QR-Code auf Rechnungen

[[Mitglied Stef…]]

Hier eine Info für alle, die im Zusammenhang mit SEPA gerade ihre Rechnungsformulare überarbeiten wollen/müssen/dürfen:

 

Anfang 2013 hat das EPC (European Payment Council) den QR-Code zur Zahlungsvereinfachung für Überweisungen oder Lastschriften spezifiziert z.B. auf Rechnungen. Damit haben Firmenkunden die Möglichkeit, einen QR-Code zur Zahlungsvereinfachung auf ihre Rechnungen aufzudrucken. Gerade im Hinblick auf SEPA vereinfacht dieses Verfahren den Zahlungsvorgang.

Quelle: http://www.europeanpaymentscouncil.eu/content.cfm?page=news&news_id=433

 

Ein QR-Code („Quick Response“) ist ein zweidimensionaler Code, der Daten, z.B. Überweisungsdaten, speichern kann. Smartphones können diesen mithilfe der eingebauten Kameras erkennen.

Rechnungssteller können nun auf ihren Rechnungen alle wichtigen Daten mittels QR-Code verschlüsseln. Der Rechnungsempfänger scannt den QR-Code über seine Banking-App (sofern die Funktion angeboten wird). Die Überweisungsmaske wird automatisch von der Anwendung ausgefüllt und muss lediglich mit einer TAN bestätigt werden.

Die Vorteile dieser neuen Möglichkeiten: Für den Nutzer ergibt sich ein Plus an Komfort und Zeitersparnis bei der Eingabe von Überweisungsdaten. Zudem werden Fehleingaben reduziert.

 

 

Gruß Stefan

[Ralf Herrmann]

Interessant. Der QR-Code wird doch nicht etwa doch noch sinnvoll werden?

[[Mitglied mori…]]

Na, super. Dann haben wir demnächst Phishing über QR-Code.

[[Mitglied Stef…]]

Ich habe den Beitrag veröffentlicht, weil bspw. hier über Briefbögen und Rechungserstellung diskutiert wurde.

 

Na, super. Dann haben wir demnächst Phishing über QR-Code.

 

Ich mag die Dinger auch nicht, aber nützlich können sie schon sein

 

 

[[Mitglied Proo…]]

Wenn ich das richtig sehe, dann würden hier ja nicht nur Kontonummer und BLZ, sondern auch die zu überweisende Summe plus Überweisungstext, also z.B. Rechnung oder - bei Strafzzetteln - lange skurriile Nummern, die häufig beim Eintippen zu Fehlern führen könnten übertragen. Das wäre ja wirklich einmal eine deutliche Erleichterung, selbst ohne Skonto oder ähnliches, was ja auch noch Platz haben könnte. Nur: Meine Rechnungen erstellt entweder ein Gambio GX2 Shop oder eine Agentursoftware einer kleinen 1-Mann-Klitsche. Die QR-Code-Erstellung müsste ja von der Software geleistet werden, nicht von mir. Und ob das so schnell klappen wird ... da habe ich dann doch meine Zweifel. Aber da gebe ich gerne Recht: Das wäre ja die erste Anwendung von QR-Codes, die wirklich sinnvoll wäre...

 

Viele Grüße

Matthias

[[Mitglied 3c42…]]

Na ja, so ganz unsinnig waren die Dinger bis jetzt ja auch nicht. Für Aktionswebseiten zum Beispiel, wo die URL durchaus sehr lang sein kann  – gerade unterwegs mit dem Smartphone ist doch so ein Code schneller gelesen als getippt ...

Auch um Response bestimmter Medien zu messen, können QR-Codes sinnvoll sein – auch wenn sie nicht der Weisheit letzter Schluss sind.

[Ralf Herrmann]

Na ja, so ganz unsinnig waren die Dinger bis jetzt ja auch nicht. Für Aktionswebseiten zum Beispiel, wo die URL durchaus sehr lang sein kann …

 

Dann macht man halt eine kurze URL: aktion.firma.de oder j.mp/12345

Die Mehrheit der Nutzer interessiert das QR-Code-System einfach nicht. Dass man eine zusätzliche App braucht, nur um eine Webadresse im Browser aufzurufen, ist nicht wirklich vermittelbar. Das Ergebnis ist, dass die Dinger keiner benutzt. 

