Rückblick: QR-Code-Lösungen für den Fälschungsschutz mit Beispielen
Unser Team für Fälschungssicherheitstechnologie schlüsselt die wichtigsten QR-Code-Lösungen für den Fälschungsschutz auf Produktverpackungen auf.
Aufgrund der Fortschritte im Digitaldruck, der Smartphone-Kameras und der veränderten Verbrauchergewohnheiten setzen globale Marken auf QR-Codes zum Schutz vor Fälschungen auf Produktverpackungen und Dokumenten. Zusammengenommen haben diese Veränderungen dazu geführt, dass sichere QR-Codes skalierbarer und kostengünstiger sind als herkömmliche physische Sicherheitsmerkmale wie Hologramme und Taggants. Nicht alle QR-Codes, die zur Fälschungssicherheit eingesetzt werden, sind jedoch gleich – es gibt verschiedene Lösungen zur Sicherung von QR-Codes, die jeweils unterschiedliche Stärken und Schwächen aufweisen.
In diesem Artikel nutzen wir die jahrzehntelange Erfahrung von Scantrust als Pionier im Bereich der Fälschungssicherheit, um die Sicherheitsmerkmale, Vor- und Nachteile der Verwendung von QR-Codes für fälschungssichere Verpackungen und Dokumente eingehend zu prüfen.
Wie Fälscher unsichere QR-Codes auf Verpackungen kopieren und ausnutzen
Dieses Diagramm zeigt ein gängiges Beispiel dafür, wie ein Fälscher erfolgreich die Verpackung eines Produkts einschließlich des QR-Codes kopiert:
Wie Fälscher versuchen, sichere QR-Codes zu kopieren oder zu umgehen, um den Authentifizierungsscan eines Produkts zu überlisten
Der oben gezeigte Fälschungsversuch wird durch einen sicheren QR-Code vereitelt, der nicht kopiert werden kann. Wenn er von einem Endnutzer oder Kunden gescannt wird, können kopierte Verpackungen oder Produktetiketten sofort als Fälschungen erkannt werden.
Fälschungsmethode: Kopieren Sie das sichere QR-Code-Etikett direkt mit einem hochauflösenden Scanner und Drucker
Nicht sicher und leicht zu fälschen: statische, dynamische und nicht eindeutige (d. h. nicht serialisierte) QR-Codes auf Verpackungen
“Statisch” und “dynamisch” sind Fachbegriffe für die Art der URL, die in einen QR-Code eingebettet ist. Diese Merkmale von QR-Codes bieten an sich keine Sicherheit, aber sie können die Überwachung und das Ausschalten von Fälschungen etwas erleichtern.
Grundlegendes Beispiel für einen dynamischen QR-Code im Vergleich zu einem statischen QR-Code
Dynamische QR-Codes sind in Unternehmen häufiger anzutreffen, da sie die Möglichkeit bieten, den gesamten Datenverkehr (QR-Code-Scans), der über die Umleitungs-URL läuft, zu “sehen”. Ein weiteres wichtiges Merkmal dynamischer QR-Codes für Unternehmen ist die Möglichkeit, die Ziel-URL nach Bedarf und auf Anfrage zu ändern. Diese Eigenschaft bietet Flexibilität bei der Verwaltung und Aktualisierung eines QR-Codes, nachdem der Code gedruckt wurde. Bei statischen QR-Codes sind Sie an die verwendete Ziel-URL gebunden – es sei denn, Sie nehmen später erweiterte DNS-Änderungen vor, um die Benutzer umzuleiten. Dieser Ansatz mit statischen QR-Codes kann jedoch mit Problemen behaftet sein, weshalb dynamische QR-Codes bevorzugt werden.
Wie wir im folgenden ausführlichen Beispiel zeigen werden, bieten sowohl statische als auch dynamische Codes an sich keine Sicherheit gegen Fälschungen.
Überprüfung der Produktechtheit von Fälschungen Statischer QR-Codes auf Verpackungen
Statische QR-Codes sind die einfachsten QR-Codes und auch die unsichersten. Diese Codes werden oft mit kostenlosen QR-Code-Generator-Tools im Internet oder mit einer Tabellenkalkulationsanwendung wie Excel erstellt. Sie enthalten eine eingebettete URL, die nicht mehr geändert werden kann, sobald der Code gedruckt ist.
