Zahlung via QR-Code: Die Bezahlmethode im Sicherheitscheck

Bezahlen mit QR-Code ist leichter als das Ausfüllen einer Überweisung. Wie sie funktionieren, wie sicher es ist, via QR-Code zu bezahlen und worauf sie dabei achten sollten, erfahren Sie hier.

Ein Mann bedient ein Tablet zum Bezahlen
Wie sicher sind QR-Codes? Foto AdobeStock

Nicht zuletzt die Corona-Pandemie hat dafür gesorgt, dass alternative, kontaktlose Bezahlsysteme immer beliebter werden. Für die kontaktlose Datenübertragung bei mobilen Bezahlprozessen finden QR-Codes, die verschiedenste Funktionen erfüllen können, immer häufiger Verwendung. In diesem Artikel erfahren Sie, wie QR-Codes funktionieren, wie mit ihnen sicher bezahlt werden kann und worauf Userinnen und User dabei achten müssen.

Was ist ein QR-Code?

Der QR-Code wurde 1994 von der japanischen Firma Denso Wave entwickelt, führte jedoch lange Zeit ein Schattendasein. Zum Durchbruch verhalf die Corona-Pandemie, inzwischen sind QR-Codes allgegenwärtig. "QR" steht für "Quick Response", also "Schnelle Antwort". Form und Ausgestaltung des QR-Codes ermöglichen eine rasche elektronische Bildverarbeitung. Ein QR-Code kann zum Beispiel folgende Informationen enthalten:

  • URL einer Website (zur Weiterleitung)
  • Adressbuch/Kontakte
  • Termine aus einem Kalender
  • Kürzere Texte
  • Bilder
  • Audiodateien
  • Videodateien
  • Fahrplanauskunft
  • digitale Visitenkarten
  • Geodaten (z.B. für Geocaching)

Technische Aspekte des QR-Codes

  • Jedes enthaltene Kästchen des QR-Codes stellt ein einzelnes Bit dar. Meist sind sie schwarz (1) oder weiß (0), das ist aber nicht zwingend. Wichtig ist nur, dass ein guter Kontrast besteht, um einen digitalen Code (eine Abfolge der numerischen Zeichen „0“ und „1“) darstellen zu können.
  • Länge und Breite eines QR-Codes können variieren. Das gilt folglich auch für die Menge an Information, die damit abgebildet werden kann. Im Jahr 2022 ist die kleinste mögliche Abmessung eines Micro-QR-Codes die Größe von 11*11 Kästchen. Damit lassen sich allerdings nur wenige Zeichen speichern. Bei der maximal möglichen Kapazität von 177*177 Kästchen können entweder bis zu 7.089 Ziffern oder bis zu 4.296 alphanumerische Zeichen enthalten sein.
  • Allfällig im QR-Code enthaltene Print-Zeichen oder Bilder gehören technisch nicht zum Code und haben keinerlei Bedeutung für die Decodierung.

Hinweis

Welche technologischen Verfahren mobilen Bezahlungsmethoden zugrunde liegen, erfahren Sie in unserem Beitrag „Mobile Payment-Technologien: NFC-Chip, Barcode und QR-Code“.

QR-Codes sind überall

Durch ihre markante Form sind QR-Codes für Userinnen und User leicht zu erkennen. Außerdem können sie durch ihre strikte Struktur von QR-Lesegeräten (zum Beispiel: Smartphones mit in der Kamera integriertem QR-Code-Reader oder separate Apps, die auf das Lesen von QR-Codes spezialisiert sind) leicht und meist zuverlässig gelesen werden. Sogar QR-Codes, bei denen ein Teil verwischt oder überdeckt ist, können von Computern dank der integrierbaren Redundanz und Fehlerkorrektur noch zuverlässig verarbeitet werden. So stellt etwa eine Büroklammer, die Teile des Codes verdeckt, eine Berglandschaft im Hintergrund oder ein Wasserfleck auf einem Plakat meist kein Problem dar.

Verschiedene Typen des QR-Codes

  • QR Code.  Modell 1 des herkömmlichen QR-Codes enthält 73*73 Kästchen beziehungsweise Bits und kann in Summe bis zu 1.167 numerische Zeichen enthalten. Modell 2 verfügt über eine größere Kapazität mit 177 *177 Kästchen (maximal 7.089 numerische Zeichen).
  • Micro QR Code. Dieser Code kann maximal 35 numerische Zeichen enthalten und eignet sich für die Anwendung auf kleinen, begrenzten Bildflächen.
  • iQR Code. Der iQR Code kann quadratisch oder rechteckig dargestellt werden und kann mit bis zu 40.000 numerischen Zeichen die meisten Daten enthalten.
  • Secure QR Code. Dieser Typ ist durch eine Zugangs- beziehungsweise Lesebeschränkung mittels Verschlüsselung abgesichert.
  • Frame QR. Dieser Typ kann weitere Grafiken, Logos und Bilder innerhalb des quadratischen Feldes beinhalten und wird meist in der Werbebranche verwendet.

Weitere Typen von QR-Codes sind noch im Planungs- und Entwicklungsstadium. Bei diesen wird meist versucht die Kästchen, welche bisher nur schwarz oder weiß sein konnten, um weitere Farbmöglichkeiten zu ergänzen und somit eine höhere Speicherdichte zu erreichen.

Wie verwende ich einen QR-Code zum Bezahlen?

Um via QR-Code bezahlen zu können, benötigen Sie ein Gerät mit Kamera und eine Software, die QR-Codes scannen und verarbeiten kann. Handybezahldienste und Banking-Apps sind in der Regel mit dieser Software ausgestattet. Auch die Kamera Ihres Tablets oder Notebooks sowie die Web-Cam Ihres Computers können QR-Codes scannen.

