Cyberbedrohung QR-Codes:
Wie sich Unternehmen die Technologie zunutze machen können, ohne ihre eigene Sicherheit auf Spiel zu setzen
Phishing-Angriffe finden im Sekundentakt statt. Denn die Kosten für Hacker sind bei solchen Angriffen gering, die Erfolgsquote hingegen hoch. Mit Tools wie großen Sprachmodellen (LLM) und QR-Code-basierten Angriffen ist nicht zu erwarten, dass sich die Lage entschärfen wird. Unternehmen sollten jedoch nicht nur Strategien entwerfen, um sich vor solchen Angriffen zu rüsten, sondern auch darüber nachdenken, wie sie die Technologie intern sicher nutzen können.
QR-Codes im Authentifizierungsumfeld
Da Phishing zu den häufigsten Angriffsmethoden zählt, sind Unternehmen gut beraten, auf passwortlose, Phishing-resistente Multi-Faktor-Authentifizierungsmethoden (MFA) zu setzen. Im Zuge dessen prüfen viele Organisationen die Wirksamkeit von QR-Codes als Faktor für Authentifizierungsabläufe.
Bei der QR-Code-Authentifizierung legen die Benutzer einen QR-Code auf einem Telefon oder einem gedruckten Ausweis als Teil des Arbeitsablaufs vor. QR-Codes erfüllen allerdings lediglich der Authentifizierungsanforderung „etwas, das man hat“. Um alle Anforderungen zu erfüllen, müssten sie mit einer biometrischen Prüfung oder einer PIN gekoppelt werden.
Eine Organisation muss sich jedoch überlegen, wie sie diesen PIN- bzw. Biometrie-Nachweis speichern will. Ein Teil des Ziels eines passwortlosen Modells besteht darin, zu vermeiden, dass viele verschiedene gemeinsame Elemente mit Benutzerkonten verknüpft werden. Die Speicherung der PIN oder des biometrischen Nachweises in Verbindung mit den kodierten Daten im QR-Code unterläuft dieses Modell.
Auf den ersten Blick scheinen QR-Codes zwar sicherer als Passwörter zu sein, da sie vom menschlichen Auge nicht gelesen werden können. Und doch beruhen QR-Codes lediglich auf Sicherheit durch Unsichtbarkeit – Sicherheit durch Unsichtbarkeit ist jedoch keine echte Sicherheit. QR-Codes, die zur Authentifizierung an Endbenutzer verteilt werden, insbesondere solche, die auf sichtbare Ausweise gedruckt werden, sind mit dem Ausdruck von Benutzer-IDs oder Passwörtern auf eben diesen Ausweisen vergleichbar.
Während QR-Codes für Menschen schwer zu unterscheiden sind, sind sie statisch und können von Computern leicht entschlüsselt werden. Der QR-Code-Standard sieht bei den meisten Modellen eine Datenredundanz vor, so dass unscharfe oder unvollständige Fotos von Computern genauso leicht gelesen werden können wie Originale.
Im Grund beruhen QR-Codes auf denselben veralteten Authentifizierungsverfahren wie Passwörter. Auch wenn ein QR-Code komplex erscheinen mag, muss er auf einen Server übertragen und validiert werden, was ihn anfällig für das Abfangen und den Diebstahl durch einen Dritten macht. Eine weitere Gefahr: QR-Codes lassen sich leicht und kostengünstig klonen. Eine Smartphone-Kamera genügt, um einen QR-Code-basierten Berechtigungsnachweis zu kopieren bzw. zu duplizieren und damit den Zugang zu Systemen und Daten zu fälschen. Zwar bietet jede Form der Multi-Faktor-Authentifizierung mehr Sicherheit als Passwörter, doch nicht jede MFA ist gleich. In den meisten Situationen fungieren QR-Codes als Repräsentation eines statischen Wertes oder eines gemeinsamen Geheimnisses. Das bedeutet, dass sie als MFA-Faktor weniger Sicherheit bieten als SMS-One-Time-Passcodes (OTPs). Denn QR-Codes haben sich als sehr anfällig für Social-Engineering-Angriffe wie Phishing erwiesen, was zu Kontoübernahmen führen kann. Die einzige Möglichkeit, Mitarbeiter effektiv vor Angriffen zu schützen, ist die Verwendung von Phishing-resistenten MFA-Tools wie Hardware-Sicherheitsschlüsseln.
