12. September 2011 - QR-Codes

Barcode eingescannt, Schadprogramm eingefangen

Bequemlichkeit kann gefährlich werden. Wer einen zweidimensionalen Barcode oder QR-Code über sein Smartphone einliest, spart sich das Abtippen einer Internetadresse. Dafür riskiert er aber, unbemerkt auf einer verseuchten Webseite zu landen, die zum Datendiebstahl präpariert wurde.

barcode-eingescannt-schadprogramm-eingefangen.jpeg
Die QC-Codes können auf gefälschte Websites führen (Bild: Thinkstock)

QR-Codes auf Plakaten und Verpackungen

Sie sind Ihnen sicherlich bereits aufgefallen, die schwarz-weißen Rechtecke mit zweidimensionalem Barcode auf Werbeplakaten, auf Messeständen, auf Visitenkarten, in Zeitschriften oder auf Produktverpackungen.

Diese speziellen Barcodes werden QR-Codes genannt und stehen für Quick Response (schnelle Antwort). Die Idee hinter diesen QR-Codes ist es nämlich, Interessenten auf kurzem Weg weitere Informationen zukommen zu lassen. Möglich wäre dies auch mit einem einfachen Hyperlink, kurz Link, den man in seinen Browser eintippt. Doch wir Menschen sind bequem und lieben Abkürzungen. Scheinbar lieben wir aber auch die Gefahr.

QR-Codes führen zu Informationen – oder zu Malware

Wenn man einen solchen QR-Code mit seinem Smartphone oder Handy vom Plakat abfotografiert und eine spezielle Lesesoftware (App) für solche Codes auf dem Gerät hat, dann wird das Barcode-Foto im Smartphone übersetzt, meistens in eine Internetadresse, die der Browser auch gleich öffnet.

Im Idealfall findet man so auf schnellem Weg die gewünschten Zusatzinformationen zu dem Produkt auf dem Plakat, in der Verpackung oder in der Anzeige, die in der Zeitschrift abgedruckt war. Im Ernstfall jedoch landet man auf einer Webseite, die Malware statt Informationen liefert.

QR-Codes können auch verseuchte Links sein

Auf verseuchte Webseiten kann man auch gelangen, wenn man eine Internetadresse, die man auf einem Plakat oder auf einer Verpackung gesehen hat, Buchstaben für Buchstaben eintippt. Aber dann sieht man zumindest, dass die Internetadresse vielleicht ganz anders aussieht als die eigentliche Webadresse des Unternehmens, das die Produkte oder Informationen anbietet.

Die einfache Möglichkeit, eine Webadresse zu hinterfragen, geht bei QR-Codes letztlich verloren, denn als Mensch kann man den Barcode nicht lesen.

Jeder kann QR-Codes erzeugen

Theoretisch könnte es also sein, dass ein Datendieb einen QR-Code für eine Malware-Webseite erzeugt und diesen QR-Code einfach auf Plakate in Innenstädten aufklebt. Die Erzeugung der QR-Codes ist ganz einfach, dafür gibt es kostenlose Generatoren im Internet. Wenn Datendiebe also ihre bösartigen Hyperlinks heimlich verteilen wollen, könnte dies auch über QR-Codes geschehen. Die Smartphones, mit denen die QR-Codes eingelesen werden, haben oftmals noch einen unzureichenden Schutz, so dass der Datendieb leichte Beute machen kann.

Auch Kurz-Links sind riskant

Neben den zweidimensionalen QR-Codes gibt es noch eine andere Möglichkeit, den Zugriff auf Internetadressen abzukürzen: die sogenannten Kurz-Links (Tiny URL, URL Shortener). Auch für diese Abkürzung von Internetadressen (URL, Uniform Resource Locator) gibt es Generatoren im Internet, die aus einer langen Webadresse eine ganz kurze machen, die sich schnell eintippen, aber nicht mehr nachvollziehen lässt. Besonders beliebt sind diese Kurz-Links in Twitter (begrenzte Zeichenzahl), in sozialen Netzwerken, aber auch schon in E-Mails.

Link-Scanner gegen riskante Link-Abkürzungen

Wer nicht ungeprüft eine abgekürzte URL eintippen will, sollte einen Link-Scanner einsetzen, wie sie viele Anti-Viren-Anbieter im Programm haben. Diese prüfen, welche Adresse sich hinter dem Kurz-Link versteck,t und kontrollieren sie auf Schadsoftware-Anzeichen. Auch bei QR-Codes ist ein Virenschutz mit Echtzeit-Modus entscheidend, der die mögliche Gefahr einer Webseite vor dem tatsächlichen Öffnen im Browser hinterfragt.

Machen Sie die Mitarbeiterinnen und Mitarbeiter auf die gefährlichen Abkürzungen bei Hyperlinks und andere Link-Risiken aufmerksam. Unser aktueller Download liefert Ihnen eine dazu passende Mitarbeiterinformation:


Mitarbeiterinformation:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln