QR-Codes in China auf illegale Webseiten umgeleitet
Chinesische Behörden decken auf, wie gängige QR-Codes manipuliert werden, um Nutzer auf illegale Websites zu leiten. Das Problem betrifft öffentliche Bereiche und Produkte für Kinder gleichermaßen.

Das chinesische Technikportal IT Home berichtet über ein weit verbreitetes Problem, bei dem QR-Codes an öffentlichen Orten und sogar auf Kinderprodukten gekapert werden, um Nutzer auf illegale oder schädliche Websites umzuleiten, die oft Inhalte für Erwachsene oder Betrugsmaschen anbieten.
Die Untersuchung dieser Vorfälle begann, als Nutzer begannen, ungewöhnliche Erfahrungen zu melden. Im März 2026 bemerkte ein Besucher des Shangying Yanshan Forest Parks, dass ein QR-Code auf einem Shuttlebus zu einer Website mit Erwachseneninhalten führte. Kurz darauf, Ende Februar, meldete ein anderer Nutzer in Peking, dass ein QR-Code an einer öffentlichen Einrichtung in der Straße zu einer ähnlichen illegalen Website umgeleitet wurde.
Laut IT Home beschränkt sich das Problem nicht nur auf öffentliche Bereiche. Auch QR-Codes auf Lernmaterialien für Kinder, wie Lernkarten und Spielzeugverpackungen, sowie auf den Rückseiten von Zeichenübungsheften für Grundschüler, wurden böswillig verändert aufgefunden. Diese Codes leiteten Nutzer auf schädliche und illegale Seiten.
Netzwerkexperten erklären, dass die Ursache bei den Domainnamen liegt, auf die die QR-Codes verweisen. Ein QR-Code selbst verfügt über keine Sicherheitsfunktionen; die Schwachstelle liegt in der Domain, auf die er verweist. Der häufigste Grund für diese Probleme ist, dass die ursprünglichen Registranten der Domainnamen – seien es Einzelpersonen oder Organisationen – aufhören, Verlängerungsgebühren zu zahlen. Sobald die Domain abläuft, kann sie von illegalen Akteuren böswillig neu registriert werden.
Experten raten, dass Organisationen nicht nur die Sicherheit von Domains während ihrer aktiven Nutzung gewährleisten, sondern auch die Verwaltung von QR-Codes und Domains nach Beendigung eines Dienstes berücksichtigen sollten. "Das Zurücklassen von 'digitalen unvollendeten Projekten' kann erhebliche Sicherheitslücken schaffen", bemerkte ein Experte und bezog sich dabei auf Situationen, in denen veraltete oder ungenutzte Domains ungeschützt bleiben.