QR-Codes haben im Laufe der letzten Jahre alle Bereiche des täglichen Lebens erobert. Sie dienen als probates Mittel für die kontaktlose Authentifizierung in Geschäften oder öffentlichen Einrichtungen, ermöglichen den Zugriff auf Internetcontent und werden insbesondere bei Non-NFC-Verfahren auch für kritische Abläufe wie Bezahlvorgänge oder finanzielle Transaktionen eingesetzt. Doch hier droht Gefahr, denn kaum jemand kann einem QR-Code von außen ansehen, ob hinter ihm ein valider Payment-Prozess steht oder ein Cyberkrimineller. Das Unwissen in der Bevölkerung und die Risiken sind gleichermaßen hoch, so eine aktuelle Studie des Sicherheitsanbieters Ivanti.

Mobile Bezahlverfahren erleben durch die Pandemie selbst im bargeldorientierten Deutschland ihren Höhenflug. Alle großen Payment-Anbieter bieten heute dem stationären Handel und seinen Kunden Möglichkeiten für kontaktloses Zahlen – und seit Mitte 2020 auch verstärkt per QR-Code. Technologien wie NFC-Funk sichern Transaktionen dabei über starke Verschlüsselungsmechanismen während der Übertragung ab. Bei QR-Codes haben es Hacker dagegen schon einfacher, wenn ein Code auf dem Display des Verbrauchers dargestellt und eingescannt werden muss. Denn dessen Inhalt überprüfen Nutzer in der Regel selten vorher (und wenn wir ehrlich sind, können viele des auch gar nicht valide).

Für die Studie „QRurb Your Enthusiasm 2021“ hat Ivanti im Februar 2021 1.500 Verbraucher in Deutschland, Großbritannien und Frankreich befragt. Sie beschäftigt sich unter anderem mit der Verbreitung von QR-basierten Bezahlvorgängen und dem Risikobewusstsein der Verbraucher bezüglich deren Inhalte. Knapp die Hälfte der Befragten aus Deutschland (48%) haben demzufolge bereits QR-Codes für Zahlungen verwendet. Im Vergleich zu den Ergebnissen einer Referenzstudie vom September 2020 bedeutet dies einen Anstieg von 12 Prozent innerhalb eines halben Jahres. Damit liegen deutsche Verbraucher deutlich vor Anwendern aus Großbritannien (38%) und Frankreich (41%).

Laut der Studie hat davon fast jeder Dritte (29%) die letzte Finanztransaktion per QR-Code innerhalb des Befragungsmonats – also im Februar 2021 – getätigt. Nur 8 Prozent berichten von Bezahlvorgängen, die ein Jahr und länger zurückliegen. Im europäischen Vergleich: In Großbritannien waren dies 17 Prozent. Das zeigt, wie rasant schnell sich das Phänomen QR-gestützter Zahlungsvorgänge hierzulande verbreitet. Der Wert dürfte übrigens angesichts von Händler-Apps aus dem Discounter-Umfeld wie der Netto- oder Lidl-App beim nächsten Mal noch höher ausfallen.

Abnahme an Vorbehalten gegen QR-Code-Payment

Interessanterweise sinken parallel die Bedenken und Vorbehalte innerhalb der Bevölkerung gegenüber der Technologie. Hatten 2020 noch 62 Prozent der Befragten Vorbehalte gegen die Nutzung von QR-Codes, waren es 2021 nur noch 59 Prozent, die sich in dieser Weise äußerten. Dies ist wenig verwunderlich, sind doch 62 Prozent der Deutschen der Ansicht, dass diese Codes das Leben in einer kontaktfreien Welt erleichtern.

Fragt man dagegen genauer nach, relativiert sich das ganze Bild: Noch 2020 fokussierten sich die meisten Bedenken auf das Thema „Schutz der Privatsphäre“ (49%). Vorbehalte gegenüber finanziellen Transaktionen äußerten dahingegen 41 Prozent. In der aktuellen Befragung hat sich dies gewandelt: Mittlerweile haben mehr Menschen Sorgen, finanzielle Informationen weiterzugeben oder unbeabsichtigte Zahlungen zu tätigen (44%), als persönliche Informationen zu übermitteln (41%). Möglicherweise spielt hier aber auch die zunehmende Diskussion um bargeldlose Bezahlverfahren eine Rolle, die ja insbesondere seit Beginn der Pandemie geführt wird.

Und diese Sorgen scheinen auch durchaus berechtigt: Mehr als jeder dritte Befragte in Deutschland (36%) hat schon einmal einen QR-Code gescannt, der eine unerwartete Aktion ausgelöst oder auf eine verdächtige Website geführt hatte. Noch vor einem Jahr lag dieser Wert gerade einmal bei 30 Prozent. Diese Entwicklung steht durchaus im Widerspruch zu den Erwartungen der Verbraucher an die Technologie: So sind sich drei von vier Verbrauchern (66%) sicher, dass sie QR-Codes als Zahlungsmethode in der nahen Zukunft nutzen werden.

