Bundesamt für Sicherheit in der Informationstechnik

M 5.173 Nutzung von Kurz-URLs und QR-Codes

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Fachverantwortliche, Leiter IT

Webseiten werden üblicherweise über eine URL (Uniform Resource Locator) angesteuert, die daher auch Web-Adresse genannt wird. Die Komplexität vieler Webseiten führt häufig zu relativ langen Web-Adressen, die schwer zu merken sind und vor allem bei mobilen Endgeräten wie Smartphones nicht in einer Zeile dargestellt werden können. Daher haben sich verschiedene Methoden entwickelt, um den Benutzern die Nutzung von Webadressen zu erleichtern. Prominente Vertreter sind Kurz- URL s und QR-Codes.

Kurz-URLs

Kurz-URLs bezeichnen einen weitverbreiteten Dienst im Internet, bei dem lange URL s durch kürzere URL s ersetzt werden. Kurz- URL s sind vergleichbar mit einem Link-Text in HTML , der auch beliebig kurz gewählt werden kann. Anders als bei solchen Links auf Internetseiten ist die Zuordnung zwischen kurzer und langer URL dabei in einer Datenbank hinterlegt und daher nicht so leicht erkennbar. Gründe für die weite Verbreitung von Kurz- URL s sind unter anderen:

  • Durch Kurz-URLs können Zeilenumbrüche von URL s in E-Mails vermieden werden. Durch einen Zeilenumbruch in einer URL bedeutet es meist mehr Aufwand, den zugeschickten Link zu öffnen. Kurz- URL s sind für gewöhnlich so kurz, dass sie nicht umgebrochen werden müssen.
  • Um Links in Mikro-Blog-Einträgen wie etwa Tweets von Twitter einzubetten, können keine langen URL s benutzt werden. Mikro-Blogs besitzen eine starke Zeichenbeschränkung von in der Regel 140 Zeichen pro Eintrag, da Mikro-Blogs von den Nutzern für gewöhnlich am Handy und nicht am PC verfasst werden. Daher haben sich Kurz- URL s als die gängige Form von Links in Mikro-Blog-Einträgen durchgesetzt.
  • Kurz- URL s erleichtern es, Referenzen und Verweisen in Zeitschriftenartikeln zu folgen. Viele Artikel in papiergebundenen Zeitschriften verweisen auf Quellen aus dem Internet bzw. enthalten Hinweise zu Internetseiten. Anders als bei Online-Artikeln müssen diese per Hand abgetippt werden. Kurz- URL s verringern den Aufwand dafür erheblich.

Neben all diesen Vorteilen können Kurz- URL s aber auch Gefährdungen mit sich bringen (siehe G 5.177 Missbrauch von Kurz-URLs oder QR-Codes ). Die Mitarbeiter der Institution sollten für diese Probleme sensibilisiert werden. Alle Mitarbeiter sollten wissen, dass Kurz- URL s mit Vorsicht zu genießen sind.

Um nicht auf andere als die gewünschten Webseiten weitergeleitet zu werden, können die Vorschaudienste von Kurz- URL -Anbietern genutzt werden. Dort wird einerseits die dahinter verborgene Adresse angezeigt und andererseits ein Bild der Seite gezeigt. Diese Funktion gibt es auch direkt als Erweiterung für gängige Internetbrowser. Die Vorschaufunktion von Kurz- URL s sollte möglichst immer genutzt werden. Anbieter von Kurz- URL s ohne eine Vorschaufunktion sollten nicht verwendet werden. Allerdings kann die Vorschaufunktion durch iterative Kurz- URL s ausgehebelt werden. Iterativ heißt eine Kurz- URL , wenn sie selbst auf eine andere Kurz- URL (statt auf eine echte Seite) verweist. Es sollten daher möglichst nur Anbieter von Kurz- URL s benutzt werden, welche iterative Kurz- URL s verbieten. Schwerer zu unterbinden sind iterative Kurz- URL s über mehrere Anbieter hinweg. Da iterative Kurz- URL s keinen praktischen Nutzen außer für Angreifer haben, sollten Benutzer iterative Kurz- URL s generell nicht anklicken.

