QR-Code Bussen
Der Kanton und die Stadt St.Gallen möchten die herkömmlichen Bussenzettel mit Einzahlungsschein durch einen Zettel ersetzen, auf dem ein QR-Code aufgedruckt ist. Damit sollen Bussen schnell und direkt ab dem Smartphone bezahlt werden können.
Eine Erleichterung für Parksünder, so zumindest wird uns die Anpassung verkauft. Und ja, es stimmt. Einen QR-Code mit dem Handy zu scannen und auf der aufgerufenen Seite die Busse bequem mit Hilfe unterschiedlicher Zahlungsmöglichkeiten zu begleichen ist sexy.
Es gibt aber einen Haken. Der Haken kommt in Form eines QR-Codes. Ein QR-Code lässt sich kinderleicht fälschen. (Dazu mein Beitrag QR-Code und URL Shortener) Hinter einem solchen Code steckt in der Regel ein Link auf eine Webseite. Im Fall der Kantonspolizei zeigt der Code auf den Bussenzetteln auf die Webseite https://bussen.kapo.sg.ch
Es braucht nur wenig, um einen Bussenzettel zu manipulieren und die Parksünder auf eine falsche Webseite (sogenanntes Phising) zu locken. Die wenigsten werden wohl überprüfen, wohin sie der Link beim Scannen führt.
Die einfachste Möglichkeit bei einer einfachen Umleitung ist es, die Einzahlung auf das eigene Konto umzuleiten oder die Kreditkartendaten zu sammeln.
Eine weitaus heftigere Variante ist es, die Bürger mit Hilfe eines manipulierten Links umzuleiten und eine Webseite dazwischen zu schalten, die das Handy mit einem Virus oder Trojaner (Malware) zu verseuchen. Der Benutzer bekommt davon nichts mit. Er landet nach einem kurzen Zwischenschritt auf der Originalseite der Behörden.
Danach stehen Angreifern Tür und Tor offen um weiteren Schaden anzurichten.
Natürlich begeht man diverses Straftaten, wenn man solche Dinge umsetzt. Es dürfte finanziell auch nicht unbedingt sehr lukrativ sein, solange man die einfachste Möglichkeit umzusetzen versucht. Die Problematik ist, dass insbesondere mit der Malware-Umleitung der Phantasie zur Abzocke keinerlei Grenzen gesetzt sind.
Was die Behörden nun tun ist, sie schieben die Verantwortung auf die Bürger ab. Sie verlangen, dass man beim Scannen der Codes achtsam ist und im Zweifelsfall auf eine Handeingabe ausweicht.
Sie vergessen dabei aber, dass ein Bussenzettel unter dem Scheibenwischer von einer vertrauenswürdigen Stelle, nämlich der Polizei, ausgestellt wurde. Das lässt die Bürger zu Recht im Glauben, dass alles korrekt abläuft und sie sich beim Scannen keinerlei Gefahren aussetzen. Nur ist dem leider nicht so.
Ich durfte den verantwortlichen Stellen im Kanton und der Stadt St.Gallen dazu eine Livedemo zeigen und mit ihnen über die Risiken diskutieren. Leider wurde ich insbesondere vom kantonalen Vertreter eher belächelt.
Ich denke, ich habe damit und mit diesem Blogbeitrag meine Pflicht als interessierter und kritischer Bürger ausreichend wahrgenommen. Was die Behörden nun tun liegt in ihrem Ermessen. Ich rate aber jeder Person, die einen QR-Code-Bussenzettel unter dem Scheibenwischer vorfindet, diesen gleich zu entsorgen. In 30 Tagen bekommt er dann via Post einen Einzahlungsschein, mit dem er/sie die Busse auf traditionellem Weg begleichen kann.
Wer dennoch lieber den Online-Weg wählt, setzt sich mit dem Zettel zu Hause an den Computer und tippt Internetadresse, Identifikationsnummer usw. von Hand ein.
Alle offiziellen Infos gibt es hier: ACHTUNG, DAS KÖNNTE AUCH EIN FALSCHER LINK SEIN
… die indirekten Folgen der bundesrätlich verordneten IT-Offensive.
Das allermeiste davon ist kopfloser Aktivismus und kostet letztlich – zum Aufbau, Einführen und wieder Zurückkrebsen vom Flop – sehr viele Arbeitsstunden in der Verwaltung.
IT-Offensive ist übrigens ein interessantes Wort: es gibt durchaus berechtigte Assoziationen im Wortsinn von „offensiv“: verletzendes Vorgehen im Namen der IT…der sogenannten künstlichen Intelligenz. Wenn dabei die natürliche Intelligenz nicht mitdenkt, sondern sich verabschiedet, läuft das Ganze aus dem Ruder…