Hier ist ein Beispiel für eine statische QR-Code-Fälschung:
Der Kontext: Ein Verbraucher stößt auf einen statischen QR-Code, der von einem Fälscher kopiert und neu gedruckt wurde. Diese Codes sind nicht eindeutig und werden von einem Produkt zum nächsten weitergegeben:
Druckt statische QR-Codes: Eine Motorölmarke druckt denselben statischen QR-Code auf Millionen von Original-Motorölflaschen mit einem Link zur Produktwebsite.
DerFälscher fertigt Kopien der Motorölverpackung an, einschließlich des QR-Codes.
Ein Kunde kauft ein gefälschtes Produkt und scannt den kopierten QR-Code
Der Kunde sieht die Produktwebseite: Der Kunde wird auf dieselbe URL der Produktinformations-Website weitergeleitet wie Kunden, die das echte Produkt gekauft haben.
Es gibt keinen Mechanismus, um zu überprüfen, ob das Produkt echt ist: Es gibt keine einfache Möglichkeit für die Motorölmarke, zu unterscheiden, welche Nutzer auf der Produktinformations-Website vom “echten” Produkt oder von der “Fälschung” stammen, und somit auch keine Möglichkeit, die Kunden darauf hinzuweisen, dass sie ein gefälschtes Produkt erworben haben.
In einem Szenario, in dem ein Fälscher eine Verpackung, ein Dokument usw. mit einem statischen QR-Code kopiert hat, ist der Endnutzer normalerweise nicht in der Lage, den gefälschten QR-Code visuell zu erkennen. Wenn die URLs auf den gefälschten und den echten Verpackungen alle gleich sind, wäre es für den Markeneigentümer schwierig, sicher zu unterscheiden, welche QR-Code-Scans (und damit Zugriffe auf die URL) von echten oder gefälschten Produkten stammen. Zumindest werden dadurch nützliche Daten über die Nutzung durch die Verbraucher verunreinigt, die ansonsten zur Verfügung gestanden hätten.
Vorteile: Keine! Standard-QR-Codes haben keine fälschungssicheren Eigenschaften.
Nachteile: Jeder Fälscher kann diese statischen QR-Codes kopieren und auf gefälschten Produkten verwenden.
Überprüfung der Produktechtheit mit dynamischen QR-Codes
Dynamische QR-Codes sind Codes mit einer in den QR-Code eingebetteten Zwischen-URL. Diese Codes leiten den Kunden zu einer anderen URL um, die in einer Verwaltungsschnittstelle eingestellt wird und in der Regel die Informationswebsite eines Produkts zeigt.
Hier ein Beispiel für ein dynamisches QR-Code-Fälschungsszenario, wobei davon ausgegangen wird, dass die Codes nicht von einem Produkt zum nächsten eindeutig sind:
Drucken Sie dynamische QR-Codes: Eine Motorölmarke druckt einen dynamischen QR-Code auf jede Charge von Hunderttausenden von Produkten für insgesamt Millionen von Motorölflaschen (Hinweis: Oft wird ein einziger dynamischer Code für alle Produkte verwendet, nicht für unterschiedliche Chargen – diese Praxis bietet weniger Sicherheit und Nutzen).
Ein Fälscher kopiert das Produkt und die Verpackung, einschließlich des dynamischen QR-Codes, von einer Charge Motoröl.
Ein Kunde kauft ein gefälschtes Produkt und scannt den gefälschten dynamischen QR-Code.
Der Kunde sieht die Produktwebseite: Der gefälschte dynamische QR-Code leitet den Kunden auf die vorgesehene URL der Produktinformations-Website um, genau wie es bei Kunden der Fall wäre, die das echte Produkt gekauft haben.
Das Ergebnis ist keine Möglichkeit zu überprüfen, ob das Produkt echt ist: Weder die Marke noch der Verbraucher können auf einfache Weise feststellen, ob die Besucher der Website vom echten Produkt oder von einer Fälschung stammen. Es gibt also keine Möglichkeit, festzustellen, welcher der dynamischen QR-Codes (welche Charge) gefälscht war. Es gibt keine Möglichkeit, Kunden darüber zu informieren, dass sie ein gefälschtes Produkt gekauft haben.
Können Sie die Fälschung erkennen?
Beachten Sie, dass die Marke im obigen Ablauf auch einen anderen statischen QR-Code für jede Charge hätte verwenden können. Zusammengenommen zeigen die beiden obigen Beispiele, dass weder statische noch dynamische QR-Codes ein wesentlich anderes Schutzniveau bieten.
Vorteile: Die Marke kann eventuell etwas mehr Informationen darüber erhalten, welche Charge gefälscht wurde, hat aber ansonsten kaum Regressmöglichkeiten.
