Vier von fünf Deutschen haben schon QR-Codes gescannt – die Hälfte ohne Sicherheitsbedenken

Jeder dritte Deutsche hat schon einmal einen QR-Code gescannt, der eine unerwartete Aktion auslöste oder der ihn auf eine verdächtige Website führte.

In Restaurants, zur Terminanmeldung in Kaufhäusern, zum Pick & Collect oder in Gesundheitseinrichtungen: QR-Codes haben seit Beginn der Corona-Pandemie Rückenwind. In allen Bereichen des täglichen Lebens begegnen uns die schwarz-weißen Kacheln, sei es zur Authentifizierung, zur Registrierung oder für Bezahlvorgänge.

Sie vereinfachen eine Welt mit Kontaktbeschränkungen und werden im Ausblick auf mögliche Öffnungsstrategien künftig noch bedeutsamer. Doch es gibt auch Schattenseiten. So haben nahezu 80 Prozent der Deutschen schon einmal einen QR-Code gescannt – jeder Zweite davon hat aber keine Bedenken, diese Codes zu nutzen. Das ist der zentrale Befund einer kürzlich veröffentlichten Studie des amerikanischen Security-Anbieter Ivanti mit Hauptsitz in South Jordan/Utah.

Der Sicherheitsspezialist Ivanti hat in einer breit angelegten Studie den Umgang mit QR-Codes näher ins Visier genommen – und ist auf einige Diskrepanzen gestoßen. Das Bewusstsein über IT-Sicherheitsrisiken und die Selbsteinschätzung, diese erkennen zu können, klaffen deutlich auseinander.

Für die Studie befragte Ivanti im Februar 2021 weltweit 4100 Verbraucher – davon 500 in Deutschland. Sie ist eine Folgeuntersuchung einer Studie zum gleichen Thema aus dem letzten Jahr. Seither hat das Vertrauen in die Technologie zugenommen – aber auch die Bedrohung durch bösartige QR-Codes.

QR-Codes sind insgesamt in der Masse angekommen. Nicht nur, dass vier von fünf Deutschen schon einmal einen QR-Code gescannt haben; 17 Prozent gaben an, am Tag der Befragung einen QR-Code genutzt zu haben – ein Anstieg gegenüber sechs Prozent bei der letzten Umfrage im September 2020. Wichtiger noch: Auch das Vertrauen in QR-Codes ist gestiegen. 40 Prozent der Befragten haben aktuell keine Bedenken, diese Codes zu nutzen. Im letzten Jahr waren dies noch 37 Prozent.

Die Kontaktbeschränkungen spiegeln sich in der Art der Nutzung wider: So haben beispielsweise 32 Prozent einen QR-Code in einem Restaurant, einer Bar oder einem Café gescannt, 22 Prozent haben sie im Einzelhandel genutzt. Und 62 Prozent sind der Meinung, dass QR-Codes das Leben in einem von Kontaktbeschränkungen geprägten Alltag einfacher machen.

Doch wenn immer mehr Menschen QR-Codes für immer mehr Aktionen nutzen, steigen auch die Sicherheitsrisiken. So können QR-Codes beispielsweise mit dem Endgerät des Opfers einen Anruf tätigen, eine Zahlung durchführen oder den Standort des Nutzers offenlegen.

Nur sind sich viele Nutzer dieser Risiken häufig nicht bewusst – beziehungsweise sie überschätzen ihr Wissen in dem Bereich: Jeder zweite deutschen Befragten gab an, dass sie einen bösartigen QR-Code erkennen können (51 Prozent). Zugleich sagt ein Drittel der deutschen Befragten jedoch auch, dass sie schon einmal einen QR-Code gescannt haben, der eine unerwartete Aktion auslöste, oder der sie auf eine verdächtige Website führte (36 Prozent).

Bedenkt man, dass 40 Prozent der Befragten keine Scheu vor QR-Codes haben, ist dies ein höchst riskantes Verhalten – zumal 42 Prozent keine Sicherheitslösung auf dem Smartphone installiert haben oder sich dessen nicht sicher sind.

Die wichtigsten Ergebnissen zur Sicherheitsproblematik von QR-Codes in der folgenden Infografik – zum Vergrößern zwei Mal anklicken:

Quelle: Ivanti

Verwandte Artikel:

Ransomware-Angriffe legten in der Corona-Pandemie um fast 150 Prozent zu

Cybersicherheit: Die wichtigsten Zahlen & Fakten zu Datenschutz-Verletzungen 2021

Top-Phishing-Marken im Weihnachtsquartal 2020: Microsoft vor DHL & LinkedIn

5 Trends: So machen moderne IT-Netzwerke Unternehmen krisensicher 

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Alle Kommentare [2]

  1. Guten Tag Herr Kroker,

    vielen Dank für diesen längst überfälligen Artikel.

    Wir hatten über das besagte QR-Code Risiko bereits in 2013 aufgeklärt und das Feedback war nicht wirklich überwältigend, da der Anwendungsfall noch wenig verbreitet war.

    Da wir uns hauptsächlich mit angewandter Kryptographie und IAM beschäftigen, sind QR-Codes für uns weniger Träger für Werbezwecke, als eher für den praktischen Austausch von Sicherheisinformationen mittels „Air Gap“ geeignet.

    Beim Einsatz von QR-Codes für Multifaktor Authentizierungsverfahren (Google Authenticator, TiQR, RCDevs OpenOTP Token, uvm.) ist das besagte Risiko gering, da die QR-Code scannende APP i.d.R. eine Plausibilisierung des QR-Code durchführt.

    Auf Ivanti bin ich über diese Meldung gestossen:

    ==============
    Ivanti Pulse Connect Secure data breach
    https://en.wikipedia.org/wiki/Ivanti_Pulse_Connect_Secure_data_breach

    The attacks are believed to be the third major data breach against the U.S. in the past year behind the 2020 United States federal government data breach and the 2021 Microsoft Exchange Server data breach.
    ==============

    Dass Ivanti auch Security Lösungen gegen QR-Code Missbrauch anbietet, war mir noch nicht bekannt. Ich werde das weitere Ivanti Portfolio asap vertiefen.

    Vielen Grüße und Dank für die Anregungen und auf bald
    Thomas Brandtstaetter