QR-Codes – ein kleines Quadrat mit unterschätzten Cyberrisiken

QR-Codes gibt es schon seit rund 16 Jahren, und doch erfreuen sie sich bei uns erst seit wenigen Jahren steigernder Beliebtheit. Vieles spricht für QR-Codes: Vor allem sind sie nicht nur praktisch, sondern auch vielseitig einsetzbar. Desto verbreiteter sie jedoch sind, desto attraktiver sind sie jedoch auch für Cyberkriminelle. Doch wie angreifbar sind QR-Codes wirklich? Auf welche Weise sie ausgenutzt werden können und wie eine sichere Verwendung aussieht, erfahren Sie in diesem Beitrag.

Mit den sogenannten Quick Response Codes (kurz QR-Codes) können komplexe Informationen verkürzt und kompakt dargestellt werden. Die meist schwarzweisse Matrix findet sich überall: Auf Verpackungen, Postern, Plakatwänden, in Magazinen, Zeitungen und neuerdings auch auf Einzahlungsscheinen – und wirkt so ziemlich unscheinbar. Dabei ist die Ansammlung aus kleinen Punkten und Quadraten nicht weniger als ein Sprungbrett von der Offline- in die Online-Welt. Durch einfaches Scannen mit dem Smartphone, sogenannt «Mobile Tagging», befinden sich die Benutzer unvermittelt im weltweiten Web. Von dort aus können sie schnell und unkompliziert auf die Seiten und Inhalte zugreifen, die durch den QR-Code angestossen werden.

Im Prinzip ist das System vergleichbar mit den Strichcodes im Supermarkt. Der Unterschied: Durch den zweidimensionalen Aufbau des QR-Codes steht viel mehr Speicherplatz zur Verfügung. Ausserdem sind sie sehr robust; sprich, auch erkennbar, wenn der Code leicht beschädigt ist. Und zu guter Letzt kann inzwischen beinahe jedes Smartphone einen QR-Code lesen sowie mit einer Applikation auch kostenlos generiert werden. Kurzum: Einfach, vielfältig und für jeden verfügbar.

Die Vorreiter in Sachen QR-Codes waren, wie so oft, die Asiaten. Toyota hat das Pixelraster ursprünglich entworfen, um Teile und Baugruppen automatisch erkennen zu können. Besonders verbreitet ist das System heutzutage in China, wo es unter anderem als Zahlungssystem eingesetzt wird – nicht selten auch für grosse Beträge.

QR-Codes – auch bei uns gang und gäbe

Bei uns ist der QR-Code zwar nicht ganz so verbreitet wie in anderen Ländern. Nichtsdestotrotz müssen wir beim Einsatz und der Verwendung genauso auf Sicherheit achten. Denn in anderen Bereichen wie beispielsweise der Industrie, im Ticketing und vor allem auch im Finanzsektor finden QR-Codes Verwendung. Kürzlich hat SIX, Betreiber der Infrastruktur für den Schweizer Finanzplatz, in einer Medienmitteilung gar kommuniziert, dass QR-Rechnungen die heutigen Einzahlungsscheine schrittweise ablösen werden. Der sogenannte «Swiss QR-Code» enthält dabei sämtliche Informationen, die bislang auf der Rechnung ersichtlich waren. (Weiterführende Informationen zur QR-Rechnung finden Sie auf der Webseite «einfach-zahlen.ch».)

Somit wird auch klar, weshalb Cyberkriminelle zunehmend Interesse zeigen. So wurde beispielsweise bereits 2011 bekannt, dass Hacker der iranischen Regierung auf diese Weise eine US-Spionagedrohne erbeuteten.

Besonders im privaten Gebrauch sollte man vor allem eines nicht vergessen: Codes werden in der Regel mit dem Smartphone gescannt. Die Benutzer sind sich im Gegensatz zu Computern oft weniger über die Cyberrisiken auf ihren Mobilgeräten bewusst – ein ideales Einfallstor für Cyberkriminelle. Zudem sind Sicherheitsmassnahmen bei Smartphones weniger verbreitet; ergo sind sie auch weniger geschützt.

Warum QR-Codes nicht gehackt werden können…

Um keinen falschen Eindruck zu erwecken gleich vorweg: QR-Codes können zwar in der Theorie «gehackt» werden, in der Praxis jedoch nicht. Denn Hacken würde bedeuten, dass die dadurch ausgelöste Aktion manipulativ verändert worden wäre. Bei einem QR-Code müsste somit die Anordnung der quadratischen Module verändert werden – und zwar genau so, dass die Verlinkung zur neuen, bösartigen Quelle zeigt. Das ist wohl sogar für Cyberkriminelle zu umständlich, oder was meinen Sie?

…aber böswillig verwendet

Aber nur, weil QR-Codes nicht gehackt werden können, heisst das nicht, dass sie automatisch sicher sind. Denn je nach Einsatz und Handhabung ist es für Cyberkriminelle ein Leichtes, einen QR-Code zu ersetzen. Beispiele hierfür sind Poster mit einem Aufdruck (einfach überklebbar), Gutschein- und Wettbewerb-Codes auf Flyern, Visitenkarten, manipulierte PDFs und Einzahlungsscheine oder auch Phishing-Mails mit integrierten Codes (Gewinnspiel, Anmeldung für einen Event, elektronische Visitenkarte etc.).

