Seit heute verteilen die Polizistinnen und Polizisten in der Stadt Zürich die Bussen nur noch mit einem QR-Code-Zettel. Die Abschaffung des klassische Einzahlungsschein hinter dem Scheibenwischer ist ein schweizweiter Trend, dem schon mehrere Polizeien gefolgt sind.
Der Vorteil leuchtet ein: Wer gebüsst wird, kann die Rechnung mit dem Handy scannen und gleich online mit mit Kreditkarte, Twint oder der Postcard bezahlen. Den Gang zum Postschalter oder ins E-Banking erspart man sich.
Seit die Stadt Zürich die Umstellung bekannt gab, häufen sich jedoch kritische Stimmen. In Internet-Foren und in der IT-Welt wird mehrfach auf die Gefahr vor gefälschten Busszetteln hingewiesen.
Myriam Dunn Cavelty, Expertin für Cybersicherheit an der ETH, sagt allgemein zur Thematik: «(Cyber-)kriminelle sind natürlich sehr innovativ und es ist sicherlich nicht völlig aus der Luft gegriffen, dass die Fälschung von QR-Codes ein neuer ‹Scam› werden könnte.»
Die Gefahr liegt im offenen Standard der QR-Codes, die dem Smartphone sagen, welche Webseiten geöffnet werden soll. Jeder und jede kann im Internet mit wenigen Klicks einen eigenen solchen Code erstellen und auf ein Blatt Papier so ausdrucken, dass es wie eine Übertretungsanzeige der Stadtpolizei Zürich aussieht.
Das birgt grosse Betrugsgefahr: Cyberbetrüger können in einem QR-Code eine eigene Webseiten-Adresse packen, die zumindest augenscheinlich jener der Stadt Zürich zum Verwechseln ähnlich aussieht. Opfer, die solche gefälschten Busszettel mit ihrem Smartphone scannen, werden jedoch auf die Webseiten der Kriminellen weitergeleitet.
watson-Recherchen zeigen, dass eine solche Betrugsmasche innert weniger Stunden aufgebaut werden kann. Das detaillierte Vorgehen wurde der Stadtpolizei Zürich mitgeteilt. Aufgrund von Nachahmergefahr wird auf die Bekanntgabe der Details in diesem Artikel verzichtet.
watson sprach mit der Medienstelle der Stadtpolizei Zürich über die Möglichkeit dieser Betrugsmasche. In den letzten Jahren sei kein Fall bekannt geworden, bei dem Ordnungsbussen-Dokumente der Stadtpolizei gefälscht wurden.
Die Gefahr von solchen Manipulationen sei aber bekannt und diskutiert worden, sagt Stadtpolizei-Sprecher Michael Walker. Auf die Frage, warum man sich trotzdem für die Umstellung entschieden habe, nennt Walker Massnahmen, mit denen Betrugsversuche erkannt werden können:
Die Stadtpolizei Zürich teilt zudem mit, dass der Zahlungsvorgang über eine verschlüsselte Webseite erfolgt. Das Zertifikat dieser Webseite laute auf die Stadt Zürich und könne im Internet-Browser überprüft werden.
Auch nach der Umstellung sei es zudem möglich, die Busse beim Polizeiposten oder bei einer Polizistin auf der Strasse gegen Abgabe einer Quittung zu bezahlen. Wer abwarte, erhalte die Busse zudem als physische Post zugestellt.
Die Neuerung soll laut Stadtpolizei die «Kommunikation mit den Bürgerinnen und Bürgern erleichtern». Auch habe sie zum Ziel, den administrativen Aufwand zu reduzieren.
So müssten die Bussen-Daten und Personalien von Handzetteln nicht mehr ins Computer-System abgetippt werden. Die Digitalisierung kann zudem interne Abläufe wie die Rapportierung von bestimmten Fällen automatisieren und mehrheitlich papierlos gestalten.
Wie viel Aufwand angesichts der Beschaffungskosten von rund 140'000 Franken eingespart werden könne, lässt sich heute laut Polizei-Medienstelle noch nicht genau beziffern. Betroffen sei jedoch höchstens eine Stelle.
Das zeigt deutlich, dass die Sicherheit keinen grossen Stellenwert für die Stadt hat.