IT-Sicherheit
Die Gefahr hinter QR-Codes
QR-Codes erfreuen sich wachsender Beliebtheit. Da man aber nicht erkennen kann, wohin die Codes tatsächlich verlinken, werden sie zunehmend für Social-Engineering-Attacken und Datendiebstahl missbraucht.
Sie halten, was ihr Name verspricht: Quick Response Codes liefern schnelle Antworten. Etwa auf Fragen zu Produktfunktionen oder Services der Hersteller. Sie liefern möglicherweise aber auch Gefahren fu?r die Datensicherheit, warnen jetzt Security-Experten. Demnach können der Missbrauch der trendigen Zeichenketten fu?r Social-Engineering-Angriffe und raffinierte Betrugsmaschen mit QR-Code-Scans nicht nur die persönlichen Daten einzelner Benutzer, sondern die Informationssicherheit ganzer Unternehmen gefährden.
Schnelle Antwort - schnelle Schwierigkeiten?
Um einen QR-Code ausfindig zu machen, muss man heutzutage nicht mehr lange suchen. Anfang der 90er-Jahre fu?r Toyota zur Markierung von Baugruppen und Komponenten in der Automobilproduktion entwickelt, zieren die eckigen Barcodes heute jedes erdenkliche Konsumgut oder Dienstleistungsprodukt.
Die schwarzweiße Matrix findet sich auf Verpackungen, Postern und Plakatwänden, in Magazinen und Zeitungen - und wirkt recht unscheinbar. Dabei ist die Ansammlung aus kleinen Punkten und Quadraten nicht weniger als ein Sprungbrett von der Offline- in die Online-Welt.
Durch einfaches Scannen mit dem Smartphone, sogenanntes Mobile Tagging, befinden sich die Benutzer unvermittelt im weltweiten Web und können dort schnell und unkompliziert auf die Seiten und Inhalte zugreifen, die durch den QR-Code angestoßen werden. Fu?r Vertriebs- und Marketing-Spezialisten hat sich damit ein Traum erfu?llt: Sie können ihre Kunden und anvisierten Zielgruppen praktisch kostenfrei, aber sehr gezielt auf Informationen zu ihren Produkten und Services leiten.
Gefährlicher Komfort
Einer Studie von eBay zufolge ist das Potenzial, auf diesem Wege direkten Umsatz zu generieren, immens: 48 Prozent aller befragten Personen wu?rden sofort online bestellen, wenn sie u?ber einen QR-Code auf ein interessantes Produkt stoßen. Mutiert das pixelige QR-Quadrat auf seinem Erfolgszug also zum kleinsten Online-Shop der Welt? Mehr und mehr Hersteller jedenfalls wissen die Lösung als Umsatz-Turbo einzusetzen und die Benutzer genießen den schnellen, einfachen Scan- und Browse-Komfort, den so nur QR-Codes bieten.
Genau das macht die codierten Informationsträger aber auch interessant fu?r Hacker. Sie machen sich die wachsende Popularität von QR-Codes zunutze, um sie fu?r sogenannte Social-Engineering-Attacken zu missbrauchen. Von Social Engineering spricht man dann, wenn ein Angreifer menschliche Eigenschaften und Schwächen ausnutzt, um sich unrechtmäßig Informationen anzueignen. Die menschliche "Schwäche" im Umgang mit QR-Codes ist zum einen die reine Neugier auf das, was passiert, wenn ein Code gelesen wird. Zum anderen ist es das Vertrauen, das fu?r das Scannen der kleinen Quadrate praktisch Voraussetzung ist. Sie erwecken beim Benutzer den Eindruck, dass er der Integrität des Code-Anbieters Glauben schenken und davon ausgehen kann, dass die vom Code gewählte Zieladresse legitim ist.
Kleines Quadrat, große Angriffsfläche
Ob das tatsächlich so ist, kann der Einzelne nicht nachvollziehen: Die Webseiten und Inhalte, zu denen die Codes letztlich fu?hren, sind in vielen kleinen Punkten versteckt. So haben Internet- Betru?ger und Datendiebe ein leichtes Spiel, mobile Anwender auf schadhafte Websites oder zu Malware zu leiten.
Daru?ber hinaus haben sogenannte QRCode-Scanner fu?r Smartphones oft eine direkte Verbindung zu anderen Smartphone-Funktionalitäten wie zum Beispiel E-Mail, SMS, lokalen Services und App- Installationen. Über diese Verbindungen werden nicht nur die potenziellen Risiken fu?r die mobilen Geräte selbst erhöht, sondern eventuelle Viren, Wu?rmer und Schadcodes bis ins Unternehmen hineingetragen. Das kleine Quadrat bietet dem Hacker also eine große Angriffsfläche.