 

 

Dass ein komplettes Überweisungsformular mit einem »Klick« automatisch und immer richtig ausgefüllt wird, klingt dagegen sehr verlockend. 

[[Mitglied Stef…]]

Dass ein komplettes Überweisungsformular mit einem »Klick« automatisch und immer richtig ausgefüllt wird, klingt dagegen sehr verlockend. 

Die App "vr.de" (Banking-App der Volks- und Raiffeisenbanken im Süddeutschen Raum) soll angeblich im Herbst einen QR-Code-Reader erhalten, der genau das kann (bzw. können soll). Ich habe keine Ahnung, ob Apps anderer Banken und Sparkassen einen QR-Reader haben oder bekommen.

 

Gruß Stefan

[[Mitglied Phoi…]]

Brillianter rant:

 

Auch wenn es verführerisch ist, QR-Codes für Banking-Apps zu nutzen, halte ich das für extrem gefährlich, da QR nicht durch uns entschlüsselbar sind. 

[Ralf Herrmann]

Auch wenn es verführerisch ist, QR-Codes für Banking-Apps zu nutzen, halte ich das für extrem gefährlich, da QR nicht durch uns entschlüsselbar sind. 

 

Verstehe ich nicht. Es geht doch nur darum, einen Text vom Blatt in das Formular zu bekommen. Was ist daran gefährlich?

[[Mitglied Tobi…]]

Das dir jemand Böses eine gefälschte Rechnung schreibt mit einem QR-Code, der dir dann einen Virus etc. installiert. Und du merkst es nicht, weil du als mensch den Code ja nicht lesen kannst

Finde ich allerdings wenig schlagkräftig, das ist bei Bar-Codes nämlich auch so – gut, die werden nicht so eingesetzt wie QR. Meine Scann-App zeigt mir aber auch an, was der QR-Code vorhat und fragt, ob sie das ausführen soll oder nicht, man kann sich also leicht schützen. Und irgendwelche gefälschten Rechnungen kann man auch bekommen und bezahlen, wenn kein QRF drauf ist.

[[Mitglied catf…]]

Ich sehe ich auch nicht die Gefahr, sondern wirklich eine Erleichterung, und Vermeidung von Übertragungsfehlern der oft recht langen Ziffernfolgen, welche weit mehr zu Ärger allein durch einen Zahlendreher führen kann, z.B. weil die Überweisung zu einer ganz anderen Rechnung verbucht wurde und der bezahlte Betrag dann in die Mahnung geht. Zudem werden die Banking-Apps ja wohl den Inhalt des QR-Codes dann noch einmal zur Kontrolle als Klartext anbieten.

 

Viel kritischer sehe ich dagegen die Link-QR-Codes in der Öffentlichkeit, denn hier wird ohne Gegenkontrolle die verlinkte Seite aufgerufen, und so einen QR-Code kann auch jeder mit einem selbst erzeugten und selbst ausgedruckten unauffällig überkleben, und das kann dann durchaus zu einem Virus führen.

 

Allerdings braucht man dann auch ein spezielles Programm zur Erzeugung dieser Codes, denn die scheinen spezieller zu sein, denn den Code, den ich auf der Seite mit der Erklärung zum Banking-QR-Code als Mustercode gefunden hat, wird bei mir von keinem Reader akzeptiert

[[Mitglied Wrzl…]]

Viel kritischer sehe ich dagegen die Link-QR-Codes in der Öffentlichkeit, denn hier wird ohne Gegenkontrolle die verlinkte Seite aufgerufen, und so einen QR-Code kann auch jeder mit einem selbst erzeugten und selbst ausgedruckten unauffällig überkleben, und das kann dann durchaus zu einem Virus führen.

