QR-Rechnung: Risiko?

QR-Rechnung- Risiko

Neue Technologien bringen neue Risiken mit sich. So ist das auch mit der QR-Rechnung, die ab dem 30. Juni 2020 in der Schweiz eingeführt wird. Die QR-Rechnung wird den Schweizer Zahlungsverkehr weiterbringen und für den Anwender vieles vereinfachen. Ein allzu lockerer Umgang mit der QR-Rechnung könnte aber gefährlich sein. Gerade in der Einführungsphase sind die Anwender noch ungeübt, kennen die Abläufe nicht und sind sich des Risikos ggf. zu wenig bewusst. Deshalb wollen wir in diesem Artikel auf die Risiken aufmerksam machen.

Ausgangslage

Generell liegt das Risiko bei der QR-Rechnung darin, dass der QR-Code vom menschlichen Auge nicht ausgelesen werden kann. Der Nutzer kann vor dem Scan des QR-Codes nicht erkennen, was der Code wirklich enthält. Es gibt keine Möglichkeit, den eigentlichen Inhalt ohne Software zu lesen. Der QR-Code der QR-Rechnung mit dem vertrauensvoll wirkenden Schweizerkreuz könnte potenziell für alle möglichen Inhalte genutzt werden. Es könnten sich sowohl Betrugsversuche als auch kriminelle Absichten hinter dem QR-Code verbergen.

Beim herkömmlichen orangen Einzahlungsschein ist dies anders: der gesamte Inhalt ist alphanumerisch und kann so vom Menschen auch ohne technisches Hilfsmittel interpretiert werden.

QR-Rechnung Risiko Nr. 1: Falsche Angaben im QR-Code

Der Inhalt des QR-Codes könnte ein anderer sein, als der Inhalt, der im Zahlteil oder auf der Rechnung ersichtlich ist. Problematisch wäre dies zum Beispiel in folgen Fällen:

  • Anderer Zahlungsbetrag: Der Betrag im QR-Code unterscheidet sich vom Rechnungsbetrag oder vom Betrag, der auf dem Zahlteil aufgeführt wird.
  • Im QR-Code wird ein anderer Zahlungsempfänger aufgeführt: sowohl die IBAN als auch die Angaben zum Zahlungsempfänger unterscheiden sich.
  • Falsche Währung: die QR-Rechnung lässt sowohl Transaktionen in CHF und in EUR zu. Würde der Betrag in EUR anstatt in CHF ausgeführt, würde das zu einem Schaden führen.

So könnte ein Anwender eine an und für sich plausible QR-Rechnung von einem Lieferanten erhalten. Mit dem Inhalt der Rechnung ist er einverstanden und er bezahlt die Rechnung, indem er diese mit einer QR-App einer Bank einscannt. Er übersieht in der App jedoch, dass sich eine der oben aufgeführten Angaben unterscheidet. Ist die Zahlung einmal ausgeführt, erhält im schlimmsten Fall der falsche Empfänger einen wesentlich höheren Betrag überwiesen.

QR-Rechnung Risiko falsche Angaben

Auch der klassische orange Einzahlungsschein mit Referenznummer birgt ein gewisses Risiko: Auch dieser könnte ein falsches Empfängerkonto oder einen falschen Betrag aufführen. Das Risiko ist allerdings wesentlich kleiner, weil der Nutzer den vollständigen Inhalt lesen kann und kein technisches Hilfsmittel dafür benötigt.

Um das Risiko eines Betrugsversuchs zu verhindern, bestehen die Banken darauf, dass der QR-Code zwingend sowohl mit einem Empfangsteil als auch einem Zahlteil ausgestattet ist. Dieser soll dem Anwender genau diese Kontrolle ermöglichen, in dem er den Inhalt dieser Bereiche mit den aus der QR-Rechnung ausgelesenen Angaben vergleichen kann. Wer die QR-Rechnungen in Papierform nach der Uralt-Methode zur Verarbeitung an seine Bank sendet, profitiert davon, dass die Banken sowohl den QR-Code als auch den Zahlteil auslesen und die Angaben miteinander vergleichen. Auf die moderne Methode machen wir das bei Run my Accounts: der Inhalt des QR-Codes wird standardmässig mit dem Inhalt der Rechnung abgeglichen.

QR-Rechnung Risiko Nr. 2: QR-Code enthält Schadcode

Es wären in diesem Bereich verschiedene Varianten denkbar:

  • Der QR-Code enthält anstatt die Zahlungsangaben einen Link auf eine Webseite mit Schadcode. Der Link könnte auch den Download eines Virus initialisieren.
  • Alternativ könnte ein Link im QR-Code dazu missbraucht werden, den Nutzer auf eine Phishing-Seite zu lenken. Diese könnte zwar aussehen wie ein Online-Banking, dient aber dazu, Account-Daten zu stehlen.
  • Im QR-Code könnte direkt ein JavaScript verschlüsselt sein. Das Mobiltelefon würde den Code auslesen und ihn sofort ausführen. Dies könnte dazu führen, dass die App oder das gesamte Smartphone gekapert und missbraucht wird.

