Viele GS1-2D-Gespräche klingen immer noch wie ein IT-Projekt. Kann der Scanner den Code lesen? Kann die Kasse die Daten verarbeiten? Diese Fragen sind wichtig, aber sie übersehen die größte öffentlichkeitswirksame Veränderung: Viele dieser 2D-Barcodes werden von Kunden mit einer gewöhnlichen Handykamera gescannt.
Das verändert das Bedrohungsmodell. Sobald ein Produktcode zu einem Link auf Produktinformationen, Anleitungen oder Garantiehilfe wird, ist die Verpackung nicht mehr nur ein Identifikator. Sie wird zu einem kundenorientierten Einstiegspunkt ins Web. Wenn dieser Scan auf einer gefälschten Seite oder einer fehlerhaften Weiterleitung landet, gibt der Kunde der Marke auf der Verpackung die Schuld, nicht dem Angreifer dahinter.
Wenn Kunden den Code scannen können, behandeln Sie ihn wie eine öffentliche Webseite, die auf jeder verschickten Einheit aufgedruckt ist.
Warum verbraucherorientiertes GS1 2D die eigentliche Sicherheitswende ist
Das ist kein Randfall. Im GS1-Leitfaden für 2D im Handel wird der QR-Code mit GS1 Digital Link ausdrücklich für die Verbraucherinteraktion und volle Mobilgeräte-Kompatibilität positioniert. Im GS1-Systemarchitektur-Leitfaden weist GS1 zudem darauf hin, dass der Standardlink für die Smartphone-Nutzung oft eine Produktinformationsseite sein wird. Kurz gesagt: Der Code auf der Verpackung ist für die Öffentlichkeit gedacht, nicht nur für das Personal.
Deshalb ist eine nachlässige Einführung gefährlich. Ein Lageroperateur mit einer spezialisierten App kann einen strukturierten Datenträger scannen und in einem kontrollierten Workflow bleiben. Ein Kunde, der die Standard-Handykamera verwendet, sieht in der Regel eine URL und öffnet den Browser.
Der GS1-Leitfaden für Verbraucherinteraktion macht die Chance deutlich: Eine Marke kann den Zielinhalt aktualisieren, ohne die Verpackung neu zu drucken. Diese Flexibilität ist nützlich, aber sie bedeutet auch, dass Ihr Resolver, Ihre Domain und Ihre Weiterleitungsregeln Teil des Produkts selbst werden.
Wie QR-Fälschung legitime Produktcodes trifft
Ein falscher Aufkleber wird über den echten Code auf einem Regaletikett, einem Schild im Laden, einem Zweit-Aufkleber oder einer anderen kundenorientierten Oberfläche geklebt. Das FBI warnte am 18. Januar 2022 vor physischer QR-Manipulation, und die FTC wiederholte am 6. Dezember 2023, dass Betrüger legitime Codes mit eigenen überkleben.
Eine kopierte Verpackung kann einen kopierten oder manipulierten 2D-Code tragen. Für den Kunden sieht sie weiterhin wie die Markenverpackung aus. Genau deshalb betont GS1, dass Chargen-, Serien- und Rückverfolgbarkeitsdaten bei der Bekämpfung von Fälschungen helfen können, wenn die Daten tatsächlich erfasst und geprüft werden.
Der aufgedruckte Code kann echt sein, aber das Ziel kann dennoch unsicher sein, wenn die Weiterleitungskette, die Domain-Inhaberschaft oder die Resolver-Berechtigungen schwach sind. Wenn ein Dritter das Ziel nach dem Druck stillschweigend umleiten kann, kontrollieren Sie nicht wirklich, was Ihre Kunden öffnen werden.
Der Verpackungskontext senkt das Misstrauen. Menschen sind darauf trainiert, zufälligen E-Mails zu misstrauen, aber sie vertrauen eher einem Code, der auf einem Produkt gedruckt ist, das sie gerade in die Hand genommen oder gekauft haben. Deshalb ist Quishing hier so relevant. In einem Sicherheitsbeitrag vom 4. November 2024 berichtete Microsoft, dass einige QR-Phishing-Kampagnen monatlich um 270 Prozent wuchsen und in der Spitze 3 Millionen blockierte Versuche pro Tag erreichten.
Was Marken und Händler vor der Einführung absichern sollten
Checkliste für eine verbrauchersichere Einführung
- Verwenden Sie eine markeneigene HTTPS-Domain:GS1 empfiehlt die Nutzung der eigenen Domain, idealerweise einer dedizierten Subdomain für die Produktidentifikation. Das gibt Kunden etwas Wiedererkennbares zum Vertrauen und Ihnen die Kontrolle über den Weiterleitungspfad.