Wie die Untersuchung zeigt, haben nicht einmal 60 Prozent der Verbraucher in Deutschland Sicherheitssoftware auf ihren mobilen Geräten installiert. Auch Cyberkriminelle wissen das, weshalb sie ihre Taktik auf mobile Benutzer verlagert haben. Denn diese sind im Allgemeinen weniger geschützt als Nutzer in Unternehmen.“

Peter Machat, Vice President EMEA Central von Ivanti

Die Verwendung von QR-Codes zur Ausführung bösartiger Angriffe auf mobilen Geräten wurde bereits 2013 dokumentiert. Seitdem hat sich jedoch je nach Betriebssystem eher wenig geändert, außer dass QR-Codes im Jahr 2021 viel häufiger verwendet werden als damals und für mehr und vor allem kritischere Transaktionen genutzt werden. „Dies, zusammen mit dem allgemeinen Mangel an Verbraucherbewusstsein darüber, wie QR-Codes funktionieren, macht sie zu einem unglaublich nützlichen Werkzeug für Hacker“, erklärt Machat.

Die Studie „QRurb Your Enthusiasm 2021“ steht zum kostenfreien Download bereit. tw

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/121185

Malte sagt:

5. Juni 2021 um 18:21 Uhr

Das strotzt ja nur so von gefährlichem Halbwissen. Ein QR-Code ist nicht mehr als machinell einfach lesbarer Text. Daran ist überhaupt nichts unsicher oder “gefährlich”.
Ich kann auch einer IBAN nicht ansehen ob sie wirklich dem Händler gehört oder einem Cyberkriminellen. Ob ich die IBAN per Hand in die Überweisung tippe oder per QR-Code eingescannt habe ist vollkommen irrelevant.

Es gibt es auch kein universales “bezahlen per QR-Code”. Ein QR-Code ist letztendlich einfach nur Text. Es gibt keinen Standard wie aus dem Text ein Geldtransfer werden soll. Genauso wie eine IBAN auch nur aus Buchstaben und Ziffern besteht. Erst dadurch, dass man sie in einen Überweisungsträger einträgt und die Bank irgendwas damit macht wird daraus eine finanzielle Transaktion.

Ein QR-Code ist in den üblichen Anwendungsfällen sogar deutlich “sicherer” als eine IBAN oder der Magnetstreifen auf der Karte, weil die nicht so leicht zu verändern sind. Dagegen sind QR-Codes oftmals nur einmal nutzbar.

Auch diese leidige Geschichte dass QR-Codes Webseiten öffnen oder sonstige unerwartete Aktionen auslösen können ist einfach nur falsch. Ein QR-Code kann gar nichts. Es ist einfach nur eine Information. Leider gibt es QR-Scanner Apps die automatisch jede URL öffnen die sie einscannen. Solche Apps sollte man eben nicht benutzen. Ich kann QR Droid empfehlen, richtig konfiguriert zeigt die App standardmäßig nur an welche Information in dem Code steckt. Ob man den Link anklicken will oder nicht kann man selbst entscheiden. Deswegen habe ich auch keinerlei Vorbehalte irgendeinen Code einzuscannen den ich finde. Ob ich die URL dann auch öffne steht auf einem anderen Blatt, aber zumindest ansehen, welche Information in dem Code steckt, ist vollkommen gefahrlos.

Sicherheitssoftware auf dem Smartphone ist vollkommen unnötig. Aber mit Angst kann man eben gut Geld verdienen.

Das sieht mir alles sehr stark nach Werbung von Ivanti aus. Bisschen Angst über etwas schüren wovon Leute wenig Ahnung haben und … oh, wie praktisch, wir bieten IT Sicherheitslösungen an.

Antworten

M. Neumann sagt:

27. Mai 2022 um 17:46 Uhr

Gefährliches Halbwissen mit gefährlichem Halbwissen beantwortet. Ein Smartphone ist nichts anderes als ein Computer, der ausreichend abgesichert sein sollte; aktuelles Betriebssystem, alle Apps auf dem neuesten Stand, QR Code Scanner mit manueller Auslösung, AntiVirus App etc. Und ein QR Code enthält nicht nur Text, sondern kann auch Grafiken oder Programme enthalten. Wie bei allen Schwachstellen ist es nicht für jeden gefährlich aber für viele. Ich empfehle für QR Code Zahlungen eine Banking App mit integriertem Scanner (z.B. GiroCode). Das ist sicher und bei finanziellen Schäden abgesichert.

Antworten

Peter sagt:

8. Juni 2021 um 18:34 Uhr

Nunja, die Praxis einiger Schemes, Händlern einen statischen QR-Code sich selbst auszudrucken und anbringen, also verwenden zu lassen, birgt schon ein gewisses Risiko. Einen solchen QR-Code kann auch ein Täter schnell mal unbemerkt überkleben oder komplett austauschen, gegen einen QR-Code mit den Daten seines “eigenen” Accounts, an das die Zahlungen anschließend erfolgen.
Denn hier gilt in der Tat: Keiner der beiden Beteiligten (Zahler/Händler) können dem Code ansehen, welche Empfänger-Daten er beinhaltet.

Der gezahlte Betrag ist dann erstmal “weg” – der Händler wird behaupten, bei ihm kommt kein Zahlungseingang an – und beide machen erstmal ein langes Gesicht.

Warum kontaktloses Bezahlen mit QR-Code eine gefährliche Idee sein kann

Abnahme an Vorbehalten gegen QR-Code-Payment

Schreiben Sie einen Kommentar Antworten abbrechen

Veranstaltungskalender

Crypto Assets Conference

IT-Woche

Finanzdienstleister der nächsten Generation – Digitale Transformation, Cloud & Generative AI

ibi-Seminar “Update Zahlungsverkehr”

FIBE – Fintech Berlin