Wie sich QR-Codes sicher nutzen lassen

Nahezu kein Ding mehr, auf das nicht ein QR-Code gedruckt wäre. Durch ihre Omnipräsenz hat sich inzwischen jeder daran gewöhnt und nutzt sie ohne Bedenken. Das Sicherheitsrisiko, das QR-Codes darstellen, wird dabei in der Regel völlig unterschätzt. Sieben Tipps helfen beim sicheren Umgang mit QR-Codes.

QR-Codes sind aus dem heutigen Lebensalltag nicht mehr wegzudenken. Sie ersetzen Speisekarten in Restaurants, Gutscheine oder Anzeigen in U-Bahn-Stationen. In der Covid-Pandemie spielen sie eine wichtige Rolle bei der Rückverfolgung von Kontaktpersonen oder der Überprüfung des Impfstatus. Prinzipiell sind QR-Codes leicht zugänglich und einfach zu produzieren. Zugleich sind sie aber auch eine perfekte Möglichkeit für Cyberkriminelle, persönliche Daten abzugreifen.

Das FBI warnte Anfang 2022 deshalb auch vor der zunehmenden Gefahr des QR-Code-Betrugs. Solche QR-Code-Angriffe finden inzwischen mit alarmierender Häufigkeit statt. In Deutschland etwa haben Cyberangreifer Online-Banking-Kunden mit Phishing-Mails, die QR-Codes enthielten, auf gefälschte Webseiten geführt, um die Zugangsdaten zu entwenden.

CyberArk zeigt sieben Möglichkeiten, wie sich Nutzer vor dem QR-Code-Phishing besser schützen können:

1. Nicht scannen

Jeder seriöse QR-Code sollte eine zugehörige URL besitzen, die den Nutzern ein direktes Aufrufen der Webseite ermöglicht. Fehlt die URL, ist Vorsicht angebracht.

2. Langsam starten

Bevor ein Nutzer einen QR-Code scannt, sollte er sich mehrere Fragen stellen: „Weiß ich, wer den QR-Code dort platziert hat? Kann ich darauf vertrauen, dass er nicht manipuliert wurde? Ist es in dieser Situation überhaupt sinnvoll, einen QR-Code zu verwenden?“

3. QR-Code-URLs überprüfen

Nutzer sollten nach dem Scannen des QR-Codes die URL überprüfen, zu der er führt, bevor sie fortfahren. Dabei ist etwa zu kontrollieren, ob der QR-Code mit der richtigen Organisation verbunden ist. Man kann auch eine schnelle Websuche nach der URL durchführen, um die Echtheit des QR-Codes zu ermitteln.

4. Auf Anzeichen für physische Manipulationen achten

Vor allem an Orten wie Restaurants, an denen QR-Codes häufig verwendet werden, ist Vorsicht geboten. Zu achten ist beispielsweise darauf, ob ein QR-Code-Sticker mit einem anderen überklebt ist.

5. Niemals Apps über QR-Codes downloaden

Webseiten sind für Angreifer leicht zu klonen und zu fälschen. Apps sollten deshalb immer über einen offiziellen App-Store heruntergeladen werden.

6. Keine elektronischen Zahlungen über QR-Codes tätigen

Zahlungsvorgänge sollten ausschließlich über native Apps oder über die Anmeldung an einer offiziellen Domain erfolgen.

7. Multi-Faktor-Authentifizierung (MFA) nutzen

Eine MFA-Lösung trägt zum Schutz von vertraulichen Accounts bei, etwa bei Bankgeschäften, der E-Mail-Kommunikation oder bei Social-Media-Anwendungen. Eine zusätzliche Authentifizierungsebene verhindert dabei, dass ein Cyberkrimineller bereits mit einer Login-Information und einem Passwort auf Daten zugreifen kann.

„Durch mehr als zwei Jahre pandemiebedingter Internetkriminalität sind viele Verbraucher bei ihren digitalen Aktivitäten vorsichtiger geworden. E-Mails, Anrufe und sogar Textnachrichten werden genau geprüft. QR-Codes hingegen werden nicht wirklich als potenziell gefährlich eingestuft. Sie werden von den meisten Menschen – ohne groß zu überlegen – gescannt“, erklärt Len Noe, Technical Evangelist und White Hat Hacker bei CyberArk. „Da QR-Codes aber zunehmend zu einer beliebten Phishing-Methode der Angreifer werden, ist bei der Nutzung immer Skepsis angebracht. Wie generell im digitalen Bereich sollten immer die möglichen Sicherheitsrisiken bedacht werden. Unsere sieben Tipps können dabei eine erste Hilfestellung geben.“