Elektronische Signatur - QR Code - Was steckt dahinter?
Seit Stichtag 1.4.2017 ist die Abbildung eines QR Codes auf den Belegen gesetzlich verpflichtend vorgesehen. Wir zeigen auf, welche Informationen und Risiken im Detail damit verbunden sind.
Allgemein:
Der QR-Code (Quick Response) ist ein zweidimensionaler, maschinenlesbarer Code der seit 1. April 2017, laut Registrierkassensicherheitsverordnung, auf allen Belegen vorhanden sein muss. Aufgrund der automatischen Fehlerkorrektur ist der QR-Code sehr robust und daher weit verbreitet. Der QR-Code basiert auf einer Bitfolge, das bringt den Vorteil, dass der Code eine geringe Speichergröße besitzt. Die Informationen, die der QR-Code anzeigen soll, werden einfach codiert. So brauchen zum Beispiel Zahlen weniger Platz als ein Text der in Kanji geschrieben wurde.
Signatur bei Registrierkassen
Die Signatur besteht aus einer Kette von Daten, die mit Unterstrichen getrennt sind. Die einzelnen Felder sind außer dem Umsatzzähler in Klartext und können einfach mit den am Beleg gedruckten Daten verglichen werden. Die Registrierkassennummer ist eine von Unternehmen gewählte Kennung, die nur innerhalb der Firma eindeutig ist. Die Identifikation des Unternehmens erfolgt über die Zertifikat-Seriennummer. Der aktuelle Stand des Umsatzzählers wird mit frei gewählten, aber der Finanz gemeldeten Schlüssel mit AES-256/ICM verschlüsselt.
QR-Code per Smartphone:
Die QR-Codes könne auch ganz einfach per Smartphone eingelesen werden, dafür gibt es „Apps“ im Applestore, wie auch im Playstore für Android Telefone. Empfehlen können wir für Android Smartphones, den „QR Code Reader“ von TWMoblie und für iPhones den „QR Code Scanner und Barcode Scanner –QRbot“ von TeaCapps. Versuchen Sie doch mal den unten abgebildeten QR-Code mit einer der Apps zu scannen. So einen QR-Code können Sie ganz leicht selbst erstellen, zum Beispiel auf der Website http://goqr.me/de/.
Gefahren:
In der Praxis verwendet man QR-Codes für Telefonnummern, Adressen, informierende Texte,
WLAN –Zugangsdaten, Geodaten oder seit 1. April als Verkettung von Belegen bei Registrierkassen. Grundsätzlich gilt aber solche Codes nur zu scannen, wenn diese auch von Vertrauensvollen Quellen stammen, denn da bei QR-Codes nicht auf den ersten Blick ersichtlich ist, welcher Inhalt er beinhaltet, ist es möglich, in ihm einen Link zu verstecken der den Betrachter nach dem Scannen auf eine schädliche Seite führt oder sogar ungewollt Funktionen seines Smartphones ausführt. 2010 wurden mehrere solcher Angriffe auf Mobiltelefone mit Android Betriebssystem bekannt. Der Link, der im QR-Code versteckt war, führte auf eine Seite namens „Jimm“, die automatischen einen Download einer Software bezweckte. Dies war ein Trojaner, der das Handy unauffällig ausspionierte. Als Schutz zeigen viele QR-Code Scanner den Text des Inhaltes zuerst an bevor dieser ausgeführt wird. Trotzdem kann es passieren, dass auch ohne direkten Seitenaufruf ein gewisses Gefahrpotential besteht. Es gilt, lieber Vorsicht als Nachsicht.