QR-Code-basierte Ausweisdokumente und die Gefahr durch QR-Code-Angriffe
In einigen Fällen erwägen Organisationen und Regierungen die Verwendung von QR-Codes auf einem Identitätsdokument, das auf Ausweise gedruckt, auf einer Karte ausgegeben oder elektronisch auf einem Gerät angezeigt wird. Diese Verwendung von QR-Codes kann Identitäten dem Risiko von Betrug und Identitätsdiebstahl aussetzen. Bisweilen sind kurzlebige Identitätsdokumente auf der Grundlage von QR-Codes akzeptabel, wenn es sich beispielsweise um Eintrittskarten für eine Veranstaltung handelt.
Nach der Identitätsprüfung am Eingang kann ein QR-Code generiert und mit den erforderlichen Sitzplatz- oder Teilnehmerinformationen kodiert werden, um von einem nicht angeschlossenen Gerät am Veranstaltungsort gelesen zu werden. Ein nicht angeschlossenes Lesegerät kann Konnektivitätsprobleme in großen Sportarenen lösen. Organisationen sollten bei der Bewertung dieses Modells allerdings die bereits angesprochenen Probleme der Anfälligkeit für Wiederholungsangriffe und das Risiko des Diebstahls von Zugangsdaten berücksichtigen.
Angesichts der Verbreitung von Smartphones setzen viele Unternehmen QR-Codes zunehmend bei Marketing- und Kommunikationsmaterialien ein – beispielsweise auf Produkten, in Anzeigen, beim mobilen Ticketing und sogar auf Visitenkarten.
Leider werden QR-Codes auch von Cyberkriminellen auf vielfältige Weise genutzt, um sensible Informationen zu stehlen oder die Endgeräte der Verbraucher mit Malware zu infizieren. Eine Möglichkeit ist das Klonen eines authentischen QR-Codes und dessen Umleitung auf eine bösartige Webseite. Des Weiteren könnten Hacker auch einen echten QR-Code durch einen gefälschten ersetzen, um die Nutzer dazu zu bringen, ihren Anweisungen zu folgen. Ebenso effektiv ist das QR-Code-Phishing, auch Quishing genannt: Hier betten die Bedrohungsakteure einen QR-Code in eine E-Mail ein oder verwenden einen Phishing-Text. Viele dieser Angriffe nutzen das Vertrauen in Marken aus, indem gefälschte Websites präsentiert werden, um personenbezogene Informationen oder Anmeldedaten zu sammeln. Sie folgen vielen der bekannten Social-Engineering-Taktiken: So wird den Nutzern etwa der Zugang zu einem vermeintlichen Vorteil (Treueclub, Wettbewerb) angeboten oder ein Gefühl der Dringlichkeit erzeugt, indem beispielsweise mit der Kontoschließung gedroht wird, sollte keine sofortige Anmeldung erfolgen. Bei Cyberkriminellen beliebt ist auch die Verwendung von QR-Codes im Advertising-Bereich: In diesem Fall werden QR-Codes in öffentlichen Bereichen wie Ladenfronten, Bushaltestellen oder auf Werbeplakaten platziert, in der Hoffnung, dass sie von möglichst vielen Interessierten gescannt werden. Bereits vor zwei Jahren warnte die Polizei vor Parkbetrug, als QR-Codes verwendet wurde, um Bankkonto- und Kreditkarteninformationen zu stehlen.