Nachteile: Ein Fälscher wird nicht sonderlich davon abgehalten, einen solchen dynamischen QR-Code zu kopieren, um damit gefälschte Produkte zu verkaufen.
Verifizierung eines gefälschten Produkts mit serialisierten (eindeutigen) Codes auf der Verpackung
Serialisierte QR-Codes sind von einem Produkt oder Dokument zum nächsten eindeutig. Die in ihnen eingebetteten Links können statisch sein (sie verweisen auf eine URL, die nach dem Druck nicht mehr geändert werden kann) oder dynamisch (sie können nach dem Druck des Codes über eine zwischengeschaltete, umgeleitete URL geändert werden).
Hier ein Beispiel für ein Fälschungsszenario mit dynamischen, serialisierten (eindeutigen) QR-Codes:
Drucken Sie eindeutige, dynamische QR-Codes: Eine Motorölmarke druckt eine eindeutige Seriennummer in einen dynamischen QR-Code auf jeder Flasche.
Ein Fälscher fertigt Kopien der Flaschenverpackung eines Produkts an, einschließlich des eindeutigen, dynamischen QR-Codes.
Die Kunden kaufen gefälschte Produkte und einige scannen den gefälschten QR-Code.
Die Kunden scannen den QR-Code und versuchen, das Produkt zu authentifizieren. Das Produkt wird nur dann als Fälschung identifiziert, wenn der Code von der Marke auf eine schwarze Liste gesetzt wird, was in der Regel geschieht, nachdem bereits Tausende gefälschter Produkte gekauft und in freier Wildbahn gescannt worden sind.
Die Marke sammelt Daten zur Fälschungssicherheit, darunter den eindeutigen QR-Code der einzelnen Motorölflasche, der Hunderte Male an vielen verschiedenen Orten gescannt wurde.
Schließlich identifiziert die Marke einen bestimmten QR-Code, der gefälscht ist und ändert mithilfe ihrer Fälschungsschutzlösung die Informationen, die bei allen künftigen Scans dieses Codes angezeigt werden, in “dies ist ein gefälschtes Produkt”. Dies wird “Blacklisting” genannt.
Die Marke sammelt geografische Informationen über den Scan-Ort, den Ort, an dem das Produkt möglicherweise gekauft wurde, Bilder und sammelt auf andere Weise Beweise, um rechtliche Schritte gegen die Fälscher einzuleiten.
Vorteile: Die Marke war in der Lage, herauszufinden, welches Produkt gefälscht war (bis auf die Ebene der Einheit) und wo diese Produkte geografisch gescannt wurden. Sobald der Code auf die schwarze Liste gesetzt wurde, führten weitere Authentifizierungsscans dieses Codes durch Kunden zu einer Benachrichtigung, dass sie ein gefälschtes Produkt gekauft hatten.
Nachteile: Je nach Warnschwellen können Hunderte oder Tausende von Kunden das gefälschte Produkt gekauft und gescannt haben, bevor die Marke den QR-Code des gefälschten Produkts entdeckt und auf die schwarze Liste gesetzt hat.
Serialisierte QR-Codes liefern Daten von unschätzbarem Wert für den Kampf gegen Fälschungen
Das obige Bild zeigt die realen Scandaten eines einzelnen seriellen QR-Codes, der 234 Mal von 163 verschiedenen Scannern gescannt wurde. Die geografische Verteilung der Scans gibt einen guten Hinweis darauf, dass die Nutzer, die die Produkte scannen, unterschiedlich sind. Dieser spezielle Code wurde als “fälschungsverdächtig” gekennzeichnet, lange bevor 234 Scans aufgezeichnet wurden, aber zu diesem Zeitpunkt ist es mehr oder weniger sicher, dass es ein Fälschungsproblem gibt.
Diese Daten können den Unterschied ausmachen, ob ein Unternehmen rechtliche Möglichkeiten gegen Fälscher hat oder nicht. Das Interessanteste an diesem Beispiel aus der Praxis ist, dass der ursprüngliche Zweck der Serialisierung von QR-Codes auf den Produkten der Marke nicht darin bestand, ein Fälschungsproblem zu lösen, sondern darin, personalisierte, segmentierte Marketingkampagnen durchzuführen – eine weitere Funktion, für die serialisierte QR-Codes nützlich sind. In diesem Fall ahnte der Markeninhaber überhaupt nicht, dass er ein Fälschungsproblem hatte!
Sichere QR-Codes mit einem eingebetteten Sicherheitsbild: Eine robuste Lösung zum Schutz vor Fälschungen bei Verpackungen
Ein Kopiererkennungsmuster, auch bekannt als kopierresistentes Bild oder eingebettetes Sicherheitsbild, ist ein digitales Bild, das so konzipiert ist, dass es beim Kopieren und erneuten Drucken wichtige Informationen verliert und damit signalisiert, dass es sich um eine Kopie handelt. Das ist so, wie wenn Sie einen Fotokopierer benutzen: Die Kopie sieht nie so gut aus wie die Version, die Sie mit Ihrem Tintenstrahldrucker ausgedruckt haben.
Mit diesem Prinzip ist es möglich, ein zufällig generiertes Sicherheitsbild in einen Teil des QR-Codes einzufügen, so dass es sich um einen “sicheren” QR-Code handelt, der als das Original authentifiziert werden kann.
Wenn Fälscher sichere QR-Codes kopieren, lässt sich das Ergebnis mit einer einfachen Handykamera erkennen.
Hier ein Beispiel, bei dem ein Kunde ein gefälschtes Produkt mit einem Secure QR-Code kauft (in den QR-Code ist ein Sicherheitsbild eingebettet):
Drucken oder bringen Sie sichere QR-Codes an. Eine Motorölmarke bringt einen sicheren QR-Code auf jeder Flasche an.
Ein Fälscher kopiert die Flaschenverpackung eines Produkts, einschließlich des Secure QR-Codes.
Mehrere Kunden kaufen gefälschte Motorölprodukte und scannen den gefälschten QR-Code direkt ein.
Der Kunde prüft die Echtheit, indem er den Anweisungen auf dem Bildschirm im Browser oder in der mobilen App zur Produktauthentifizierung folgt.
Die Fälschungsschutzlösung identifiziert den Secure QR-Code als “verlustbehaftete” Fälschung.
Der Kunde wird über die Fälschunginformiert und die Marke wird gewarnt.
Der umgebende QR-Code wird auf eine schwarze Liste gesetzt, so dass der Kunde bei allen künftigen Scans darüber informiert wird, dass es sich um ein gefälschtes Produkt handelt.
Was sind die Vorteile der Verwendung eines sicheren QR-Codes für Produktverpackungen?
Bewährt – Kopiererkennungsmuster werden seit 2002 in Hochsicherheitskontexten eingesetzt, als sie vom Gründer und CTO von Scantrust erfunden wurden. Diese ausgereifte Technologie wurde in verschiedenen Branchen und Märkten bei Unternehmen wie DuPont, Unilever, ExxonMobil und sogar bei Regierungen für den Einsatz auf wichtigen Dokumenten eingesetzt.
Benutzerfreundlichkeit – Sie funktionieren mit allen modernen und gängigen Smartphones über eine Kamera.
Kosteneffizient – Sichere QR-Codes lassen sich in Ihr bestehendes Verpackungs- oder Druckverfahren integrieren, im Gegensatz zu kostspieligen physischen Sicherheitsmerkmalen wie Hologrammen, deren Herstellung sehr viel mehr kostet und bei denen die Kunden immer noch lernen müssen, wie sie echte von gefälschten Produkten unterscheiden können. Sie funktionieren auch mit nicht serialisierten statischen oder dynamischen QR-Codes. Je nach Lösung sind sie mit Digitaldruckern wie HP Indigo, Flexodruckern, Offsetdruckern, variablen Druckern und Hybriddruckern kompatibel.
Flexibel – Auch für sichere QR-Codes ist die Serialisierung keine Voraussetzung; Sie können serialisierte (eindeutige) Codes oder einfache statische oder dynamische Codes verwenden. Sie können ihn innerhalb oder neben dem digital gedruckten QR-Code im Flexo-, Offset- oder Tiefdruckverfahren drucken.
Skalierbar – Nach Abschluss der ersten Druck- oder Etikettierungsintegration und -tests kann der einzelne sichere QR-Code oder die sichere Grafik (bei Verwendung außerhalb oder neben einem anderen QR-Code) so oft gedruckt werden, wie Sie möchten.
Warum können Fälscher nicht einfach ihre eigenen QR-Codes verwenden, um den serialisierten oder sicheren QR-Code zu umgehen?
Im folgenden Beispiel versucht ein raffinierter Fälscher, den sicheren QR-Code zu umgehen.
Fälschungsmethode: Kopieren Sie die Verpackung, aber ersetzen Sie den QR-Code durch einen vom Fälscher kontrollierten Code.