- Leiten Sie auf Produktinformationen weiter, nicht auf Zahlung oder Login:Ein Verpackungscode sollte Produktinhalte, Anleitungen, Rückverfolgbarkeit oder Support öffnen. Wenn der erste Bildschirm eine Anmeldung, Passwort-Zurücksetzung oder Zahlung verlangt, trainieren Sie den Kunden, Phishing-Signale zu ignorieren.
- Halten Sie Resolver-Änderungen unter Änderungskontrolle:Der GS1-Code kann Monate oder Jahre auf der Verpackung bleiben. Marketingkampagnen wechseln wöchentlich. Resolver-Inhaberschaft, DNS, Weiterleitungen und Content-Veröffentlichung brauchen Produktions-Freigaben, keine beiläufigen CMS-Bearbeitungen.
- Verbieten Sie URL-Shortener und veränderbare QR-Drittanbieter-Dienste:Sie verbergen die Zielklarheit vor dem Kunden und schaffen einen einzigen Angriffspunkt für Weiterleitungsmissbrauch.
- Veröffentlichen Sie eine vertrauenswürdige Scan-Domain einheitlich:Wenn Ihre Produkte immer über dieselbe saubere Markendomain auflösen, können Käufer und Support-Teams lernen, was normal aussieht.
- Prüfen Sie jedes kundenorientierte Sekundäretikett:Frischware-Etiketten, Regalbeschilderungen, Werbeaufkleber und vom Händler angebrachte QR-Etiketten verdienen dieselbe Aufmerksamkeit wie der Produktcode selbst. Nutzen Sie den Fingernagel-Test, um angehobene Aufkleberkanten zu erkennen.
- Überwachen Sie Scan-Analysen als Sicherheitssignal:Ungewöhnliche Geografie, unerwarteter Gerätemix, Spitzen bei einem SKU mit geringem Volumen oder plötzlicher Traffic auf einem zurückgezogenen Kampagnenpfad können auf Klonen oder Weiterleitungsmissbrauch hindeuten.
Auch deshalb ist saubere Etikettierung weiterhin wichtig. Wenn verbraucherorientierte Codes neben schlampigen Sekundäretiketten oder schlecht platzierten Werbeaufklebern stehen, wird die Fälschungserkennung schwieriger. Unser Leitfaden zu Best Practices bei der Barcode-Kennzeichnung bleibt hier relevant, aber das Sicherheitsziel ist ein anderes: den Menschen zu helfen, zu erkennen, wie ein legitimer Scan-Punkt aussehen sollte.
Verlieren Sie nicht den Sicherheitsvorteil
Nichts davon bedeutet, dass GS1 2D eine schlechte Idee ist. Der Vorteil ist real. Reichhaltigere Daten auf der Verpackung können Rückrufe, Echtheitsüberprüfungen und Rückverfolgbarkeit verbessern. Der GS1-Leitfaden für Digitale Signaturen, ratifiziert im Januar 2026, weist in Richtung Echtheitsprüfung beim Scannen, und der Handelsleitfaden merkt an, dass granulare Identifikatoren in Verbindung mit Rückverfolgbarkeitsdaten helfen können, Produktfälschungen zu verhindern.
Aber dieser Vorteil hängt davon ab, ob das Kundenvertrauen den Kontakt mit der realen Welt überlebt. Wenn der Code auf der Verpackung zum Synonym für zufällige Weiterleitungen, gefälschte Aufkleber oder Browserwarnungen wird, scheitert das Verbraucherprogramm lange bevor der technische Standard es tut.
Fazit
Die schwierige Frage ist nicht nur, ob Ihre Systeme GS1 2D lesen können. Es ist, ob jeder Kundenscan eine Domain erreicht, die Sie kontrollieren, eine Seite, die Sie beabsichtigt haben, und einen Ablauf, der Menschen nicht daran gewöhnt, Phishing-Verhalten zu akzeptieren.
Nächster Schritt: Machen Sie diese Woche einen Scan-Durchlauf aus Kundensicht. Scannen Sie den Live-Code mit einer normalen Handykamera, prüfen Sie die angezeigte Domain, folgen Sie der Weiterleitungskette, inspizieren Sie benachbarte Etiketten auf Overlay-Risiken und stellen Sie sich eine einfache Frage: Wenn ein Käufer dies zum ersten Mal sähe, würde er wissen, dass es sicher ist?