Im Labyrinth der QR-Codes
Seit ein paar Jahren nimmt die Verwendung von 2D-Codes in den deutschsprachigen Ländern stark zu. Allmählich werden sich Anbieter, Unternehmen und Benutzer aber auch möglicher Sicherheitsrisiken - gerade bei den beliebten QR-Codes - bewusst.
Anmerkung der Redaktion: Der Autor dieses Artikels, Oliver Bendel, ist Professor für Wirtschaftsinformatik an der Hochschule für Wirtschaft FHNW.
Seit ein paar Jahren nimmt die Verwendung von 2D-Codes in den deutschsprachigen Ländern stark zu. Man sieht DataMatrix-Codes als Briefmarken und auf Steuererklärungen, Aztec-Codes auf Bahntickets, QR-Codes in Anzeigen, auf Plakaten und auf T-Shirts, Beetagg-Codes auf Produkten. Es gibt aufregende Werbekampagnen, Stadtparcours und Kunstprojekte. Allmählich werden sich Anbieter, Unternehmen und Benutzer möglicher Sicherheitsrisiken, gerade bei den beliebten QR-Codes, bewusst.
Merkmale von QR-Codes
QR-Codes gehören zu den 2D-Codes. Sie wurden im Jahre 1994 von der japanischen Firma Denso Wave (einer Tochter von Toyota) entwickelt, um Baugruppen und -teile zu markieren und deren Position zu ermitteln und damit die logistischen Prozesse des Autoherstellers zu verbessern. Die Abkürzung "QR" steht für "quick response" ("schnelle Antwort") und meint die Anzeige von Informationen beziehungsweise den Aufruf von (Online-)Ressourcen. In QR-Codes können unter anderem Webadressen, Telefonnummern, SMS und freier Text enthalten sein.
Der QR-Code ist international standardisiert und weltweit verbreitet. Er wurde von den Entwicklern freigegeben; man darf ihn lizenz- und kostenfrei herstellen und verwenden. So wie jede Person die Muster mittels eines Handys, eines Smartphones oder eines Tablets einscannen kann, kann sie auch ihre eigenen produzieren. Voraussetzung hierfür ist ein Generator, den es als Webanwendung und lokal installierbare Anwendung für den Computer oder das Handy gibt. Wer einen QR-Generator anbietet, kann grundsätzlich über dessen Gebrauch bestimmen.
Sicherheitsrisiken von QR-Codes
Im Folgenden werden einige Sicherheitsrisiken beschrieben, geordnet nach den QR-Codes selbst, den Readern für QR-Codes und den Generatoren für QR-Codes. Bei den Readern wird auf Anwendungen für das Handy eingeschränkt, bei den Generatoren zwischen Online- und Offline-Programmen unterschieden.
- Das grundsätzliche Problem der QR-Codes ist nach Peter Kieseberg und seinen Mitautoren das folgende: Weil das Auslesen der Daten und Informationen nur Maschinen möglich ist, vermag ein Mensch nicht zwischen einem originären und einem manipulierten Code zu unterscheiden. Die Autoren tragen in ihrem wissenschaftlichen Artikel mehrere Möglichkeiten von Attacken zusammen. Wie Kai Biermann auf Zeit Online erläutert, kann in einem QR-Code etwa Javascript verschlüsselt werden; wenn der Programmcode ausgeführt wird, wird der Reader gekapert respektive der Benutzer angegriffen. Der QR-Code kann zudem zu einer Website mit Malware führen. Die Malware befällt das Handy und richtet dort Schaden an oder spioniert Informationen aus. Nicht zuletzt kann der QR-Code – wie auch Kieseberg und Biermann erläutern – auf eine Phishing-Website verweisen. Mittels dieser ist es möglich, Daten des Benutzers abzugreifen, zum Beispiel Account-Daten oder Kreditkartennummern.
