Welche Daten enthalten QR-Codes?
QR-Codes können ganz unterschiedliche Arten sensibler Informationen kodieren: • URLs — Webadressen, die privat oder rein intern sein können • WLAN-Zugangsdaten — Netzwerkname und Passwort, gespeichert im Klartext • Visitenkarten (vCard) — vollständiger Name, Telefonnummer, E-Mail-Adresse und Organisation • E-Mail-Adressen mit bereits vorausgefüllten Betreffzeilen und Nachrichtentexten • Telefonnummern sowie vorbereitete SMS-Nachrichten All diese Daten werden direkt und unverschlüsselt im sichtbaren QR-Code-Muster eingebettet.
Risiken von Online-QR-Generatoren
Viele Online-QR-Generatoren bergen versteckte Risiken, die den meisten Nutzern gar nicht bewusst sind: • Ihr WLAN-Passwort wird im Klartext an deren Server übertragen • Eingegebene Kontaktinformationen werden protokolliert und mitunter weiterverkauft • Manche Dienste fügen heimlich Tracking-URLs ein, die über ihre eigenen Server umleiten • Erzeugte QR-Codes können später ablaufen oder nachträglich verändert werden • Ihre Nutzungsmuster können sensible Geschäftsinformationen enthüllen • Es gibt keinerlei Garantie für eine tatsächliche Datenlöschung nach der Generierung
Wie PrivaQR Ihre Daten schützt
PrivaQR verwendet die Bibliothek qrcode.js, um QR-Codes vollständig in Ihrem Browser zu erzeugen: • Null Netzwerkanfragen — die gesamte Generierung erfolgt lokal über JavaScript auf Ihrem Gerät • WLAN-Passwörter verlassen Ihr Gerät zu keinem Zeitpunkt • Eingegebene Kontaktdaten bleiben durchgehend privat • Keine Tracking-URLs eingebettet — Ihre QR-Codes sind dauerhaft gültig und vollkommen rein • Benutzerdefinierte Farben, Fehlerkorrekturstufen und Größen — alles wird ausschließlich clientseitig verarbeitet • Download als PNG- oder SVG-Datei, ganz ohne jegliche Server-Interaktion
Warum QR-Codes auf einzigartige Weise leicht zu missbrauchen sind
Zwei Eigenschaften machen QR-Codes auf eine Weise riskant, die gewöhnliche Links nicht haben. Erstens sind sie für Menschen unlesbar — Sie können ein legitimes Ziel nicht durch Hinsehen von einem bösartigen unterscheiden, sodass ein physisch über einen echten Code geklebter Code (auf einer Parkuhr, einem Restauranttisch, einer Lieferbenachrichtigung) Sie ohne sichtbare Warnung an einen feindlichen Ort leiten kann. Dieses „Quishing“ (QR-Phishing) ist weltweit gegen Banken und Verkehrsbetriebe dokumentiert worden. Zweitens verrät die Erstellung das Geheimnis: Da die codierten Daten — ein WLAN-Passwort, eine Privatadresse in einer vCard — in dem Moment entstehen, in dem Sie sie in einen Generator eintippen, sieht ein serverseitiger Generator den Rohwert, noch bevor das Bild überhaupt existiert. Die Verteidigung ist struktureller Natur: Erstellen Sie lokal, damit das Geheimnis nie übertragen wird, und sehen Sie sich bei einem gescannten Code stets die decodierte URL in der Vorschau an, bevor Sie darauf reagieren.