Meine eBooks

SCHIEB+ Report

Mein Newsletter

QR-Codes: Chancen und Risiken – darauf solltet Ihr achten

von | 10.03.2024 | Digital

Wir sehen sie heute überall: QR-Codes, die wir selbst scannen sollen – oder QR-Codes, die wir in unserer „Wallet“ sammeln, quasi als Ersatz für Kundenkarte oder Voucher. Zeit, sich mal Gedanken über die Chancen und Risiken zu machen.

QR-Codes begegnen uns heute überall – und immer öfter. Die Punktehaufen enthalten Daten und Informationen, die wir nicht sehen oder verstehen können. Unser Smartphone aber schon – und da liegt die Kraft. QR-Codes lassen sich heute von jedem und überall einscannen und verarbeiten. Deswegen gibt es immer weniger Plastikkarten als Beleg dafür, dass man Kunde ist, wie bei der Bahn: Die Bahn-Card gibt es nicht mehr auf Plastik, sondern nur noch als QR-Code.

So funktionieren QR-Codes

QR-Codes (Quick Response Codes) sind eine Art von zweidimensionalen Strichcodes, die 1994 von der japanischen Firma Denso Wave, einem Zulieferer des Automobilherstellers Toyota, entwickelt wurden. Das Ziel war es, einen schnellen und effizienten Mechanismus für das Tracking von Fahrzeugen während der Herstellung zu schaffen. QR-Codes sollten mehr Informationen als die traditionellen Barcodes speichern und schneller gelesen werden können.

Ein QR-Code besteht aus schwarzen Quadraten, die auf einem weißen Hintergrund angeordnet sind. Die Daten innerhalb eines QR-Codes sind sowohl in horizontaler als auch in vertikaler Richtung kodiert, was bedeutet, dass sie viel mehr Daten speichern können als ein herkömmlicher Strichcode. Ein typischer QR-Code kann bis zu einigen Tausend alphanumerischen Zeichen enthalten.

QR-Codes sind komfortabel, bergen aber auch einige Sicherheitsrisiken

QR-Codes sind komfortabel, bergen aber auch einige Sicherheitsrisiken

Die Struktur eines QR-Codes ist systematisch aufgebaut. Er besteht aus mehreren Komponenten:

  1. Positionierungsmarkierungen: Diese befinden sich in drei der Ecken des Codes und helfen den Scannern, den QR-Code richtig auszurichten.
  2. Ausrichtungsmarkierung: Unterstützt Scanner bei der Lesung des Codes, auch wenn er aus einem Winkel gescannt wird.
  3. Timing-Muster: Diese durchlaufen den QR-Code horizontal und vertikal und ermöglichen es dem Scanner, die Größe der Datenpixel im Code zu bestimmen.
  4. Daten und Fehlerkorrekturcodierung: Die eigentlichen Daten und die Fehlerkorrekturinformationen, die es ermöglichen, den Code teilweise zu lesen, selbst wenn bis zu 30% des Codes beschädigt sind.

Die Funktionsweise eines QR-Codes basiert auf der optischen Erkennung durch ein Lesegerät, wie zum Beispiel die Kamera eines Smartphones. Spezialisierte Software interpretiert das Muster aus schwarzen und weißen Quadraten und wandelt es in Daten um, die dann weiterverarbeitet werden können. Dies kann eine URL, Kontaktinformationen, Text oder andere Daten sein.

Die Vielseitigkeit und Effizienz von QR-Codes haben sie weit über die Automobilindustrie hinaus populär gemacht. Sie werden heute in zahlreichen Bereichen eingesetzt, darunter Marketing, Ticketing, Produktverfolgung und -authentifizierung sowie in persönlichen Anwendungen wie Visitenkarten oder zum Teilen von WLAN-Passwörtern.

Die Sicherheit von QR-Codes

Bequem ist das, wenn man ein Handy hat. Aber ist es auch bequem – und vor allem sicher?

Man sieht es immer öfter: In Restaurants muss ich einen QR-Code scannen, um das Menü zu sehen. Die Bahn gibt keine Kundenkarten mehr aus, sondern QR-Codes, die man im Smartphone mit sich trägt. An der Kasse gibt es Rabatt, wenn ich einen Voucher in Form eines QR-Codes präsentiere.

Es gibt eine lange Liste von Vorteilen. Sie sind standardisiert und heute blitzschnell und einfach herzustellen.

Da heute fast jeder ein Smartphone in der Tasche hat, lassen sich die QR-Codes kinderleicht mitführen und herzeigen – zum Beispiel in einer „Wallet“, der digitalen Brieftasche: Zweimal drücken – schon erscheinen Bordkarten, Kundenkarten, Eintrittskarten, Mitgliederausweise, und das Personal kann sie scannen. Es ist einfach, zeitgemäß, verbraucht kein Papier und erst recht kein Plastik.