IT-Sicherheit: "BYOD" stellt IT-Abteilungen vor Herausforderungen
Der erste Schritt einer Attacke ist die geschickte Verbreitung des Codes, um ihn an die potenziellen Opfer heranzubringen. Eine einfache, aber effiziente Verbreitungsmöglichkeit besteht in der Einbettung des Codes in eine E-Mail, wo er als Köder fu?r einen Phishing-Angriff dienen kann. Bevorzugt werden schadhafte QR-Codes aber auf vertrauenswu?rdig erscheinenden Dokumenten verbreitet, etwa auf Flyern fu?r Messen und Seminare oder in Form authentisch wirkender Gutscheine und Aufkleber, wie sie fu?r bestimmte Werbemaßnahmen eingesetzt werden.
Schutz fu?r die mobile Geldbörse
Ist der Code erst einmal im Umlauf, hat der Angreifer eine Vielzahl von Betrugsoptionen, unter denen er wählen kann. In der einfachsten Form kann der Code den Benutzer direkt auf falsche Webseiten und Online-Stores fu?hren und dort zum Beispiel Kreditkarten-Informationen sammeln.
Raffiniertere Angriffe leiten den Benutzer zum Beispiel auf Websites, die am mobilen Endgerät einen Jailbreak vornehmen - also sämtliche Nutzungsbeschränkungen entfernen - und sich damit Zugriff auf das Betriebssystem verschaffen. Wie bei einem sogenannten Drive-by-Download kann der Hacker dann auf dem Endgerät ungehindert Schad-Software oder Applikationen wie Key Logger und GPS-Tracker installieren - natu?rlich ohne Kenntnis oder Zustimmung des Benutzers.
Das wohl größte potenzielle Risiko fu?r den mobilen Anwender bringt die zunehmende Verbreitung von mobilem Online-Banking und von Zahlungen u?ber das Smartphone mit sich. Damit enthält das mobile Gerät zahlreiche sensible Konto-, Kreditkarten- und Finanzinformationen.
Mithilfe von QR-Codes, die mobile Endgeräte "knacken" und sich in Applikationen einnisten, können sich Hacker hier wie virtuelle Taschendiebe an den "mobilen Geldbörsen" bedienen. Eine weitere Gefahr geht von bereits existierenden, QR-basierenden Zahlungslösungen aus. Diese werden zwar bislang noch wenig genutzt, du?rften sich jedoch mit der zunehmenden öffentlichen Akzeptanz von QR-Codes rasch verbreiten.
Schlaue Scanner, schlaue Anwender
Die wichtigste Vorsichtsmaßnahme, um die Risiken der trendigen QR-Quadrate zu vermeiden, liegt in der fru?hzeitigen Enthu?llung ihres Informationsgeheimnisses: Der Anwender sollte bereits beim Scannen einwandfrei feststellen können, welchen Link oder welche Quelle der Code aufrufen wird.
Einige "schlaue" QR-Code-Scanner bieten dem Benutzer die hierfu?r nötige Transparenz und fragen nach, ob er einen bestimmtem Link oder eine Aktion tatsächlich ausfu?hren will. So hat der Anwender die Möglichkeit, die Validität eines Links besser einschätzen zu können, bevor der gescannte Code tatsächlich aktiviert wird.
Fu?r Smartphones, die im Unternehmen eingesetzt werden, sollte eine Datenverschlu?sselungslösung in Erwägung gezogen werden. So sind geschäftsrelevante Daten selbst dann geschu?tzt und nicht von Hackern nutzbar, wenn ein schadhafter QR-Code auf dem Endgerät einen Trojaner oder andere Malware installieren konnte.
Wie in allen Bereichen der Sicherheit gilt vor allem auch bei der Verschlu?sselung von Smartphones: Der Anwender muss dafu?r sensibilisiert werden. Sicherheit ist kein notwendiges Übel, sondern liefert die notwendige Basis fu?r viele Dienste, insbesondere fu?r das mobile Arbeiten.
Ebenso selbstverständlich, wie fu?r die Benutzer die SSL-Verschlu?sselung von Informationen beim Homebanking geworden ist, sollte auch der Schutz solch sensibler Daten auf dem Mobiltelefon sein. Kontinuierliche Aufklärung und eine umfassende, unternehmensweit integrierte Sicherheitslösung schieben auch neuen Gefahren wie bösartigen QR-Codes erfolgreich einen Riegel vor.