Wenn das bloße Aufrufen einer Internetseite zu einem Virus führt, liegt die Sicherheitslücke aber im Browser und nicht im QR-Code. Im Prinzip könnte dann jeder Link, den man ohne eingängige Prüfung öffnet ein Problem darstellen, und dann müsste man das für QR-Code-übermittelte Links genauso tun.

[[Mitglied Phoi…]]

Was ist daran gefährlich?

Dass Du deine Bank-App mit Dir unbekannten Daten fütterst.

[Ralf Herrmann]

Einmal tippe ich eine Kontonummer ein und einmal wird das Feld elektronisch vorausgefüllt – wie es bei Überweisungsvorlagen ja schon lange üblich ist. Es geht einfach ein bisschen schneller, bequemer und in besten Falle werden dadurch Tippfehler reduziert. 

Ich sehe nicht, wo da ein »gefährlicher« Unterschied bestehen soll. Es ist ja nun nicht so, dass beim Scannen des Codes gleich 'ne Million von meinem Konto abgebucht wird, ohne dass ich da noch eingreifen könnte. 

[[Mitglied Phoi…]]

Ich sehe nicht, wo da ein »gefährlicher« Unterschied bestehen soll.

Wie auch das Öffnen eines PDF oder das Nichtverwenden eines Adblockers oder das Lesen von HTML-Emails... Aber wie immer muss der Nutzer sein jeweiliges Gefahrenniveau selbst einschätzen. Als Kind der Neunziger stehe ich unsicheren Formaten, die mir einen Mehrwert in Form von Bequemlichkeit bieten, skeptisch gegenüber. Zu oft führt die Bequemlichkeit in einen Haufen Ärger und Arbeit.

 

Es ist ja nun nicht so, dass beim Scannen des Codes gleich 'ne Million von meinem Konto abgebucht wird, ohne dass ich da noch eingreifen könnte. 

Nein, es geht mir nicht um die Million an erster Stelle, es geht mir um den Datenwust, der da unkontrolliert übertragen werden kann und eben nicht von Dir kontrolliert wird/werden kann. Und ich muss mir ja nicht einen zusätzlichen Angriffsvektor öffnen und schon gar nicht auf solch sensible Bereiche wie Onlinebanking. 

[[Mitglied catf…]]

Wenn das bloße Aufrufen einer Internetseite zu einem Virus führt, liegt die Sicherheitslücke aber im Browser und nicht im QR-Code. Im Prinzip könnte dann jeder Link, den man ohne eingängige Prüfung öffnet ein Problem darstellen, und dann müsste man das für QR-Code-übermittelte Links genauso tun.

Das stimmt natürlich, dass bei solchen "Drive By Installationen" eine Sicherheitslücke im Browser ausgenützt wird, die gefährlichste Sicherheitslücke sitzt 8oder steht) jetzt aber vor dem "Endgerät". QR-Codes auf Plakaten machen neugierig, das ist ja der Sinn, und geben dem Smartphone-Nutzer das Gefühl ein quasi magisches Gerät zu besitzen, um ein exklusives Geheimnis lüften zu können. Ich habe gelegentlich beobachtet, wie das dann abläuft: da wird der Code gescannt, und ohne lange zu überlegen ein paar mal auf den Bildschirm getippt, damit sich der Link auch sofort öffnet. Dann wird für das über den QR-Link erreichbare Video noch ein Codec benötigt. Dann sagt die Website noch: "Um den Codec sicher zu installieren, deaktivieren sie bitte unbedingt ihr Anti-Viren-Programm..."

 

Nein, es geht mir nicht um die Million an erster Stelle, es geht mir um den Datenwust, der da unkontrolliert übertragen werden kann und eben nicht von Dir kontrolliert wird/werden kann. Und ich muss mir ja nicht einen zusätzlichen Angriffsvektor öffnen und schon gar nicht auf solch sensible Bereiche wie Onlinebanking. 