Tipps im Umgang mit den Risiken des QR-Codes

Vorsicht und Wachsamkeit ist auch bei der QR-Rechnung angebracht. Gerade im Zahlungsverkehr sind mit der QR-Rechnung Risiken verbunden. Mit vergleichsweise wenig Aufwand könnten Betrüger einfach an grössere Summen herankommen. Achten Sie insbesondere auf die folgenden Dinge:

  1. QR-Rechnungen mit verdächtigen Layouts sollten Sie meiden. Achten Sie besonders darauf, dass das Layout dem Standard entspricht und einen Empfangs- und Zahlungsteil enthält. Die offiziellen Style Guidelines finden Sie hier.
  2. Überprüfen Sie die mit der App ausgelesenen Daten immer mit den Angaben auf der Rechnung und auf dem Zahlteil.
  3. Leitet sie die gescannte QR-Rechnung auf eine Webseite weiter, ist höchste Vorsicht angebracht. Der QR-Code sollte ausschliesslich Zahlungsangaben enthalten. Er sollte Sie nie auf eine Webseite weiterleiten.

Übrigens: die QR-Rechnungen bietet nicht nur Risiken, sondern natürlich auch Chancen! Run my Accounts ist seit längerem QR-ready und wir werden die QR-Rechnung pünktlich einführen.

10 Kommentare zu «QR-Rechnung: Risiko?»

  1. Guten Abend Herr Brändle
    Am 28.06.2020 habe ich Ihnen eine Frage gestellt, aber noch keine Antwort bekommen. Ich wäre froh, wenn Sie meine Frage beantworten könnten.
    Vielen Dank und freundliche Grüsse,
    U. Hadorn
    Hier nochmals meine Frage vom 28.06.2020:
    «Ich habe eine Frage betreffend Datenschutz. Bei den herkömmlichen Einzahlungsscheinen ist die Zahlung bei einer Barzahlung am Postschalter nur dem Absender und dem Empfänger bekannt, die Post sammelt diese Daten nicht zentral. Nun ist bei der QR-Rechnung die Firma SIX Interbank Clearing AG dazwischengeschaltet. Hat die nun die Möglichkeit, auch bei Barzahlungen am Postschalter Daten über jeden Absender oder Empfänger von Zahlungen von QR-Rechnungen zu sammeln, wann und von wem er welchn Betrag erhalten hat und wann und an wen er welchen Betrag bezahlt hat?»

    1. Sehr geehrte Frau Hadorn

      Ich muss gestehen, dass ich die Antwort leider nicht kenne. Ich habe mir erhofft, dass jemand unter der Leserschaft die Frage beantworten könnte. Ich werde versuchen, mich zu erkundigen und sofern ich eine Antwort erhalte, werde ich mich wieder melden.

      Mit freundlichen Grüssen
      Thomas Brändle

      1. Vielen Dank, Herr Brändle.
        Ich hoffe, dass Sie was rausfinden können. Ich selber wüsste nicht, an wen ich mich für diese Frage wenden könnte.
        Freundliche Grüsse,
        U. Hadorn

  2. Guten Abend
    Ich habe eine Frage betreffend Datenschutz. Bei den herkömmlichen Einzahlungsscheinen ist die Zahlung bei einer Barzahlung am Postschalter nur dem Absender und dem Empfänger bekannt, die Post sammelt diese Daten nicht zentral. Nun ist bei der QR-Rechnung die Firma SIX Interbank Clearing AG dazwischengeschaltet. Hat die nun die Möglichkeit, auch bei Barzahlungen am Postschalter Daten über jeden Absender oder Empfänger von Zahlungen von QR-Rechnungen zu sammeln, wann und von wem er welchn Betrag erhalten hat und wann und an wen er welchen Betrag bezahlt hat?
    Vielen Dank für die Beantwortung meiner Frage.
    Freundliche Grüsse

    1. Sehr geehrte Frau Hadorn

      Ich habe bei meinen Kontakten bei der SIX nachgefragt und folgende Antwort erhalten:

      SIX Interbank Clearing (SIC AG) ist ein Gemeinschaftswerk des Finanzplatzes Schweiz und betreibt im Auftrag der Schweizerischen Nationalbank (SNB) das zentrale Interbanken Zahlungsverkehrssystem (SIC) für den Schweizer Franken. In jeder über SIC abgewickelten Kunden-Zahlung werden Auftraggeber und Empfänger inkl. Betrag (und wenn vorhanden Zahlungsgrund) von der Bank des Zahlers zur Bank des Zahlungsempfängers weitergeleitet.
      Grundsätzlich wird im SIC eine QR-Rechnung nicht anders behandelt als eine Zahlung mit rotem/orangen Einzahlungsschein vom Postschalter oder direkt aus dem eBanking etc.
      SIC-Mitarbeitende haben keinen direkten Zugriff auf Zahlungen – somit ist der Datenschutz gewährleistet. Weiterhin wird die Erfüllung der Anforderungen an den Datenschutz bei SIX und SIX Interbank Clearing regelmässig kontrolliert.