Um via QR-Code zu bezahlen, öffnen Sie Ihre Banking-App und scannen mit der dort dafür vorgesehenen Funktion den grafischen Code. Danach wird Ihnen von der Banking-App die Empfängerin beziehungsweise der Empfänger, der zu bezahlende Betrag und ein Verwendungszweck angezeigt. Nur diese Daten sind gültig, ganz unabhängig davon, was im QR-Code oder im Begleittext angezeigt wurde. Prüfen Sie daher vor allem die Angaben auf ihrem Smartphone.

Anschließend zeichnen Sie diese Transaktion mit dem üblichen Verfahren. Wenn Sie Ihre Überweisungen also normalerweise per Fingerabdruck zeichnen, dann tun Sie das auch beim Bezahlen via QR-Code.

Sicherheitsrisiken bei QR-Codes

Userinnen und User können rein optisch nicht überprüfen, ob der tatsächliche Inhalt eines QR-Codes dem erwarteten Inhalt entspricht. Cyberkriminelle können QR-Codes daher dazu verwenden, um ihre Opfer auf Phishing-Websites beziehungsweise auf Websites mit Schadsoftware weiterzuleiten. Zu diesem Zweck müssten sie nur einen Aufdruck auf einem Poster oder einen Flyer mit einem selbst erzeugten, schädlichen QR-Code überkleben. Des Weiteren können auch Einzahlungsscheine, PDFs oder E-Mails derart manipuliert werden. Aus diesem Grund gelten für QR-Codes prinzipiell dieselben Hinweise und Sicherheitsmaßnahmen, wie auch beim Surfen im Netz. Gefälschte Landingpages (Anmerkung: die Zielseite nach der Weiterleitung) imitieren das Corporate Design (Firmenlogo, Firmenfarben) von Unternehmen und können leicht mit der originalen Website verwechselt werden.

QR-Codes können, wie bereits erwähnt, überklebt oder im Vorhinein für einen Cyber-Angriff generiert worden sein, aber nicht im klassischen Sinn gehackt werden. Dazu müssten Cyberkriminelle die Anordnung der quadratischen Module manipulativ ändern, um beispielsweise eine Verlinkung zu einer bösartigen Quelle in den Code zu integrieren. Dieses Verfahren ist jedoch sehr aufwändig.

Hinweis

Für weiterführende Informationen, wie Sie sich vor Internetbetrug mittels Phishing schützen können, lesen Sie die Beiträge „Inhalte von Phishing-Versuchen“ und „Präventionsmaßnahmen gegen Phishing“.

Sollte Ihre Banking-App die Zahlung per QR-Code nicht unterstützen, so ist es für Sie sicherer, die Zahlungsdaten manuell einzutragen. Beachten Sie dazu gerne auch unsere Hinweise im Artikel „Sicheres Online-Banking“. Geben Sie jedenfalls nie Ihre Zugangsdaten für das Online-Banking in eine App oder auf einer Seite ein, von der sie nicht absolut sicher sind, dass sie zu einem seriösen Zahlungsdienstleister gehört.

Hinweis

Wer im Internet bezahlt, sollte einen Überblick über die möglichen Online-Bezahloptionen haben. Erfahren Sie hierzu mehr im Beitrag „Sicher shoppen im Netz: gängige Online-Bezahlmethoden im Check“.

So zahlen Sie mit QR-Codes sicher

Mit folgenden Grundregeln sind Userinnen und User bei Bezahlungen via QR-Code auf der sicheren Seite:

  1. Kontext zählt nicht. Ist ein QR-Code beispielsweise auf einem Flyer oder Plakat dargestellt, so besteht nicht notwendigerweise ein Zusammenhang zwischen dem tatsächlichen Inhalt des QR-Codes und dem vermittelten Kontext des Flyers oder Plakats. Dasselbe gilt auch für visuelle Elemente (zum Beispiel ein Firmenlogo), die innerhalb eines QR-Codes angezeigt werden. Sie sollten also immer genau prüfen, wohin Sie der QR-Code leitet und sich nicht einfach auf den Kontext des QR-Codes verlassen.
  2. Richtige App. Verwenden Sie beim Bezahlprozess die App Ihres Zahlungsdienstleistungsanbieters, um den QR-Code zu scannen. Eine Bezahlseite, zu der Sie beim Einscannen des QR-Codes erst weitergeleitet werden, kann unter Umständen gefälscht sein und ihre Bankdaten abgreifen.
  3. Landingpage überprüfen. Überprüfen Sie die Website, zu der Sie durch das Scannen des QR-Codes weitergeleitet werden, auf ihre Seriosität: Zu diesem Zweck sollten Sie beispielsweise einen Blick auf die Adressleiste im Browser werfen. Achten Sie darauf, dass die aufgerufene Adresse richtig geschrieben ist und dass die Verbindung verschlüsselt ist (erkennbar am Verbindungstyp „https“). Online-Shops sollten außerdem durch Sicherheitszertifikate wie dem „Österreichischen E-Commerce Gütezeichen“ oder „Trusted Shops“ gekennzeichnet sein.

Hinweis

Hilfreiche Informationen, wie Sie sich vor betrügerischen Websites schützen, finden Sie in den Beiträgen „Vorsicht, Falle! So erkennen Sie betrügerische Online-Shops“ und „So sind zuverlässige Online-Shops erkennbar“.

Letzte Aktualisierung: 27. Jänner 2022

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria