1994 wurde der QR-Code entwickelt und wie viele andere Technologien hat er sich rasant verbreitet. Jedoch äußern Security-Experten Bedenken beim Einsatz. Doch es gibt Möglichkeiten, die Sicherheit von QR-Codes zu verbessern.
Vor 25 Jahren entwickelte der Ingenieur Masahiro Hara mit seinem Team 2D-Codes für den Einsatz in der japanischen Automobilherstellung. So sollte eine Produktionskontrolle durchgeführt werden. Die Pixel-Matrix ist heutzutage weltweit als QR-Code bekannt und findet vielerorts Verwendung – von Werbeplakaten, Zeitschriften, Menüs, Museen bis hin zum Login auf dem Bestätigungsfeld einer Webseite.
Besondere Beliebtheit genießt der QR-Code in China. Dort wird er sogar für Zahlungen verwendet. Denn Hongkong hat kürzlich ein auf QR-Code basierendes und zugleich schnelleres Zahlungssystem eingeführt. Auch Apple unterstützt den Code mit seiner Kamera-Applikation via iOS 11. Dadurch entfällt die Notwendigkeit von QR-Scan-Anwendungen von Drittanbietern.
Sicherheitsbedenken vom Erfinder
Der Entwickler Hara äußerte vor allem wegen der zahlreichen Einsatzmöglichkeiten Sicherheitsbedenken im Zusammenhang mit dem QR-Code. Diesen schloss sich auch beispielsweise Sicherheits-Experte Michael Veit von Sophos an: „Cyberkriminelle können QR-Codes auf vielfältige Weise für Angriffe nutzen, wie beispielsweise durch Quick Response Code Login Jacking.“ Ermöglicht wird dieser Angriff, wenn Nutzer den QR-Code als Einmalpasswort verwenden und auf einem Bildschirm anzeigen lassen. Angreifen können beispielsweise den QR-Code einer legitimen Website auf eine Phishing-Site klonen und an potenzielle Opfer senden.
Außerdem können Cyberkriminelle ihre gefälschten Codes über legitime stellen. Anstatt dann das Smartphone des Nutzers auf die eigentliche Webseite zu leiten, führt der gefälschte Code den Benutzer zu Phishing-Websites oder zu Seiten, die auf JavaScript basierende Malware bereitstellen. Auch die zunehmende Nutzung der Codes als Zahlungsmittel bietet eine weitere Sicherheitslücke. Auch dabei ist es möglich, den QR-Code durch eine gefakte URL zu ersetzen und die Zahlungen auf ein falsches Konto umleiten.
Ist Verschlüsselung die Lösung
Laut Forschern des MIT, können QR-Codes durch eine Verschlüsselung sicher gemacht werden. Sie verhindert, dass ein Dritter diesen Code missbräuchlich klont. Dazu sendet eine Online-App einen verschlüsselten QR-Code an ein bereits angemeldetes und damit vertrauenswürdiges mobiles Gerät. Nur das angemeldete Gerät kann den QR-Code entschlüsseln und zeigt ihn dann für das zweite Gerät zum Lesen an. Ähnlich dem Prinzip der Zwei-Faktor-Authentisierung enthält der QR-Code eine URL, die den Nutzer in die App einloggt.
Darüber hinaus werden derzeit mehrere verschlüsselte QR-Code-Login-Systeme entwickelt. Ein weiterer Vorschlag besteht darin, digitale Signaturinformationen in den Code einzubetten, um seine Authentizität zu bestätigen.
Autor: Ann-Marie Struck
(c)2019
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
