Quishing: Risikofaktor QR-Code
QR-Codes auf Verpackungen, Plakaten oder in Bars verlocken, einfach das Smartphone daran zu halten. Trotz vieler Vorteile für Unternehmen und Konsumenten ist hier höchste Vorsicht geboten und Einzelfallprüfung angeraten.
Der Mensch ist von Natur aus bequem. Warum mühsam den Browser auf dem kleinen Smartphone-Display öffnen, wenn ein QR-Code dieselben Informationen in Sekundenschnelle liefern kann? Genau diese Einfachheit macht QR-Codes so beliebt, insbesondere in Bereichen wie Verkauf, Marketing und Bezahlsystemen. Unternehmen nutzen sie zunehmend, um Zusatzinformationen bereitzustellen oder Prozesse zu vereinfachen. Doch wo neue Technologien Fuß fassen, sind Cyberkriminelle meist nicht weit. Eine der jüngsten Betrugsmethoden trägt den Namen „Quishing“ – Phishing mit QR-Codes. Chester Wisniewski, Director und Global Field CTO bei Sophos, erklärt die größten Risiken und gibt wertvolle Sicherheitstipps.
Warum sind QR-Codes so beliebt und wie verbessern sie das Kundenerlebnis?
Chester Wisniewski: Die Einfachheit von QR-Codes spricht für sich. Niemand möchte komplizierte Links manuell eingeben oder lange Anleitungen durchforsten. Das Scannen eines QR-Codes spart Zeit und erleichtert den Zugang zu Informationen oder Dienstleistungen. Hinzu kommen ökologische Vorteile, da weniger gedruckt werden muss. Zudem ermöglichen QR-Codes Unternehmen das Einbinden von Tracking-Mechanismen, was ihre Verbreitung weiter vorantreibt.
Welche Sicherheitsrisiken bergen QR-Codes?
Chester Wisniewski: Jeder kann QR-Codes erstellen, und es gibt keine einfache Möglichkeit, ihre Echtheit zu überprüfen. Betrüger nutzen das aus, indem sie gefälschte QR-Codes erstellen und diese an öffentlichen Orten anbringen, zum Beispiel auf Parkscheinautomaten oder in Restaurants. Nutzer, die solche Codes scannen, können auf Phishing-Seiten geleitet werden, wo sie sensible Daten wie Kreditkarteninformationen preisgeben. Besonders bei Zahlungsvorgängen ist Vorsicht geboten.
Wie können Unternehmen die Sicherheit von QR-Codes verbessern?
Chester Wisniewski: Unternehmen, die QR-Codes verwenden, sollten diese regelmäßig überprüfen, insbesondere wenn sie an öffentlich zugänglichen Orten angebracht sind. In Bereichen wie Parkscheinautomaten kann das eine Herausforderung sein, dennoch ist es unerlässlich. Verbraucher sollten skeptisch sein und im Zweifelsfall alternative Zahlungsmethoden nutzen. Ich rate dazu, QR-Codes generell zu meiden, wenn sie nicht vertrauenswürdig wirken. Stattdessen kann man den entsprechenden Link auch über eine Suchmaschine aufrufen.
Welche Warnsignale sollten Nutzer beachten?
Chester Wisniewski: QR-Codes sind lediglich Bilder, die in URLs umgewandelt werden. Nach dem Scannen sollte man die angezeigte Adresse genau prüfen. Wenn die Zielseite verdächtig erscheint, sollte der Vorgang abgebrochen werden. Für zusätzliche Sicherheit können spezielle Apps eingesetzt werden. Diese warnen vor schädlichen Links und bieten einen gewissen Schutz.
Wie wird sich die Rolle von QR-Codes in Zukunft entwickeln?
Chester Wisniewski: Die grundlegende Unsicherheit von QR-Codes wird bestehen bleiben, da sie ursprünglich für Maschinen und nicht für den täglichen Gebrauch durch Menschen entwickelt wurden. Eine Authentifizierung von QR-Codes ist technisch schwierig umzusetzen. Ideal wären Codes, die fest in Produktverpackungen oder Plakate integriert sind, anstatt als leicht austauschbare Sticker. Doch letztlich liegt die Verantwortung auch bei den Nutzern: Wenn ein QR-Code verdächtig erscheint, sollte man ihn meiden und alternative Informations- oder Zahlungswege wählen.
Fazit: Bequemlichkeit mit Vorsicht genießen
QR-Codes sind praktisch, keine Frage. Doch ihre Nutzung birgt Risiken, die nicht unterschätzt werden sollten. Verbraucher und Unternehmen müssen gleichermaßen Maßnahmen ergreifen, um sich vor Betrug zu schützen. Mit wachsamer Nutzung und ergänzenden Sicherheitslösungen lässt sich die Bequemlichkeit der kleinen Quadrate sicherer gestalten.
Näheres zum Quishing-Trend gibt es hier.
Chester Wisniewski, Director und Global Field CTO bei Sophos