Handelsblatt

MenüZurück
Wird geladen.

22.09.2011

11:32 Uhr

QR-Code

Böse Pixelmuster

VonKai Biermann
Quelle:Zeit Online

Es klingt absurd, aber ein auf Papier gedrucktes Schwarz-Weiß-Muster kann eine Art Computervirus sein. Mit sogenannten QR-Codes lassen sich Smartphones kapern.

QR-Code am Lucas-Cranach-Haus in der Innenstadt von Gotha. Die Codes sind weit verbreitet, können aber auch für Attacken missbraucht werden. ddp images/dapd/Jens-Ulrich Koch

QR-Code am Lucas-Cranach-Haus in der Innenstadt von Gotha. Die Codes sind weit verbreitet, können aber auch für Attacken missbraucht werden.

BerlinSeit Jahren schon gibt es auf Plakaten sogenannte QR-Codes, schwarz-weiße Quadrate mit verwirrend aussehenden pixelartigen Flecken. Die Bahn nutzt sie für ihre Online-Tickets. Inzwischen werden sie auch in Zeitschriften eingesetzt, um auf Netzinhalte aufmerksam zu machen. Höchste Zeit also, darauf hinzuweisen, dass diese Pixelraster wie jede Technik Gefahren bergen – mit ihrer Hilfe können zum Beispiel Smartphones gehackt werden.

QR-Codes – QR steht für quick response, schnelle Antwort – wurden schon 1994 entwickelt und sind eine Art gedruckter Link. Ihr Pixelraster ist nichts weiter als eine binäre Information (schwarz/weiß, an/aus), mit deren Hilfe Texte, Links oder auch Programmzeilen kodiert und übermittelt werden können. Die gleichen Programme, die Streifencodes auf Waren lesen und verstehen, sind meistens auch in der Lage, die quadratischen Datenpakete zu entschlüsseln.

Die Techniken der Datendiebe

Trojanische Pferde

Eine der gebräuchlichsten Methoden, Daten abzufangen, ist die Einschleusung sogenannter Trojanischer Pferde, meist schlicht Trojaner genannt. Dabei wird eine schädliche Software meist per E-Mail oder über infizierte Webseiten auf dem Computer installiert, die dort Daten – etwa die Kontonummer – meist ohne Wissen des Benutzers abruft und weiterschickt. Trojaner können sich auch in Fotos, Dokumenten oder auf Speichermedien verbergen.

Phishing

Beim sogenannten Phishing versuchen Datendiebe, sich über gefälschte Webseiten Konten- oder Kreditkartennummern, TANs, PINs oder Passwörter der Opfer zu angeln. Häufig bauen sie dafür bis ins Detail den Internetauftritt von Banken, Versicherungen oder anderen Institutionen nach. Danach verschicken sie E-Mails, um Kunden per Klick auf einen enthaltenen Link auf die getürkte Seite zu führen. Dabei wird das Opfer aufgefordert, sensible Daten einzugeben, die dann zusammen mit der Identität der Opfer missbraucht werden.

Keylogger

Diese Art von Schadsoftware wandert über ähnliche Wege wie Trojaner in den Computer ein und zeichnet die Tastenanschläge des Benutzers auf, um sie an Datendiebe weiterzuleiten. Diese Tasten-Speichersysteme machen für die Täter Passwörter ersichtlich, selbst wenn die Übermittlung an die passwortgeschützte Webseite verschlüsselt erfolgt.  An öffentlich zugänglichen Computern können Datengangster auch kleine Geräte zwischen Tastatur und Rechner schalten, die dann die Eingaben des Benutzers zeigen und so Daten und Zugänge erschließen lassen.

Klassisches Hacking

Dabei versuchen die Hacker über Programmierattacken in Zentralrechner oder Netzwerke einzudringen. In offenen Netzwerken wie unverschlüsselten WLANs ist dies sehr einfach, in geschützten Bereichen gestaltet sich das schwieriger. Immer wieder hatten solche Angriffe auf Behörden wie die NASA oder das US-Verteidigungsministerium für Schlagzeilen gesorgt. Selbst Industrieanlagen können damit theoretisch lahmgelegt werden, wie die Attacke des Stuxnet-Wurms auf Urananreicherungsanlagen im Iran zeigt.

Zufall und Schlamperei

Zwischenfälle mit sensiblen Daten sind allerdings nicht nur auf professionelle Hacker-Software zurückzuführen, sondern mitunter auch den blanken Zufall oder Unaufmerksamkeit. Dazu zählen auf EC-Karten notierte Geheimzahlen, Haftnotizen mit Passwörtern am Computerbildschirm oder fehlgeleitete Informationen. Ein Beispiel: Vor einigen Jahren erregte eine Panne der Landesbank Berlin Aufsehen. Zwei Kurierfahrer hatten sich über einen von der LBB verschickten Christstollen hergemacht und dann Etiketten von Päckchen vertauscht, um ihren Mundraub zu vertuschen. Prompt landeten tausende Kreditkartendaten in der Redaktion der „Frankfurter Rundschau“, für die eigentlich die Weihnachtsleckerei gedacht war.

Das System ist praktisch, um eine größere Menge Daten zu übermitteln, beispielsweise Kontaktinformationen. So kann auf einer Visitenkarte auch ein QR-Code stehen, jeder mit einem Scan-Programm kann die Daten einlesen und speichern. Der Vorteil: Es geht schneller, gerade bei Links. Einen solchen von Hand einzutippen, um eine Website aufrufen zu können, dauert sehr viel länger.

Entwickelt wurden die Pixelraster, damit der Autokonzern Toyota in seinen Werken Teile und Baugruppen automatisch erkennen und liefern konnte. Dann entdeckten Werber sie als Weg, um auf Plakaten zusätzliche Informationen zu vermitteln und Mobiltelefon-Nutzer auf eine Website zu locken. Inzwischen setzen auch viele Zeitungen QR-Codes ein, um ihre gedruckten Geschichten mit im Netz abrufbaren Inhalten zu ergänzen, beispielsweise seit Kurzem der Spiegel und auch der Stern.

Das Problem ist, dass die Leseprogramme einen gescannten Code "blind" ausführen, ihn also nicht prüfen. Auch kann der Nutzer vorher nicht erkennen, was der Code eigentlich enthält, will er das wissen, muss er ihn scannen. Bei QR-Codes gibt es keine Chance, den eigentlichen Inhalt vorher zu sehen. Im Gegensatz beispielsweise zu E-Mails mit verseuchten Links, die die URL preisgeben, wird die Maus auf sie gehalten. Angreifer können das nutzen, um das scannende Gerät anzugreifen.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×