Die kleinen schwarzweißen Pixel-Quadrate, auch besser bekannt als QR-Codes, wurden ursprünglich entwickelt, um Lagerprozesse in der Industrie zu optimieren. Heute verwenden laut einer aktuellen NordVPN-Studie fast 90 Prozent der Österreicher sie beim Bezahlen im Restaurant, auf Werbeplakaten oder am Parkautomaten. Smartphone-Kameras erfassen die Codes blitzschnell und leiten Nutzer direkt zu Webseiten, Anwendungen oder Zahlungsdiensten weiter. Genau diese Einfachheit und Effizienz macht QR-Codes so beliebt – aber auch riskant.
Nur weil ein QR-Code physisch präsent ist, heißt das nämlich nicht, dass er sicher ist. Längst nutzen Cyberkriminelle das Vertrauen in die Pixelcodes und die oftmals sorglose Nutzung gezielt aus. Das sogenannte QR-Code-Phishing – auch bekannt als Quishing – beschreibt Betrugsmaschen, bei denen manipulierte QR-Codes beispielsweise in der Öffentlichkeit platziert werden. Scannt der Nutzer diese Codes leichtfertig, landet er auf gefälschten Websites, die täuschend echt aussehen und oft darauf ausgelegt sind, sensible private Informationen wie Kreditkartendaten, Kontoinformationen oder Passwörter abzugreifen. Im Gegensatz zu verdächtigen Links in E‑Mails lässt sich die URL hinter einem QR-Code nicht immer sofort erkennen. Genau darin liegt das Risiko.
Österreich im Visier von QR-Code-Betrug
Erst im März dieses Jahres schlugen die Polizei und auch die Arbeiterkammer (AK) Alarm: In österreichischen Städten wie Salzburg und Linz haben Kriminelle vermehrt offizielle QR-Codes an Parkscheinautomaten manipuliert und überklebt. Autofahrer wurden so auf betrügerische Bezahlseiten gelenkt, auf denen sie sensible Informationen preisgaben. Es gibt aber auch Fälle von gefälschten Codes, die über betrügerische E‑Mails oder durch Briefpost verbreitet werden.
Wie verbreitet die Nutzung dieser Technologie in Österreich tatsächlich ist, zeigt auch die aktuellste Studie von NordVPN zu diesem Thema. 88 Prozent der Österreicher verwenden regelmäßig QR-Codes. Besonders verbreitet ist die Nutzung bei Gen Z (31 Prozent nutzen QR-Codes wöchentlich) und Millennials (29 Prozent wöchentlich). Obwohl ältere Generationen tendenziell etwas zurückhaltender sind – nur 3 Prozent nutzen QR-Codes täglich, rund 26 Prozent zumindest monatlich –, zeigt sich, dass sich die Nutzer aller Altersgruppen der potenziellen Sicherheitsrisiken oftmals nicht bewusst sind und Codes meist ohne nachzudenken scannen. Diese Zahlen verdeutlichen, warum es so wichtig ist, alle Nutzer auf diese Art von Betrug aufmerksam zu machen und ihnen Hilfestellungen zu bieten, wie sie sich schützen können.
Gefahren frühzeitig erkennen und vermeiden
Vor dem Öffnen eines über QR-Code geladenen Links zeigt das Smartphone in der Regel die Zieladresse an. Durch genaue und kritische Prüfung dieser URL lässt sich potenzieller Betrug meist verhindern. Besonders vorsichtig sollten Nutzer sein, wenn QR-Codes offensichtlich nachträglich angebracht oder überklebt wurden oder sich lose an ungewöhnlichen Stellen befinden. In solchen Fällen empfiehlt es sich, auf Original-Apps oder Browser-Suchen zurückzugreifen, anstatt unbekannten URLs zu folgen. Nutzer sollten außerdem davon absehen, Funktionen wie automatisches Öffnen oder Weiterleiten zu nutzen, um nicht versehentlich auf einer schädlichen Webseite zu landen.
Technische Hilfsmittel können ebenfalls unterstützen, sich vor gefälschten Pixelcodes zu schützen. In der NordVPN-App beispielsweise sorgt der integrierte Bedrohungsschutz dafür, dass Nutzer aktiv gewarnt werden, bevor sie eine betrügerische Phishing-Website öffnen.
Mehr QR-Codes bedeuten mehr Risiken – auch in Zukunft
Es ist stark davon auszugehen, dass QR-Codes auch in Zukunft Teil unseres Alltags sind und ihre Einsatzformen noch vielfältiger werden. So könnten personalisierte Inhalte, interaktive Veranstaltungen oder Identifikationsnachweise zunehmend per QR-Code authentifiziert werden. Dabei kommen auch neue Technologien wie Augmented Reality (AR) oder digitale Identitäten ins Spiel, die das Erlebnis nahtloser und bequemer machen. Genau in dieser neuen Vielfalt steckt allerdings ebenfalls ein wachsendes Sicherheitsrisiko. Betrüger könnten beispielsweise QR-Codes in virtuellen Umgebungen verstecken oder manipulative Inhalte über immersive Technologien noch täuschend realer gestalten.
Cybersicherheit als gesamtgesellschaftliche Aufgabe
Um dieser Gefahr wirksam entgegenzutreten, müssen vor allem drei Dinge passieren. Erstens sollten Unternehmen und Organisationen stärker in fälschungssichere Verfahren und offizielle Authentifizierungsprozesse investieren. Außerdem ist es wichtig, dass staatliche Stellen verbindliche Sicherheitsstandards schaffen und über institutionelle Aufklärungs- und Präventionsprogramme die digitale Kompetenz der Bevölkerung stärken. Zuletzt liegt es aber auch in der Verantwortung der einzelnen Nutzer, immer wachsam zu bleiben und nicht allem blind zu vertrauen, was sie im virtuellen – oder im realen – Raum sehen.
QR-Codes sind heute ein wichtiger Bestandteil des digitalen Alltags – und werden es auch vorerst bleiben. Deshalb ist es so wichtig, kontinuierlich ein starkes Bewusstsein für Cybersicherheitsgefahren aufzubauen. Geschieht dies nicht, bleibt selbst die harmlos wirkende Alltagshilfe ein dauerhaftes Sicherheitsrisiko.
Paulius Vanagas ist Country Manager für Österreich und die Schweiz bei NordVPN. NordVPN zählt weltweit zu den führenden Anbietern im Bereich Cybersicherheitslösungen und unterstützt Anwender im sicheren Umgang mit Online-Risiken.
Mit seinem Gastkommentar reagiert Paulius Vanagas auf den Kommentar von Albert Sachs Quishing, die neue Qual im digitalen Universum.
