Zürcher Polizei stellt auf digitale Busszettel um – aber die Sache hat einen Haken
Seit heute verteilen die Polizistinnen und Polizisten in der Stadt Zürich die Bussen nur noch mit einem QR-Code-Zettel. Die Abschaffung des klassische Einzahlungsschein hinter dem Scheibenwischer ist ein schweizweiter Trend, dem schon mehrere Polizeien gefolgt sind.
Der Vorteil leuchtet ein: Wer gebüsst wird, kann die Rechnung mit dem Handy scannen und gleich online mit mit Kreditkarte, Twint oder der Postcard bezahlen. Den Gang zum Postschalter oder ins E-Banking erspart man sich.
QR-Code-Bussen können gefälscht werden
Seit die Stadt Zürich die Umstellung bekannt gab, häufen sich jedoch kritische Stimmen. In Internet-Foren und in der IT-Welt wird mehrfach auf die Gefahr vor gefälschten Busszetteln hingewiesen.
Myriam Dunn Cavelty, Expertin für Cybersicherheit an der ETH, sagt allgemein zur Thematik: «(Cyber-)kriminelle sind natürlich sehr innovativ und es ist sicherlich nicht völlig aus der Luft gegriffen, dass die Fälschung von QR-Codes ein neuer ‹Scam› werden könnte.»
Die Gefahr liegt im offenen Standard der QR-Codes, die dem Smartphone sagen, welche Webseiten geöffnet werden soll. Jeder und jede kann im Internet mit wenigen Klicks einen eigenen solchen Code erstellen und auf ein Blatt Papier so ausdrucken, dass es wie eine Übertretungsanzeige der Stadtpolizei Zürich aussieht.
Das birgt grosse Betrugsgefahr: Cyberbetrüger können in einem QR-Code eine eigene Webseiten-Adresse packen, die zumindest augenscheinlich jener der Stadt Zürich zum Verwechseln ähnlich aussieht. Opfer, die solche gefälschten Busszettel mit ihrem Smartphone scannen, werden jedoch auf die Webseiten der Kriminellen weitergeleitet.
watson-Recherchen zeigen, dass eine solche Betrugsmasche innert weniger Stunden aufgebaut werden kann. Das detaillierte Vorgehen wurde der Stadtpolizei Zürich mitgeteilt. Aufgrund von Nachahmergefahr wird auf die Bekanntgabe der Details in diesem Artikel verzichtet.
So erkennt man gefälschte Busszettel
watson sprach mit der Medienstelle der Stadtpolizei Zürich über die Möglichkeit dieser Betrugsmasche. In den letzten Jahren sei kein Fall bekannt geworden, bei dem Ordnungsbussen-Dokumente der Stadtpolizei gefälscht wurden.
Die Gefahr von solchen Manipulationen sei aber bekannt und diskutiert worden, sagt Stadtpolizei-Sprecher Michael Walker. Auf die Frage, warum man sich trotzdem für die Umstellung entschieden habe, nennt Walker Massnahmen, mit denen Betrugsversuche erkannt werden können:
- Hologramm überprüfen: Auf den Busszetteln wurde das Wappen der Stadt Zürich als Hologramm aufgedruckt. Gebüsste Personen können mit diesem Sicherheitsmerkmal kontrollieren, ob der Zettel echt ist.
- Sichere QR-Code-Scanner nutzen: Bürgerinnen und Bürger können im allgemeinen Umgang mit QR-Codes einen alternativen Scanner auf ihr Smartphone installieren, das den Inhalt und die Adresse hinter dem QR-Code prüft. Diese würde eine Warnung anzeigen, falls die Adresse auf eine ungesicherte, «böse» Seite verweist.
- Kontrolldaten auf Polizei-Webseite vergleichen: Beim Login wird nach dem Nummernschild des Autos gefragt. Danach erscheint eine Übersicht mit den Details zur begangenen Übertretung. «Hier kann die gebüsste Person kontrollieren, ob die Angaben (wie heute auf dem Bussenzettel) plausibel sind», sagt Polizeisprecher Walker.
- Webadresse der Polizei manuell eingeben: Wer den Einstieg via QR-Code auf das Bussenportal als zu unsicher erachte, habe laut Walker die Möglichkeit, über einen Internetbrowser mit der Webadresse auf das Bussenportal der Stadtpolizei Zürich zu gelangen und so die Busse zu bezahlen.
Die Stadtpolizei Zürich teilt zudem mit, dass der Zahlungsvorgang über eine verschlüsselte Webseite erfolgt. Das Zertifikat dieser Webseite laute auf die Stadt Zürich und könne im Internet-Browser überprüft werden.
Auch nach der Umstellung sei es zudem möglich, die Busse beim Polizeiposten oder bei einer Polizistin auf der Strasse gegen Abgabe einer Quittung zu bezahlen. Wer abwarte, erhalte die Busse zudem als physische Post zugestellt.
Warum wurde überhaupt umgestellt?
Die Neuerung soll laut Stadtpolizei die «Kommunikation mit den Bürgerinnen und Bürgern erleichtern». Auch habe sie zum Ziel, den administrativen Aufwand zu reduzieren.
So müssten die Bussen-Daten und Personalien von Handzetteln nicht mehr ins Computer-System abgetippt werden. Die Digitalisierung kann zudem interne Abläufe wie die Rapportierung von bestimmten Fällen automatisieren und mehrheitlich papierlos gestalten.
Wie viel Aufwand angesichts der Beschaffungskosten von rund 140'000 Franken eingespart werden könne, lässt sich heute laut Polizei-Medienstelle noch nicht genau beziffern. Betroffen sei jedoch höchstens eine Stelle.
