Sicherheitsrisiko QR-Code

Kaspersky Labs (Produzent der gleichnamen Anti-Viren-Software) warnt vor den ersten Fällen von infizierten QR-Codes. Wie mehrere Medien übereinstimmend berichten soll es in Russland den ersten Fall von Malware auf Android-Geräten, übertragen durch QR-Codes gegeben haben.

QR-Codes, so praktisch sie auch sein mögen, haben schon immer ein gewisses Risiko besessen. Damit man sich nicht ein zu großen Gefahr durch untergeschobenen Code aussetzt, sollte man folgende Sicherheitsregeln beachten:
[twocol_one]

Für Verbraucher

1. Nutzen Sie nur QR-Code-Scanner, die eine anschließende Überprüfung des gescannten Codes ermöglichen
2. Schalten Sie automatisches Ausführen von QR-Codes (z.B. für Links, E-Mails, SMS, Anrufe) aus
3. Scannen Sie nur sehr grobe Codes (Beispiel weiter unten)
4. Achten Sie darauf, dass neben dem Code die Daten auch im Klartext abgebildet sind
5. Prüfen Sie, ob der Code nicht nachträglich verfremdet oder überklebt wurde
6. Ziehen Sie gedruckte QR-Codes, digitalen Codes vor – gedruckte Codes sind aufwändiger zu fälschen[/twocol_one]

[twocol_one_last]

Für Produzenten

1. Nutzen Sie möglichst grob-pixelige QR-Codes = geringstes Datenvolumen (Beispiel weiter unten)
2. Legen Sie nur die nötigsten Informationen in einem QR-Code ab (z.B. nur Zahlen oder nur Link auf Hauptdomain ohne variable Strings
3. Zeigen Sie neben dem QR-Code die hinterlegten Informationen auch im Klartext
4. Bieten Sie einen alternativen Weg die Daten des Codes zu verwenden
5. Geben Sie Hilfestellung zum downloaden eines QR-Code-Scanners
6. Branden Sie den QR-Code mit Ihrer CI – dies schafft Vertrauen
7. Verzerren Sie den QR-Code leicht in den Raum hinein. Scanner rücken den Code wieder gerade, Fälschen wird hiermit erschwert[/twocol_one_last]

Trotz all dieser Sicherheitshinweise, ist jedoch auch immer gesunder Menschenverstand gefragt. McDonald’s wird auf einem Werbeplakat kaum auf eine 0900-Nummer oder auf eine Sex-Seite verweißen. Also immer schön die Augen offen halten!

Hier einige Beispiele von guten und weniger guten QR-Codes. Ich möchte hier nicht auf Design-Spielereien von QR-Codes eingehen – das ist ein eigenes Feld. Vielmehr gibt es Codes denen man mehr vertrauen kann und solchen, die man sehr genau prüfen oder komplett meiden sollte:

QR-Codes die ihren Inhalt nicht bereits textuell darstellen, sollte man genauso meiden, wie Codes, die zu viele Pixel (= größere Datenmenge) enthalten. Absolute Vorsicht ist bei QR-Codes in Sicherheitsbereichen, wie zum Beispiel am Geldautomaten oder als Zugangskontrolle geboten. Vertrauen Sie diesen Codes nur dann, wenn Sie genau wissen, was Sie tun!

Für tiefergreifende Informationen empfehle ich folgende Links:

• QR-Code Generator von Kaywa: http://qrcode.kaywa.com/
• Wikipedia (US) zu QR-Code: http://en.wikipedia.org/wiki/QR_code
• Denso-Wave zu QR-Code: http://www.denso-wave.com/qrcode/index-e.html
• Google QR-Code Generator: http://code.google.com/intl/de-DE/apis/chart/infographics/docs/overview.html

Wie sind eure Erfahrungen mit QR-Code? Findet ihr sie praktisch oder nur lästig oder habt ihr noch weitere Informationen zu diesem Thema?