      Auf meine Nachfrage, ob auch die Felder «Zusätzliche Informationen» übermittelt werden, habe ich die folgende Antwort erhalten:

      Aus der Gruppe der Felder „Zusätzliche Informationen“ wird der Inhalt aus dem Feld „Unstrukturierte Mitteilung“ weitergegeben. Informationen im Feld „Rechnungsinformationen“ dienen ausschliesslich zum Austausch von Daten zwischen Rechnungssteller und Rechnungsempfänger bspw. zur Automatisierung der Rechnungseingangsverarbeitung. Das Feld „Trailer“ beinhaltet lediglich Steuerungsinformationen, die das Ende des Datenhaushaltes für den Zahlungsverkehr anzeigen.

      Beantwortet dies Ihre Frage?

      Mit freundlichen Grüssen
      Thomas Brändle

  3. Grüezi Herr Brändle

    Soviel ich weiss, müssen ja, bei «Papier-Rechnungen», die QR-Einzahlungsscheine auf perforiertem Papier ausgedruckt werden.

    Gibt es dieses Papier schon standardmässig zu kaufen (unbedruckt)?

    Oder sollen die QR-Einzahlungsscheine auf normalem Papier gedruckt werden, da die meisten Kunden diese ja auch wieder einscannen und weitergeben zur Zahlung.

    Für Ihre Auskünfte danke im Voraus bestens.

    Freundliche Grüsse

    Peter M.

    1. Sehr geehrter Herr Matt

      Es gibt 2 verschiedene Varianten der QR-Rechnung, je nachdem sie auf Papier ausgedruckt wird oder elektronisch per PDF versendet wird:

      1. Variante auf Papier: Die QR-Rechnung müsste dann zwingend auf perforiertes Papier gedruckt werden, wobei «Empfangsschein» und «Zahlteil» abgetrennt werden müssen. Dies wäre Analog zum heutigen Einzahlungsschein.

      2. Variante PDF: Hier braucht es ein anderes Layout. Dort wo auf dem Papier die Perforation wäre, muss eine Linie gedruckt werden. Ausserdem muss entweder ein Scherensymbol abgebildet oder ein Hinweis «Vor der Einzahlung abzutrennen» angebracht werden.

      Dies macht die Handhabung etwas umständlich, weil es dann eigentlich 2 unterschiedliche Vorlagen braucht. Ob die Anwender sich diesen Aufwand machen werden oder ob sich letztlich einfach eine praxisorientierte Mischform (z.B. PDF Version wird auf perforiertes Papier gedruckt) durchsetzen wird, werden wir sehen.

      Eine kurze Suche im Internet hat mir gezeigt, dass man bereits jetzt für die QR-Rechnung perforiertes Papier bestellen kann.

      Mit freundlichen Grüssen
      Thomas Brändle

  4. Ch. Collins

    Wer kann den bei einem orangen Einzahlungsschein die Codierzeile auslesen. Für die meisten Menschen ist die so kryptisch wie der QR Code. Das sind also keine neuen Risiken, sondern in etwa die gleichen wie bisher.
    Keine Bankapp verarbeitet einen Link im QR Code und leitet auf eine Seite weiter.
    Dass jemand den QR Code nicht mit der Bankapp einliest, ist wohl auch recht unwahrscheinlich.
    Tipp 1 und 2 sind gut, gelten aber auch für die orangen Einzahlungsscheine. Tipp 3 ist in meinen Augen überflüssig und verängstigt Menschen unnötig.

    1. Sehr geehrter Herr Collins

      Vielen Dank für Ihren Kommentar und Ihre Gedanken. Ich bin nur teilweise mit Ihnen einig:

      1. Nur die wenigsten Menschen nutzen einen Einleser für die Codierzeile. Die meisten werden nach wie vor die Referenznummer abtippen. In der Referenznummer lassen sich aufgrund des knappen Informations-Gehaltes auch keine weiteren Daten eincodieren. Man weiss daher, was einem in der Codierzeile erwartet: ein Zahlungsbetrag, eine Referenznummer und eine PC-Nummer.

      2. Ich hoffe, dass die Bank-Apps so programmiert sind, dass sie einen externen Link nicht verarbeiten. Es wird allerdings nicht nur Bank-Apps geben, sondern ein ganzes Oekosystem, welches mit QR-Rechnungen arbeiten wird, z.B. unzählige Buchhaltungs-Software-Produkte und Apps, deren Sicherheitsstandards vielleicht nicht so hoch sein werden wie diejenigen der Banken.

      Mit freundlichen Grüssen
      Thomas Brändle

Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Scroll to Top