Die Angriffsmethoden auf QR-Codes

Das Problem liegt an der Wurzel. Bei einem QR-Code kann nicht geprüft werden, ob der Inhalt auch effektiv dem erwarteten «Inhalt» entspricht. Sowohl der User als auch die Leseprogramme müssen also dem Code vertrauen. Selbiges gilt natürlich auch für die erwähnten QR-Rechnungen.

Ein Beispiel: Bei einem Link (z.B. in einer E-Mail) sehen Sie anhand der angezeigten URL und des effektiven Hyperlinks, wohin Sie geleitet werden. Bei einem QR-Code können Sie nicht abschätzen, ob der Link tatsächlich dorthin führt. (Anmerkung: Einige Smartphones/Apps zeigen den Link inzwischen an, viele jedoch nicht.) Denn natürlich können auch Codes erstellt werden, die auf gefährliche Inhalte weiterleiten wie Websites, die Malware herunterladen oder solche mit illegalen Inhalten. Werden zudem Tools wie «bit.ly» verwendet, die URLs kürzen, haben Sie hier keine Chance. In der Regel handelt es sich bei dieser Angriffsmethode um einen Trojaner, der bei der Ausführung von JavaScript automatisch ins System eingebettet und dort aktiv wird.

Bei einer anderen Angriffsmethode können APTs durch Cross-Site-Scripting Sicherheitslücken auf einer realen Website ausnutzen, um einen bösartigen QR-Code zu implementieren. Dadurch ist eine Verlinkung auf eine Seite möglich, die zum Beispiel Account-Daten klaut wie Kreditkartendaten, E-Mail-Adresse usw.

Vielleicht sind Sie sogar einmal auf den Begriff QRLJacking gestossen. Diese Angriffsmethode nutzt OWASP (Open Web Application Security Project) als Angriffsvektor und wird dann eingesetzt, wenn der QR-Code als einmaliges Kennwort verwendet und auf dem Bildschirm angezeigt wird.

So können Sie QR-Codes sicher verwenden

Kein System ist heutzutage wirklich sicher. QR-Codes sind da keine Ausnahme und auch in der Security-Szene umstritten. Trotzdem gehören sie richtig eingesetzt zu den sicher(er)en Methoden. Warum sonst setzen Banken weltweit darauf, beispielsweise bei der Zwei-Faktor-Authentifizierung? Mit den folgenden Tipps können Sie mit gutem Gewissen weiterhin QR-Codes verwenden.

1. Als Erstes kommen die häufig gepredigten Security Awareness-Massnahmen ins Spiel. Scannen Sie nur QR-Codes, wenn die Quelle vertrauenswürdig ist. Bei E-Mails sollten Sie daher zuerst die gängigen Tipps anwenden, um betrügerische Phishing-E-Mails zu erkennen. Wie? Anschauliche Beispiele zeigen wir Ihnen in unserem Phishing-Poster. 
   
2. Sollten Sie auf eine Seite mit Formular geführt resp. weitergeleitet werden, bedenken Sie, dass es eine Falle sein könnte. So versuchen Cyberkriminelle, an persönliche Informationen zu gelangen.
   
   
3. Als Drittes sollten Sie auf Scan-Programme setzen, die den codierten Inhalt nicht ohne zu fragen ausführen resp. die Website öffnen. Längst nicht alle Scanner-Applikationen tun dies. Empfehlenswert ist beispielsweise der «QR Code & Barcode Scanner» vom Anbieter TeaCapps, mit dem man auch eigene Codes generieren kann. (Kostenlos erhältlich im App Store und bei Google Play.)
   
   
4. Verwenden Sie grundsätzlich Sicherheitsanwendungen auf Ihren Mobilgeräten – genau so, wie Sie es auch auf Ihrem Computer tun (sollten). Antiviren- und Anti-Malware-Software gehören zum Standard. Diese können helfen, Drive-by-Download-Angriffe zu unterbinden und benachrichtigen, falls Sie möglicherweise auf eine suspekte Website geleitet werden. Falls Sie nicht wissen, wie man solche Sicherheitsanwendungen einrichtet, hilft Ihnen der IT-Support in Ihrem Unternehmen sicherlich gerne weiter. Als Sofortmassnahme können Sie, sofern möglich, die Funktion «Website automatisch öffnen» auf Ihrem Smartphone deaktivieren.
   
   
5. Bei Einzahlungsscheinen von Schweizer Anbietern haben Sie aktuell noch die Wahl, ob Sie den neuen Swiss QR-Code oder die herkömmliche Methode verwenden wollen. Sofern die Rechnung von «seriösen» Ausstellern kommt (z.B. Banken oder bei Zahlungsabwicklung via TWINT), können Sie in der Regel mit gutem Gewissen via QR-Code bezahlen, da die Schweizer Sicherheitsstandards hoch sind. Aber: Wie bei jedem neu eingeführten System lauern auch hier Gefahren und vermutlich noch Schwachstellen, weshalb die Cyberrisiken gerade zu Beginn sicherlich höher sind. Bei Rechnungen von ausländischen, weniger oder gar unbekannten Ausstellern, sollten Sie ebenfalls vorsichtig sein.

Sie wollen noch mehr News, Insights und Tipps aus der Welt der Cyber Security?

Dann abonnieren Sie doch unsere Blog-Updates! Damit erhalten Sie wöchentlich die neusten Blogartikel unserer Cyber Security-Experten direkt in Ihr Postfach. Hier geht’s zur Anmeldung.

Übrigens: Neben dem oben genannten Phishing-Poster finden Sie noch viele weitere, kostenlose Downloads wie Whitepapers, Poster, Checklisten usw. auf unserer Website. Hier geht’s zu allen Downloads!