Visitenkarten mit QR-Code sind immer noch populär, können aber eine Sicherheitslücke für Unternehmen darstellen. Beim Einscannen mancher Visitenkarten stellte ich fest, dass der QR-Code oft als Link auf die Visitenkartendaten als VCF-Datei verweist. Einerseits sehr geschickt, da die Kontaktdaten dann sofort im Smartphone abgespeichert werden können, andererseits bei schlechter Implementierung eine Fundgrube für Kontaktinformationen.

Exemplarischer QR-Code auf einer Visitenkarte.

30Ist der Link immer identisch aufgebaut, z.B. Webseite + Vorname + Nachname (Exemplarisch http://data-universe.de/jochen_mueller.vcf)  können so Fremde gezielt bei Bekanntheit der Personennamen die Kontaktdaten der Mitarbeiter auslesen in dem der Name gezielt ersetzt wird. Bei unbekannten Mitarbeiter können über Brute Force Methoden verschiedene Kombinationen mit Vornamen und Nachnamen ausprobiert werden (auch wenn diese Methode je nach Internetanbindung extrem lange dauert).

Auf die richtige Implementierung kommt es an

Im Sinne der DSGVO-EU ist das Thema kritisch zu betrachten. Als Empfehlung kann ich Firmen nur raten auf den QR-Code zu verzichten oder die Visitenkartendaten in Dateien mit zufälligem Dateinamen oder Hashcode des Namens (z.B. a76282eb4d16afca09a311bed5b2ec04b477f66d.vcf) abzulegen.

Autor: Jochen Müller, 06/2018

IT-Security, Security