Das können Unternehmen tun, um sich gegen die Hacker zu wappnen
Die Cyberkriminellen entwickeln ihre Techniken ständig weiter, und die Auswirkungen eines erfolgreichen Angriffes reichen von Datenverlust bis hin zu Rufschädigung und dem Verlust des Vertrauens der Verbraucher. Es ist an den Unternehmen, auf dem Laufenden zu bleiben und sich vor den Gefahren zu schützen. Das sind die Möglichkeiten:
- Einsatz von Passkeys statt Single-Faktor-Authentifizierung und herkömmlicher MFA
Anstatt von der Ein-Faktor-Authentifizierung mit Passwörtern zu einer anderen mit QR-Codes zu wechseln, ist die Einführung einer passwortlosen Authentifizierung mit phishing-resistenten Passkeys von entscheidender Bedeutung, um vor raffinierten Cyber-Bedrohungen wie Phishing sicher zu sein. Passkeys sind ein neuer Begriff für FIDO2/WebAuthn-Anmeldedaten – ein Standard, der Passwörter und „phishable“ MFA-Anmeldungen durch sicherere passwortlose Erfahrungen ersetzt. Gerätegebundene Passkeys auf modernen FIDO-Sicherheitsschlüsseln wie dem YubiKey erfüllen die höchsten Sicherheitsanforderungen und bieten Unternehmen vertrauenswürdige Authentifizierungsfaktoren sowie Bescheinigungsmöglichkeiten.
- Starke, Phishing-resistente MFA für Kundenkonten
Um Poison-the-Well-Angriffe zu vermeiden, die QR-Codes auf Produkten oder in Marketingmaterialien ausnutzen, sollten Unternehmen sicherstellen, dass alle Kundenkonten über eine vollständige Passkey-Unterstützung verfügen. Passkeys werden lediglich auf den Websites verwendet, für die sie ursprünglich erstellt wurden. Sie können nicht für Replay-Angriffe herangezogen werden, da ein Teil der Überprüfung in beide Richtungen erfolgt: So bestätigt der Hauptschlüssel den Ursprung der Anfrage, und die Website den kryptografischen Nachweis des privaten Schlüssels durch den Endbenutzer. Verbraucher können je nach ihrem persönlichen Risikomodell entweder Tools zur Verwaltung von Zugangsschlüsseln verwenden, die in ihren vorhandenen Endgeräten integriert sind, oder einen Hardware-Sicherheitsschlüssel einsetzen.
- Security-Awareness der Mitarbeiter optimieren
In vielen Fällen mangelt es den Mitarbeitern an der nötigen Kenntnis über aktuelle Cyberbedrohungen wie QR-Code-Phishing. Unternehmen sind daher gut beraten, ihre Schulungsunterlagen in regelmäßigen Abständen zu aktualisieren, um sicherzustellen, dass alle Beteiligten über die neuesten Methoden der Hacker informiert sind. Hierzu gehört auch der Know-how-Transfer, was Phishing-resistente Authentifizierungsmethoden betrifft.
Gleichgewicht zwischen Innovation und Sicherheit: Eine neue Zukunft mit Passkeys
QR-Code-basierte Angriffe sind für Cyberkriminelle äußerst attraktiv. Denn das Misstrauen gegenüber QR-Codes ist von Seiten der Nutzer relativ gering. Doch die Sicherheit durch Unsichtbarkeit trügt. QR-Codes sind statisch und daher leicht zu entschlüsseln. Die Einführung neuer Technologien bringt zwar viele Vorteile mit sich, doch muss man sich auch über die damit verbundenen Risiken im Klaren sein und die notwendigen Maßnahmen ergreifen, um die Sicherheitsrisiken auszugleichen. Zum Schutz vor Phishing-Angriffen, Malware und Datendiebstahl ist der Einsatz moderner, phishing-resistenter Lösungen wie Passkeys für eine starke Authentifizierung entscheidend. Da Passkeys auf der Public-Key-Kryptografie basieren, erhält ein potenzieller Angreifer lediglich den öffentlichen Schlüssel, der ohne das private Pendant nutzlos ist. Allerdings sollten auch die Anwender selbst Teil des Sicherheitskonzeptes sein und über die Vorteile der eingesetzten Maßnahmen im Kampf gegen Phishing und Co. im Rahmen von Schulungen und Awareness-Trainings aufgeklärt werden.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.