wirklich steckt. So tauchen beispielsweise immer wieder Phishing-Mails auf, die fragwürdigen QR-Code enthalten. In der Nachricht werden die Empfänger etwa dazu aufgefordert ein wichtiges Dokument zu überprüfen. Um die Datei aufzurufen, soll der Nutzer aber nicht wie üblich einen Anhang herunterladen, sondern stattdessen einen QR-Code scannen. Wozu das Ganze? Auf diese Weise umgehen die Angreifer die Sicherheitsmaßnahmen der von Sicherheitsprogrammen, schließlich sind keine untersuchbaren Links enthalten. Die Nachrichten werden also nicht herausgefiltert, sondern landen direkt im Nachrichteneingang des potenziellen Opfers.

Sicherheitsmechanismen clever ausgehebelt

Der zweite Trick: Um etwas herunterzuladen, muss der Empfänger den QR-Code per Smartphone einlesen. Dahinter steckt der zweite perfide Trick: Denn dadurch verlässt das Opfer die gesicherte Umgebung seines Computers, die in der Regel durch ein Antivirenprogramm geschützt ist, das wiederum vor gefährlichen Internetseiten warnt.  Meist erscheint eine gut gemachte, gefälschte Seite, die nach einer Anmeldung verlangt. Wer hier in die Falle tappt, liefert seine Anmeldedaten den Betrügern frei Haus. Die Masche mag abenteuerlich klingen. Das jemand darauf hereinfällt, die Informationen tatsächlich einliest und dann noch seine Anmeldedaten preisgibt, scheint unrealistisch. Für die Cybergangster ist das Ganze aber schon dann ein Erfolg, wenn nur wenige hereinfallen.



Das macht QR Codes unsicher

Die Masche zeigt aber das grundsätzliche Problem von QR-Codes auf. Einige Scanprogramme führen den im Bild versteckten Code „blind” aus, ohne ihn zu überprüfen. Auch dem Nutzer ist nicht bekannt, was sich hinter einem QR-Code verbirgt. Beides versuchen Cybergangster ausnutzen. Verschiedene Szenarien sind denkbar: Angreifer lotsen Nutzer per QR-Code Nutzer auf eine Internetseite, die Schadsoftware enthält. Oder sie versuchen die Opfer auf Phishing-Seiten zu leiten, um dort Zugangsdaten und Passwörter abzugreifen. Derartige QR-Codes waren bereits mehrfach im Umlauf. Auch die Ausführung von Schadcode ist möglich, schließlich lässt sich in QR-Codes die Programmiersprache JavaScript unterbringen. In diesem Fall liest das Smartphone den Code ein und führt ihn aus. Theoretisch können Cyber-Gangster so das Scan-Programm kapern und im schlimmsten Fall gleich das ganze Smartphone. 

Das hilft gegen verseuchte QR-Codes

  • Vor dem Öffnen einer Internetseite über einen QR-Code erst einmal die URL in der Benachrichtigung überprüfen. Stimmt hier etwas nicht, sollten Sie den Vorgang sofort abbrechen. Was Sie wissen müssen: Theoretisch können Angreifer auch die URL so anpassen, dass Sie zum QR-Code passt. Deswegen ist es nicht immer möglich, eine Fälschung auszumachen.
  • Android-Nutzer sollten eine Sicherheitsapp wie Bitdefender Mobile Security installieren. Die kostenlose App überwacht und erkennt linkbasierte Angriffe.
  • Und drittens: Nicht jeden Code, den Sie sehen, gleich scannen.