Aber dadurch, dass eine in einen QR-Code verpackte Textdatei mit den Daten, die in ein Überweisungsformular einzutragen sind abgescannt wird, wird aber eben kein "Datenwust" unkontrolliert irgendwo hin übertragen. Es ist letztlich nur eine einfache Textdatei, in der in fester Reihenfolge und mit einen fest vereinbarten Trennzeichen voneinander getrennt die einzelnen Daten einer Überweisung, bei einer Reihe von Feldern auch mit fester Feldlänge eingelesen werden. Auch der vorgesehene QR-Code hat eine feste Pixelzahl. Da ist gar kein Platz für zusätzlichen Datenwust.

 

Zudem wird die Erzeugung wohl fest in die Software integriert werden, mit der die Rechnung erstellt wird, und damit werden auch von hier aus nur die richtigen Daten in den Code kommen, die auch im Klartext auf der Rechnung stehen müssen, damit auch Nutzer ohne diese Ausfüllhilfe überweisen können.

 

Es ist ja letztlich nichts anderes, wie bisher der direkte Ausdruck auf einen Überweisungs-Zettel der gleich mit auf der Rechnung aufgedruckt ist. Auch hier prüft man diesen ja, bevor man diesen in der Bank abgibt (wenn man dieses Verfahren überhaupt noch nutzt.

[Ralf Herrmann]

Nein, es geht mir nicht um die Million an erster Stelle, es geht mir um den Datenwust, der da unkontrolliert übertragen werden kann und eben nicht von Dir kontrolliert wird/werden kann. Und ich muss mir ja nicht einen zusätzlichen Angriffsvektor öffnen und schon gar nicht auf solch sensible Bereiche wie Onlinebanking.

Du scheinst irgendwie ein ganz anderes System vor Augen zu haben.
Wo werden da zusätzliche Daten übertragen!? Warum sind die ein Wust und warum unkontrolliert?

Die Daten der Überweisung gehen beim Online-Banking ja ohnehin durchs Netz. Müssen sie ja.
Wir sprechen hier lediglich davon, wie sie von einer (z.B.) gedruckten Rechnung in das Online-Formular gelangen.
Das passiert herkömmlicherweise durch manuelles Eintippen. Da ist neben nicht zu unterschätzenden Tippfehlern die Gefahr eines Key-Loggers aber schon mal eine der größten Gefahren. Bei einem in der Banking-App integrierten QR-Scanner wäre diese Gefahr sogar ausgeschaltet. Man müsste schon die ganze Kamera übernehmen. Nicht unmöglich, aber nun sicher auch nicht wahrscheinlicher als ein simpler Key-Logger.

Das QR-Code-System wandelt doch nur gedruckten Code in maschinenlesbaren Code. Und das klappt eben deutlich besser als bei OCR-Scannern.
Warum das System »extrem gefährlich« sein soll, verstehe ich nicht. Die möglichen Angriffsvektoren sind doch vor allem vor- und nachgeschaltet und liegen nicht in dem Scan- und Wandlungsprozess begründet.
Wenn jemand eine Rechnung an mich abfängt und diese manipuliert, kann er die abzutippenden Zahlen genauso manipulieren, wie den QR-Code.
Für QR-Codes mit URLs gilt das Gleiche, wie ja von Wrzlprmft schon gesagt.

[[Mitglied Phoi…]]

Jeder so, wie er mag, mir fehlt da schlicht das Vertrauen in die Gutartigkeit/-willigkeit der Menschen. Buffer-Overflows sind auch mit Textdateien machbar (stell dir nur mal ein paar an die BLZ angehängte Zahlen vor), sobald diese interpretiert werden müssen, und der Finanzsoftware würde ich nicht von Wand bis Tapete trauen (gab da mal unschöne, leider stark verschlüsselte Kommunikation zu Herstellerservern gewisser Bankensoftware).

[[Mitglied catf…]]

Jeder so, wie er mag, mir fehlt da schlicht das Vertrauen in die Gutartigkeit/-willigkeit der Menschen. Buffer-Overflows sind auch mit Textdateien machbar (stell dir nur mal ein paar an die BLZ angehängte Zahlen vor), sobald diese interpretiert werden müssen, und der Finanzsoftware würde ich nicht von Wand bis Tapete trauen (gab da mal unschöne, leider stark verschlüsselte Kommunikation zu Herstellerservern gewisser Bankensoftware).