Das Risiko, durch Kurz- URL s auf ungewünschte oder gefährliche Seiten im Internet geleitet zu werden, kann nur verringert, aber nicht ausgeschlossen werden. Damit schädliche Auswirkungen vermieden werden, müssen unbedingt die aktuellen Sicherheitsupdates für Browser und Betriebssystem eingespielt sein sowie ein Virenscanner aktiv sein.

Zusätzlich zu diesen Maßnahmen kann eine Institution entscheiden, dass Kurz- URL s ein zu großes Risiko darstellen und daher nicht verwendet werden dürfen. In diesem Fall kann der Zugang zu Kurz- URL -Dienstanbieter gesperrt werden, z. B. über entsprechende Filterregeln.

Nutzung von QR-Code

Um Anwendern das Abtippen von Kurz- URL s, WLAN -Zugangsdaten, Telefonnummern und anderen Informationen abzunehmen, werden vermehrt QR-Codes (Quick Response Codes) verwendet. Hierbei werden Daten in einer Abbildung, einem meist quadratischen Pixelmuster, so kodiert, dass sie zuverlässig von IT -Systeme ausgelesen werden können. Hierfür ist es erforderlich, über Endgeräte wie Smartphones mit entsprechender Ausstattung den QR-Code abzufotografieren oder einzuscannen, um die hierin kodierten Informationen auslesen zu können.

Die Spezifikation von QR-Code ist offen gelegt und QR-Code s können lizenz- und kostenfrei verwendet werden, so dass sie mittlerweile stark verbreitet sind. Klassische QR-Code s können Informationen bis zu 2.953 Byte beinhalten. QR-Code s verfügen über eine hohe Fehlertoleranz, je nach Fehlerkorrektur-Level können zwischen 7% und 30% beschädigter Informationen eines QR-Code s rekonstruiert werden. Neben den verbreiteten QR-Code s gibt es Weiterentwicklungen, in denen Informationen (teilweise) verschlüsselt abgelegt werden, die besonders kleine Abmessungen haben oder in denen Bilder, Texte oder Logos erkennbar sind.

Die in QR-Code s abgelegten Informationen können nicht ohne Weiteres von den Benutzern gelesen werden. Dadurch ergeben sich, ähnlich wie bei Kurz- URL s, einige Gefährdungen (siehe G 5.177 Missbrauch von Kurz-URLs oder QR-Codes ). Ein Benutzer könnte beispielsweise auf seinem Endgerät einen QR-Code einlesen, der auf über die darin kodierte URL auf eine mit Schadsoftware infizierte Webseite verweist. Daher muss darauf geachtet werden, dass auf dem Endgerät nach dem Einlesen eines QR-Code s keine weiteren Aktionen automatisch ausgeführt werden. Bei einer URL sollte also zuerst die dahinter verborgene Adresse angezeigt werden, bevor die entsprechende Web-Seite geöffnet wird. Generell sollte nach dem Einlesen auch keine Telefonnummer automatisch angerufen oder eine SMS versendet werden, Benutzer sollten ausgehende Anrufe erst bestätigen, bevor gewählt wird.

Das Sicherheitsmanagement sollte deswegen die Mitarbeiter über den Umgang mit QR-Code s aufklären. Außerdem sollten auf den Endgeräten nur QR-Applikationen eingesetzt werden, bei denen nach dem Einlesen von QR-Code s keine Aktionen automatisch ausgeführt werden, sondern diese vorher vom Benutzer bestätigt werden müssen.

Sollen Informationen für einen kleinen Benutzerkreis veröffentlicht werden, kann überlegt werden, die hierin abgelegten Informationen zu verschlüsseln. Beispielsweise können hierfür Secure-QR-Codes (SQRC) verwendet werden. Dafür müssen die eingesetzten Lesegeräte beziehungsweise IT-Systeme diese natürlich auch dekodieren können.

Prüffragen:

  • Sind die Mitarbeiter für die Kurz-URL-Problematik sensibilisiert?

  • Werden die Inhalte von Kurz-URLs und QR-Codes vor der Ausführung angezeigt?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK