Seit 2017 ein beliebter Blog in Ratgeber-Qualität zum Thema Smartphone- und Digitalbanking Schweiz. Ausgewählte Themen sorgfältig recherchiert und aufbereitet.

digitalmedia.ch – Digitalbanking und Retailbanking Schweiz

QR Rechnungen Risiken

von

Patrick Huber

Aktualisiert:

Bis Ende September 2022 wird der orange und rote Einzahlungschein schweizweit eingestellt. «Das Zahlen wird einfacher, automatisch und schnell», umwirbt der Zahlungsdienstleister SIX die QR-Rechnung. Doch ist einfach auch sicher? Wer nicht angemessen hinschaut: QR Rechnungen können Risiken haben.

Das Konzept der QR-Rechnung stammt noch aus papiergebundenen Zeiten: 7 Jahre dauerte die Entwicklung und Umsetzung. Und die Schweizer Banken haben es überdies verpasst, die Bestimmungen für den Zahlungsverkehr an die Gegebenheiten auszurichten.

Inhalt

Sicherheit der QR-Rechnung – eine Missdeutung

Die Website «eBanking aber sicher» der Hochschule Luzern HSLU schreibt, «Die Sicherheit der QR-Rechnung ist der Sicherheit den bisherigen roten und orangen Einzahlungsschein grundsätzlich gleichzusetzen».

Die HSLU nutzt in ihrer Ausführung den Vergleich mit dem Einzahlungsschein. Da die QR-Rechnung aus papiergebundenen Zeiten stammt? – so meine Vermutung.

Neue technische Möglichkeiten haben den Umgang mit Dienstleistungen im Zahlungsverkehr hingegen eindeutig verändert. Rechungen werden im PDF-Format erstellt und über das Internet beziehungsweise E-Mail versandt. Der Zahlungsempfänger tätigt zwei, drei Klicks und die Rechnung ist bezahlt.

Der meistgelesene Smartphone-Banken-Vergleich

QR Rechnungen Risiken – die Gründe

Banken informieren und klären zumindest auf wie: «Nach dem Einscannen des QR-Codes sind die Daten mit den Zahlungsinformationen auf der Rechnung (IBAN, Empfänger, Betrag etc.) händisch abzugleichen. Stimmen diese nicht überein, ist die Zahlung zu stoppen.»

Gut gemeint ist nicht immer gut gemacht. Hinweise auf mögliche Risiken sind dem Wandel hingegen nur lückenhaft angepasst. Denn gerade mit den angepriesenen Eigenschaften der QR-Rechnung wähnen sich Bankkunden in schlichter Sicherheit. Die andere Klientel hingegen könnnen die QR-Eigenheiten für Betrugsversuche nutzen.

«Unheilvolle Kombination begünstigt Betrügereien: Swiss QR-Code mit Schweizer Kreuz ist kein Bürge für Echtheit der Rechnung. Und da die Empfängerbank nur bedingt die Zahlungsmerkmale des Empfängers interessiert, sind Täuschungen leicht möglich.»

Jedes Ding hat zwei Seiten, so auch die Möglichkeiten der QR-Rechnung.

1. Swiss QR-Code mit Schweizer Kreuz

Mit dem Impfzertifikat hat der QR-Code breiten Zugang zur Bevölkerung gefunden. Die QR-Rechnung nennt den elektronisch lesbaren Teil obendrauf als «Swiss QR Code». Die Integrität des Codes wird überdies bekräftigt mit einem Schweizer Kreuz – im QR-Code mittig sichbar eingebettet.

Das Erstellen eines Impfzertifikats mit dem QR-Code – um im Beispiel zu bleiben, ist berechtigten Personen vorbehalten. Das Schönschreiben einer QR-Rechnung mit Zahlteil und Swiss QR-Code inklusive Schweizer Kreuz ist indes allen zugänglich.

Die Banken selbst wie beispielsweise die Thurgauer Kantonalbank geben für das Erstellen eines Swiss QR-Codes vertiefte Praxiseinblicke inklusive Link zu einem Rechnungs-Generator.

2. QR-Rechnung auch ohne QR-IBAN

Nutzen lässt sich die QR-Rechnung auch ohne Teilnahme einer QR-IBAN, bisher oranger ESR genannt. Eine einfache Schweizer IBAN genügt (entspricht dem bisherigen roten Einzahlungsschein).

QR Rechnungen Risiken mit dem QR-Generator
Swiss QR-Code mit Schweizer Kreuz (qr-rechnung.net)

Mit dem QR-Generator von qr-rechnung.net einen Swiss QR-Code inklusive Schweizer Kreuz erstellen. Seriös – auch für Internet-Kriminalität.

3. Gutschrift eines Zahlungseinganges allein aufgrund der IBAN

Mit Einführung IBAN schreibt die Empfängerbank Zahlungseingänge gut, ohne dass ein Abgleich der zusätzlich übermittelten Angaben mit dem Namen und der Adresse des Kontoinhabers erfolgt. Vorbehalten sind Kontrollen nach eigenem Ermessen der Bank.

Für die Empfängerbank sind die Angaben in der QR-Rechnung tendenziell unerheblich. Das heisst:

  • Der Klartext, zahlbar an Xy wird durch die Empfängerbank nicht mit dem Kontoinhaber der Gutschrift validiert.
  • Die Zuweisung der Zahlung erfolgt über die IBAN, sofern gültig und aktiv.

Die Bank führt die Gutschrift auch dann aus, wenn der angegebene Empfängername und die angegebene IBAN nicht zusammenpassen.

