Der beliebteste Einsatzzweck der ursprünglich aus Japan stammenden QR-Codes ist momentan die Übermittlung von URLs, also Webadressen. Verschiedene Autoren und Internet-Sicherheitsfirmen, wie die Kaspersky Labs, warnten inzwischen vor Sicherheitsrisiken in Verbindung mit den am weitesten verbreiteten 2D-Codes.

Die in Pixelmustern codierten Webadressen sind deshalb gefährlicher als im Klartext gedruckte, weil viele Reader-Apps die aus dem QR-Code decodierte URL nicht anzeigen und sich vom Benutzer bestätigen lassen, bevor sie durch den Webbrowser des Smartphones angesteuert wird – zumindest in der Standardeinstellung. Auf diese Weise soll es zwar sogar schon zur Ausführung von Schadcode auf Android-Handys gekommen sein, aber ein anderes Szenario halte ich für wesentlich realistischer:

Phishing-Angriffe über manipulierte oder gefälschte Printmedien. Besonders häufig werden QR-Codes wahrscheinlich im Bereich Außenwerbung gescannt. Man stelle sich ein Plakat zu einer Veranstaltung vor, dessen QR-Code fein säuberlich durch einen gefälschten Code überklebt wurde. Die im neuen Code angegebene URL verweist auf eine Website, die sich visuell als offizielle Website zur Veranstaltung präsentiert und zur Ticketbuchung z. B. Kreditkartendaten anfordert. Abhängig von der kriminellen Energie wäre es auch denkbar, dass gefälschte Plakate, Flyer usw. in Umlauf gebracht werden oder QR-Codes durch Mittäter im Produktionsprozess manipuliert werden, um das Opfer auf ebenfalls gefälschte Websites zu lotsen.

Andres Cappell gibt in seinem Blogpost Tipps für Benutzer und Anbieter von QR-Codes, um Vertrauen zu schaffen und die Risiken zu minimieren. Wichtigster Hinweis für Benutzer ist in meinen Augen, die Reader-App so einzustellen, dass sie die decodierte URL zur Bestätigung anzeigt, bevor sie im Browser geöffnet wird. Die App i-nigma lässt sich beispielsweise entsprechend konfigurieren. Anbieter können zur Sicherheit beitragen, indem sie sehr kurze, übersichtliche URLs verwenden und diese neben dem QR-Code abdrucken, um dem Benutzer einen Vergleich der Webadresse per Sichtkontrolle zu ermöglichen. Wichtig hierbei ist, dass die abgedruckte Klar-URL in das Corporate Design eingebunden ist, um eine Fälschung hier zumindest zu erschweren.