- QR-Code-Reader können dazu missbraucht werden, Daten von Benutzern einzusammeln und weiterzugeben. Betroffen sind verschiedene Arten von Daten und ihre Aggregationen. Der Scan an sich generiert Bildinformationen; ein bestimmter Code wird als visuelles Element erfasst (mitsamt Logo, wenn vorhanden), vielleicht auch ein Teil des Trägers und der Umgebung (wobei heutige Reader in allen bekannten Fällen auf den Code fokussieren). Weiterhin wird der Code ausgelesen, was mit Fehlern verbunden sein kann. Die Daten kann man mit dem Standort des Benutzers und mit den persönlichen Daten auf dem Handy in Verbindung bringen. Erstellen liesse sich zum Beispiel ein Bewegungs- und Interessenprofil. Reader können auch unerbetene Daten auf dem Handy oder Smartphone ablegen, unerwünschte Installationen auf dem mobilen Gerät vornehmen oder den Benutzer mit Werbung belästigen.
- Bei den Generatoren muss man Online- und Offline-Programme unterscheiden. Beide Arten haben spezifische Sicherheitsrisiken. Mit Hilfe der Online-Generatoren können die Anbieter die online eingegebenen Daten auslesen und theoretisch weiterverwenden. Sie können zudem den Daten mindestens die IP-Adresse des Benutzers zuordnen. Offline-Generatoren werden über lokal abgelegte Dateien aufgerufen oder auf dem Gerät installiert. Beim Produzieren von QR-Codes über Offline-Generatoren ist – der Name verrät es – in der Regel keine Online-Verbindung notwendig. Manche Offline-Generatoren unterstützen eine Vielfalt von Codes, darunter auch 1D-Codes und andere 2D-Codes wie Datamatrix-Codes, und stellen damit eine attraktive All-in-one-Lösung für Unternehmen dar. Sie weisen die Sicherheitsrisiken auf, die alle lokal ausgeführten beziehungsweise installierten Programme in sich bergen.
Ein weiteres Sicherheitsproblem ist, dass QR-Codes überklebt und ausgetauscht werden können; darauf geht auch das Connecticut Better Business Bureau ein. Auf diese Weise können Betrüger Benutzer auf Websites mit fragwürdigen Informationen oder mit Malware locken und dem eigentlichen Anbieter auf unterschiedliche Arten schaden.
Derzeit besteht kein Anlass zur Hysterie, doch genügt der eine oder andere kleine Missbrauch, um das Vertrauen in QR-Codes bei den Anwendern zu beschädigen. Und wenn Delinquenten tätig werden, kann sich die Situation über Nacht ändern. Ein QR-Code erinnert an ein Labyrinth, und wie ein solches kann er ein Spielplatz oder eine Falle sein (beziehungsweise der Ort, an dem ein Ungeheuer lauert).
Sicherheitsmassnahmen und Lösungsansätze
Vereinzelt werden von (Wirtschafts-)Informatikern, IT-Spezialisten und Marketern Sicherheitsrisiken diskutiert, selten jedoch Sicherheitsmassnahmen und Lösungsansätze; diesen ist der folgende Abschnitt gewidmet.
- Kontext und "physische Umgebung" eines QR-Codes liefern häufig Hinweise darauf, ob Vertrauen gerechtfertigt oder Vorsicht angebracht ist. Immer mehr Produkte, Broschüren und Bücher werden mit Codes angereichert. Produzenten, Händler und Verleger garantieren mit ihrem guten Namen dafür, dass sich keine unerwünschten Effekte einstellen.
- Ist der QR-Code fest auf dem Produkt oder Träger aufgebracht und mit einer zusätzlichen Folie gesichert, ist eine missbräuchliche Verwendung unwahrscheinlich. Wenn der QR-Code nur aufgeklebt ist oder sich auf einem austauschbaren Etikett befindet, sollte man die Echtheit prüfen.
- Um die seriöse Herkunft des Codes zu garantieren, kann auch ein Sicherheitsmerkmal entwickelt werden. Dieses wird in den Code integriert oder an dessen Seite angebracht. Das Merkmal sollte schwer zu imitieren sein, ähnlich wie bei Geldscheinen. Man muss untersuchen, wie man Codes auszeichnen kann, ohne die Kosten der Erstellung zu stark zu erhöhen und die Einfachheit der Erstellung und Nutzung zu sehr zu beeinträchtigen.