Der Fälscher verwendet seinen eigenen QR-Code, Domänennamen und seine eigene Website und kontrolliert somit den gesamten Weg eines Kunden oder Benutzers, der den QR-Code des gefälschten Produkts scannt. Der Domain-Name ist oft eine leicht abgewandelte Schreibweise der eigentlichen Website der Marke oder des Anbieters von Fälschungsschutztechnologien und kann leicht mit einer offiziellen Authentifizierungs-Website verwechselt werden.
Selbst in diesem Szenario ermöglicht die Verwendung von serialisierten QR-Codes oder eines sicheren QR-Codes in einem gut durchdachten Programm zur Fälschungssicherheit dem Markeninhaber die Nutzung von Crowdsourcing, um die gefälschten Produkte auf dem Markt zu erkennen. Das liegt daran, dass ein gut durchdachtes Fälschungsschutzprogramm zwei Möglichkeiten zur Authentifizierung bietet:
Benutzer können sich durch direktes Scannen eines QR-Codes authentifizieren. Dies kann von einem Fälscher umgangen werden, der Ihren eindeutigen oder sicheren QR-Code vollständig durch seinen eigenen ersetzt und den Nutzer auf seine eigene gefälschte Website leitet.
Benutzer können sich authentifizieren, indem sie zunächst einen vertrauenswürdigen Kanal für die Authentifizierung besuchen, z. B. eine offizielle Web- oder Mobilanwendung oder ein Konto in sozialen Medien und dann den Authentifizierungsprozess dort beginnen.
Lassen Sie uns diese in detaillierteren Beispielen näher erläutern:
Szenario “Unzuverlässiger Kanal”: Der Benutzer authentifiziert sich durch direktes Scannen eines vom Fälscher erstellten QR-Codes (d. h. es handelt sich nicht um eine Kopie des Codes eines echten Produkts). Diese raffinierte Fälschung wird nicht erkannt:
Szenario “Vertrauenswürdiger Kanal”: Der Nutzer besucht zunächst einen vertrauenswürdigen Kanal (offizielle mobile App oder Website) und scannt dann den QR-Code in dieser Web- oder mobilen App. Die raffinierte Fälschung wird erkannt.
Wie praktisch ist es für Verbraucher, QR-Codes auf Verpackungen zu scannen, um ein Produkt zu authentifizieren?
Als Faustregel gilt, dass zwischen 1 % und 20 % der Produkte mit einem QR-Code von einem Endnutzer gescannt werden, was je nach Markt, Produktkategorie und Anreiz oder Anwendungsfall für das Scannen des Codes stark variiert. Es gibt Anwendungsfälle, bei denen die Scan-Rate höher als 20 % sein kann – zum Beispiel bei der Garantieregistrierung oder bei der Inanspruchnahme einer Prämie. Für eine erfolgreiche Einführung von vernetzten Verpackungslösungen ist es erforderlich, einen Ansatz für vernetzte Verpackungen zu entwickeln, der es Ihren Kunden leicht macht, Ihre Produkte zu authentifizieren und die Vorteile zu verstehen, die sich daraus ergeben.
Wie wählt man die richtige QR-Code-Sicherheitstechnologie für den Fälschungsschutz von Produkten aus?
Im Allgemeinen gibt es einige wichtige Überlegungen bei der Entscheidung, welche QR-Code-Sicherheitsstufe verwendet werden soll.
Gewünschte Robustheit oder “Stärke” der Sicherheit – Wie oben gezeigt, bieten einfache statische und dynamische QR-Codes, die nicht serialisiert (nicht eindeutig) sind, praktisch keinen Schutz gegen Fälschungen oder verwertbare Fälschungsdaten vom Markt. Serialisierte QR-Codes bieten einen begrenzten und verzögerten Schutz, während sichere QR-Codes mit eingebetteten Sicherheitsbildern einen starken, sofortigen Schutz bieten.
Kosten der Lösung und Total-Cost-of-Ownership – Serialisierte und sichere QR-Codes sind in der Regel mit Einrichtungskosten verbunden, da sie in das Drucksystem integriert werden müssen. Zusätzlich zu den Einrichtungskosten werden sie in der Regel auch pro Code abgerechnet.
Einfache Implementierung – Dies hängt von der gewählten Fälschungsschutzlösung, der Art und Weise, wie Sie heute drucken, und den derzeit verwendeten Druckgeräten ab. Ein erfahrener Anbieter von sicheren QR-Code-Lösungen wird Ihnen schnell helfen können, Ihre Optionen zu finden, um den schnellsten Weg zu Ihren Zielen zu finden.