«Die auftraggebende Bank verlangt ergänzende Pflichtangaben zum Zahlungsempfänger, was die Empfängerbank hingegen nur bedingt interessiert.»

Einzelteile sind wenig augenfällig, in der Summe schon

Wer auf Betrüger im Netz hereinfällt, ist in den meisten Fällen selbst Schuld. Immer mehr Banken sichern sich ab und verneinen Schadenszahlungen infolge Internet-Kriminalität. Das Risiko im Umgang mit digitalen Kanälen wird komplett auf die Kunden überwälzt.

Das mag oft zutreffend sein, ist mit Einführung der QR-Rechnung jedoch ausdrücklich zu kurz gegriffen. Der QR-Code mag hip sein, die Sicherheit aus Kundensicht ist hingegen vernachlässigt:

  • Der Swiss QR-Code mit Schweizer Kreuz gibt mutmasslich Sicherheit.
  • Die im Zahlungsauftrag mitgegebenen Informationen sind für die Empfängerbank oberflächlich.
  • Gerade jetzt werden Rechnungen auf QR umgestellt. Die bisher im E-Banking hinterlegte IBAN des jeweiligen Zahlungsempfängers ist nicht mehr gültig infolge Umstellung auf QR-IBAN.
  • Die jetzige Häufung der Umstellung birgt besonders Risiken; Betrugsversuche werden übersehen.

Indes positiv: Die QR-Rechnung unterstützt ausschliesslich Schweizer IBAN und teilnehmende Banken aus Liechtenstein.

Mit der Swiss QR-Rechnung kann sich ein Betrüger als beliebige Person/Firma ausgeben, beispielsweise als Stadtwerke Xy. Der Geldbetrag gelangt auf das Konto einer unbekannten Person, da die Empfgängerbank keinen Abgleich macht mit den Zahlungsinstruktionen.

Risiko Malware-Falle QR-Code

Wer kennt es nicht, spätestens mit der Corona-Pandemie: Zertifikate einlesen, an Orten registrieren.

Cyberkriminelle versuchen mit QR-Codes auf Websites zu lotsen mit Schadcodes oder auf eine Phishing-Seite zu lenken, um Account-Daten zu stehlen.

Auch angebliche QR-Rechnungen könnten nun zunehmend zu Malware-Fallen führen.

Leitet die QR-Rechnung auf eine Webseite weiter, ist der Vorgang unmittelbar zu stoppen.

Opfer eines Betrugs (QR-Rechnung)?

Auf digitalmedia.ch gibt es einen ausführlichen Fachartikel mit Vorgehensweise und Checkliste.

Auf jeden Fall polizeilich eine Anzeige erstatten, selbst bei kleinen Beträgen.

Checkliste QR-Rechnungen bezahlen

Betrugsversuche mit Rechnungen per E-Mail häufen sich. Die Hinweismeldung der Banken, die gescannten Daten mit der Rechnung abzugleichen, greift zu kurz. Daher:

  1. Phishing-Mail Vorsorge
  2. Wachsamkeit walten lassen
  3. Materielle Prüfung: Ist die Rechnung legitim? Gilt auch für Forderungen von vertrauten Rechnungsstellern.
  4. Formelle Prüfung: Plausibilisieren der IBAN. Persönliche Abklärungen mit dem Zahlungsempfänger auf Gültigkeit der IBAN.

Um manuelle Zahlungen gering zu halten – und somit auch Risiken zu minimieren: Umstellung auf eBill. Statt Versand per E-Mail oder Post, werden Rechnungen sicher im E-Banking/Mobile Banking bereitgestellt.

Unterstütze digitalmedia.ch

Seit 2017 engagierter Blog zu den Schweizer Digitalbanking-Angeboten. Ausgewählte Themen sorgfältig recherchiert und aufbereitet. 6’000 Leser:innen monatlich (Februar 2022). Ein grosses Leserinteresse haben die Beitragsserien zu den Banking Apps von Revolut, Neon und Yuh.

Vielbeachtet ist der Ratgeber «Vorsorge selbst gemacht»: Nutzbringende Hinweise und Impulse – verständlich zusammengetragen.

Mit gutem Text für das Thema Banking begeistern. Unterstütze meinen Blog mit einem Obolus. Die Möglichkeiten sind vielfältig: Freundschafts-Empfehlung, Link-Empfehlung oder eine Franken-Spende.

Swiss QR-Code zum Einlesen1 (Download) oder direkt zum Scannen:

1 QR-Code direkt ab Smartphone in die Banking-App einlesen – so gehts.

Einfachheit und Erlebnis in Technik, Bedienung und Preis – so geht Digitalbanking. Eine seit 2017 von digitalmedia.ch ausgesprochene Botschaft.

Weiterführende Informationen

Der persönliche «GeldWert»-Coach
Bankprodukte optimieren, eine unabhängige Zweitmeinung anhören: Konto, Hypotheken, Basisprodukte und Vorsorge – oder gibt es eine Fachfrage beziehungsweise Unklarheiten mit der Bank? GeldWert für die Finanzen – lassen Sie uns darüber reden. Ich unterstütze Sie gerne. Klick auf: Kontaktaufnahme.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Neon 30 CHF*
Keine Lust auf hohe Bankgebühren und 0-Zins? Jetzt zu Neon wechseln: kostenloses Konto, gratis Mastercard ohne Währungszuschlag & Extra-Zins. Mit digitalmedia insgesamt von 30 Franken* profitieren.
*informieren