- Von Bedeutung ist die Auswahl der Reader. Wenn die Adresse vor dem Aufruf einer Website angezeigt wird, kann man entscheiden, ob man dorthin navigieren will. Allerdings gelten Reader als komfortabel, die direkt Ressourcen aufrufen. Und auch Adressen sieht man nicht unbedingt an, ob die damit verknüpften Inhalte vertrauenswürdig sind, insbesondere solchen nicht, die verkürzt wurden (Adressen dieser Art stellen an sich eine gewisse Gefahr dar); nützlich können Vorschaufunktionen sein.
- Neutrale Einrichtungen können Reader dahingehend testen, ob diese fehlerhaft arbeiten, Informationen weitergeben, unerbetene Daten auf dem Handy oder Smartphone ablegen oder unerwünschte Installationen auf dem Gerät vornehmen. Natürlich ist es zu begrüssen, wenn die Anbieter auch selbst informieren und den Code des Programms offenlegen.
- Nicht zuletzt ist die Verwendung von geeigneten Generatoren wichtig. Man sollte sich an Anbieter halten, die die Funktionsweise des Programms und – bei Online-Generatoren – die Datenverwendung transparent darstellen. Und man sollte die AGB auf den Websites und in den Handbüchern lesen und sich daran halten. Eine kommerzielle Verwendung der QR-Codes ist nicht immer erlaubt.
Damit sind längst noch nicht alle Lösungsansätze benannt, und ohne Zweifel werden sich auch die Technologien, die Anwendungen und das Umfeld ändern.
Resümee
QR-Codes sind eine faszinierende und sich hierzulande rasch etablierende Technologie mit enormen Chancen und riesigem Potenzial. Man kann mit Trägern und Substanzen experimentieren und sich in kreativer Weise betätigen. Dennoch gibt es nicht zu unterschlagende Sicherheitsrisiken.
Mit den 3D- und 4D-Codes werden weitere (Offline-)Anwendungen möglich, mit denen man gewisse Probleme eliminieren kann, mit denen aber auch neue entstehen. So kann man durch die höhere Speicherkapazität verschiedene Formen von Malware direkt im Code unterbringen.
Es lohnt sich auf jeden Fall sowohl für Anbieter, Unternehmen als auch Benutzer, sich einen Überblick über mögliche Sicherheitsrisiken von heutigen und künftigen Anwendungen zu verschaffen.
Literatur
Bendel, Oliver. Lernen von den Kleinen: Neues und Altes zu Mobile Learning. In: UnternehmerZeitung, 4/17. S. 32 – 33. Auch online über http://www.fhnw.ch/wirtschaft/iwi/medien-und-oeffentlichkeit/artikel-in-den-medien/2011 . 2011.
Bendel, Oliver. Gutenbergs Rückkehr: Codes als Erweiterungen gedruckter Bücher. In: B.I.T.online, Zeitschrift für Bibliothek, Information und Technologie, 1/14. 2011.
Bendel, Oliver: Die Renaissance des Papiers: Codes als Elemente hybrider Publikationsformen. In: Libreas, 2/6. Über http://libreas.eu/ausgabe17/texte/05bendel.htm . 2010.
Biermann, Kai. QR-Code: Böse Pixelmuster. In: ZEIT ONLINE, http://www.zeit.de/digital/datenschutz/2011-09/qr-code-hack . 21.9.2011.
Connecticut Better Business Bureau. New Uses for Old Technology are Revolutionizing Marketing but Prone to Abuse. Über http://ct.bbb.org/article/new-uses-for-old-technology-are-revolutionizing-marketing-but-prone-to-abuse-28431 . 2011.
Kieseberg, Peter; Leithner, Manuel; Mulazzani, Martin et al.: QR Code Security. In: TwUC 10, http://www.sba-research.org/wp-content/uploads/publications/QR_Code_Security.pdf . 2010.