OK, ich stelle mir z.B. in der Textdatei die BLZ mit angehängten Zahlen vor. Das würde aber, wenn die Länge der Felder genau vorgegeben ist (so wie es auch sein wird) dann dazu führen, dass der QR-Code kein gültiger Banking-Code ist, und von der APP dann verworfen würde. Wer also solche Banking-Apps oder wer Rechnungsprogramme entwickelt, welche dann auf der Rechnung auch den Code erzeugen, wird dann auch kein Vertrauen in die Gutartigkeit/-willigkeit der Menschen haben, und entsprechende Sicherungen treffen müssen.

[[Mitglied Muec…]]

Mal 'ne rein praktische Frage eines Nicht-Eipädgedöns-Nutzers, der sich überlegt, eine kleine Zeitschrift mit einem QR-Code zu verzieren mit der URL dieser Zeitschrift: wie groß muss so'n QR-Pixel gedruckt sein, damit es scanbar ist?

[[Mitglied Phoi…]]

Hierzu fällt mir dieses Comic ein: http://xkcd.com/327/

 

Alles hängt halt davon ab, inwieweit der einzelne bereit ist, der Technik und den Menschen dahinter zu trauen. Mein Vertrauen reicht jedenfalls nicht für Online-Banking :)

[[Mitglied Tobi…]]

Mal 'ne rein praktische Frage eines Nicht-Eipädgedöns-Nutzers, der sich überlegt, eine kleine Zeitschrift mit einem QR-Code zu verzieren mit der URL dieser Zeitschrift: wie groß muss so'n QR-Pixel gedruckt sein, damit es scanbar ist?

 

Ich hab auch keine Erfahrung aber auf http://qrcode-erstellen.com/ schreibt der Nutzer admin

 

Es hat sich in der Praxis folgendes bewährt: Die Größe des QR Codes sollte mindestens 2,5 x 2,5 cm haben. Bei dem Abstand zum umfließenden Text ist es wichtig, dass Sie den weißen Rand, der beim Generieren des QR Codes automatisch erzeugt wird, “stehen” lassen und diesen nicht beschreiben. Dann müsste der QR Code auch lesbar sein.

 

Wenn du willst, kannst du mir auch mal ne PDF mit dem Code in der geplanten Größe schicken, dann könnte ich probieren, ob mein iPhone den ließt.

[[Mitglied Robe…]]

Mal 'ne rein praktische Frage eines Nicht-Eipädgedöns-Nutzers, der sich überlegt, eine kleine Zeitschrift mit einem QR-Code zu verzieren mit der URL dieser Zeitschrift: wie groß muss so'n QR-Pixel gedruckt sein, damit es scanbar ist?

 

kommt drauf an wie weit man mit dem handy entfernt ist um den code zu scannen.

schau dir mal gängige anzeigen von zeitschriften an, von 1,5 x 1,5 cm bis 4 x 4 cm ist da alles vertreten.

[[Mitglied CRud…]]

Das QR-Code-System wandelt doch nur gedruckten Code in maschinenlesbaren Code. Und das klappt eben deutlich besser als bei OCR-Scannern.

 

 

Stimme Ralf in diesem Punkt zu. Hier in England werden z.B. bei Online-Überweisungen nur die BLZ- und Kto-Daten ausgelesen, nicht die eingegebenen Namen. Die Banken sagen selber daß ein Tippfehler in den Nummern, der dazu führt daß Geld bei einem anderen Adressaten landet, im Prinzip verloren ist. Es wird ein Brief geschrieben und der Empfänger gebeten das Geld zurück zu überweisen, aber wenn das nicht erfolgt dann wird das nicht weiter verfolgt. Hier würde dementsprechend ein QR-Code die Fehleranfälligkeit deutlich verbessern. Und so ohne weiteres kommt ja auch ein QR-Code nicht an den TAN-Angaben vorbei (hier in England wurde jetzt gerade ein System eingeführt, welches die TAN in Echtzeit beim Nutzer erstellt).

 

Grüße,

 

Christian