Das haben wir auf jeden Fall auf der Haben-Seite. Für moderne Menschen sind QR-Codes leichter dabei zu haben als Plastikkarten oder Papier-Voucher. Sie entlasten die Umwelt. Und wer dem allem misstraut, kann die QR-Codes auch ausgedruckt mit sich führen. Das macht beim Herzeigen nicht den geringsten Unterschied. Man kann schon sagen: QR-Codes sind eine digitale Allzweckwaffe, um Daten jeder Art geschickt zu verpacken. Denn in einem QR-Code kann alles Mögliche drinstehen: Name, Kundennr., Rabatt-Codes, Kontaktdaten, Web-Adressen – fast alles.

QR-Codes gewähren keinen Zugriff aufs Handy

Was ich mich ja immer frage: Wenn man so einen Pixelhaufen hinhält und jemand scannt den von einem Handy, verrate ich da was über mich, ist mein Handy gefährdet – welche Daten fließen da ab?

Es stehen prinzipiell keine begründeten Bedenken, dass Daten aus dem Smartphone abfließen, etwa wenn ich einen QR-Code in der „Wallet“ gespeichert habe und herzeige. Es wird wirklich nur der Code gescannt – mehr nicht. Man könnte den Code auch genauso gut ausdrucken und herzeigen, das würde keinen Unterschied machen.

Aber wahr ist: Wir Menschen sehen nicht, was in dem QR-Code alles an Daten enthalten ist. Meistens ist es eine Mitglieds- oder Kundennummer, vielleicht auch ein Name. Wenn diese Daten nun andauernd abgefragt werden, auch schon an der Käsetheke zum Beispiel, dann führt das dazu, dass mehr Daten von uns entstehen: Wo ist der Kunde, was macht er, was schaut er sich an, was kauft er. Jedes Mal, wenn der Code gelegen wird. Im Prinzip wird es dadurch möglich, auch im stationären Handel oder im physikalischen Leben die Menschen mehr zu tracken.

Profilbildung durch QR-Codes

OK: QR-Codes könnten der Profilbildung dienen. Können denn andere die Daten auch lesen, die in einem QR-Code stecken?

Das ist eine wichtige Frage. Wer den QR-Code erzeugt, kann die Informationen auf zwei Arten im Code verbergen: unverschlüsselt, also für jeden lesbar, oder unverschlüsselt. Es ist wie sonst auch: Wenn ein QR-Code sensible Daten enthält, etwa meine Telefonnummer oder sogar Gesundheitsdaten, dann sollten nur Befugte diese Daten lesen und auswerten können.

Das klappt, wenn die Daten verschlüsselt im QR-Code hinterlegt werden. Bedeutet: Scannt jemand den Code, sieht er zwar etliche Daten – kann damit aber rein gar nichts anfangen. Nur befugte Personen oder Institutionen, die den passenden Schlüssel haben, können die Daten entschlüsseln und damit lesen. Das ist wirklich sehr wichtig, dass Anbieter, die QR-Codes erzeugen und auslesen, darauf achten. Das wird heute noch nicht immer gemacht, muss aber zum Standard werden, überall dort zumindest, wo persönliche Daten im QR-Code verborgen sind, und sei es nur meine Adresse.

Auch Scooter werden per QR-Code freigeschaltet: Vorsicht beim Einscannen

Auch Scooter werden per QR-Code freigeschaltet: Vorsicht beim Einscannen

Vorsicht beim Abscannen von QR-Codes

Schauen wir in die umgekehrte Richtung – und das gibt es ja auch: Ich scanne mit meinem Handy einen QR-Code, der auf einem Plakat abgedruckt ist. Sicher?

Klarr Antwort: Jein! Durch die rasante Verbreitung von QR-Codes sehen wir sie heute überall. In Asien gibt es im Restaurant keine Karten mehr, sondern QR-Codes. Die Kunden sollen scannen und dort auswählen.

Hier sollten wir aber immer vorsichtig sein. Denn wenn die öffentlich zugänglichen QR-Codes von Dritten manipuliert werden, etwa durch Überkleben eines neuen QR-Codes, könnten Menschen auf Fake-Seiten oder Phishingangebote umgeleitet werden. Oder wenn sie den WLAN-Code scannen, auf ein Fake-WLAN, das Daten ausliest. Da muss man im öffentlichen Raum wirklich aufpassen: Könnte jemand den QR-Code manipuliert haben, ist er echt – und wo lande ich da, wenn ich den QR-Code scanne? Es empfiehlt sich, da umsichtig zu sein. Denn es ist mittlerweile ein weit verbreiteter Trend, dieses Sicherheitsleck auszunutzen. Selbst Schad-Code wird so verteilt, der durch das Scannen des Codes mehr oder weniger automatisch geladen wird.

Also: QR-Codes in der Öffentlichkeit sind zweifellos auch praktisch, aber hier muss man aufpassen und achtsam sein.