Ein QR-Code ist ein Container. Was drin ist, kann eine Zahlung, ein Impfnachweis, ein Führerschein, eine eSIM, eine Passkey-Anmeldung oder eine Smart-Home-Kopplung sein – jedes durch seinen eigenen internationalen Standard geregelt, mit seinem eigenen Bedrohungsmodell. Dies ist die maßgebliche Referenz für jeden Standard, den unser Scanner erkennt: was wirklich darin steckt, wenn Sie ihn scannen, und was wir zeigen versus absichtlich maskieren.
Jeder QR, den Sie in den letzten fünf Jahren zum Bezahlen bei einem Händler gescannt haben, basiert auf EMVCos TLV-Rahmen – aber der Inhalt ist länderspezifisch. Wir identifizieren das genaue Schema, dekodieren die Händlerfelder, die Sie vor der Zahlung prüfen sollten, und validieren die CRC-Prüfsumme, die Sticker-Swap-Angreifer nicht fälschen können.
EMVCo MPM / CPM 💳
Der Basisstandard für alle weltweit präsentierten Händler-QR-Zahlungen. Tag-Length-Value-Rahmen mit Händlername, Stadt, Land, Währung, Betrag, Empfängerkontodaten und CRC-16/CCITT-FALSE-Prüfsumme.
Sofortzahlungsschema der brasilianischen Zentralbank. Weltmarktführer nach Transaktionsvolumen. Zwei Varianten: statisch (wiederverwendbarer QR) und dynamisch (Einmal-QR mit eingebetteter Transaktions-ID).
Wir zeigen: Pix-Empfängerschlüssel (CPF / CNPJ / E-Mail / Telefon / EVP-UUID), Zahlungsbeschreibung, dynamische QR-URL (wenn vorhanden).
Indiens Unified Payments Interface – nach Nutzerzahl die größte Plattform. UPI Virtual Payment Address (VPA) leitet Zahlungen in Echtzeit zwischen Banken.
Wir zeigen: Zahlungsempfänger-VPA, Zahlungsempfängername, Betrag, Währung, Transaktionsreferenz, MCC, Transaktionsnotiz.
ISO 20022 SPC v2.2, nicht EMVCo. Ersetzt den orangen/roten Schweizer Einzahlungsschein. 33 zeilengetrennte Felder für Zahlungsempfänger, Endbegünstigten, Endauftraggeber, Referenztyp (QRR / SCOR / NON), Rechnungsinformationen und alternative Verfahren.
EPC-QR des European Payments Council für Überweisungen. In Deutschland, Österreich, den Niederlanden und den nordischen Ländern weit verbreitet für die Rechnungszahlung.
Wir zeigen: Name des Begünstigten, IBAN, BIC, Betrag, Verwendungszweck, Zweckcode.
Kryptografisch signierte Rechnungsstellung, auf jeder kommerziellen Transaktion im Königreich Pflicht. TLV-kodiert mit fünf Pflicht-Tags (Verkäufer, USt-IdNr., Zeitstempel, Gesamtbetrag, USt-Betrag) plus ECDSA-Signatur.
Wir zeigen: Verkäufername, USt-Registrierungsnummer, ISO-8601-Zeitstempel, Rechnungsgesamtbetrag, USt-Betrag.
Und viele weitere: Wir identifizieren nationale Zahlungsschemata für 54 Länder, PromptPay (Thailand), PayNow (Singapur), DuitNow (Malaysia), QRIS (Indonesien), Bizum (Spanien), Swish (Schweden), MB WAY (Portugal), BLIK (Polen), Wero (EU) und Dutzende weitere im Analyzer-Katalog.
Gesundheitsnachweise
Impfnachweise, Rezepte, Laborbefunde und Reisezertifikate. Kryptografisch signiert von nationalen Gesundheitsbehörden. Wir identifizieren den Nachweis und zeigen Aussteller und Typ, dekodieren aber bewusst niemals Patientenname, Geburtsdatum oder Krankengeschichte. Ihre Wallet-App ist der richtige Ort dafür.
SMART Health Cards 🩺
Numerisch kodiertes JWS, das eine DEFLATE-komprimierte JSON-Payload mit FHIR-Ressourcen einbettet. Wird von Apple Wallet, dem Common Trust Network, US-Bundesstaaten, kanadischen Provinzen und mehreren Apothekenketten für Impf- und Labornachweise verwendet.
Wir zeigen: Aussteller-URL, ISO-Ausstellungszeitpunkt, Credential-Typ (covid19 / immunization / lab / usw.), FHIR-Version, Ressourcenanzahl und -typen.
Wir dekodieren niemals: Patientenname, Geburtsdatum, Impf-/Testdaten, einzelne FHIR-Ressourcen. Im Analyzer-Test-Suite verifiziert.
EU Digital COVID Certificate (HC1) 🇪🇺
Das HC1:-Präfix umhüllt eine base45 → DEFLATE → COSE_Sign1 → CBOR → CWT-Kette, die in einem EU-definierten HCERT-Claim endet. Wird in einigen Mitgliedstaaten noch für Nicht-COVID-Reisedokumente nach dem Ende des COVID-Notstands verwendet.
Wir zeigen: Ausstellerland (ISO 3166-1), Ausstellungszeitpunkt (not-before), Ablaufzeitpunkt, Schemaversion, Art des Nachweises (Impfung / Test / Genesung), Zielkrankheit (SNOMED-CT, „COVID-19“ angezeigt, nicht der Rohcode 840539006), Land der Impfung/des Tests, ausstellende Organisation, Dosis-Nummer / Gesamtdosen, Testtyp, Testergebnis.
Wir dekodieren niemals: Patientenname, Geburtsdatum, Impftermine, eindeutige Zertifikats-ID (UVCI). Testgegated.
Identitätsdokumente
Führerscheine, mobile IDs und digitale Identitätswallets. Der Barcode auf der Rückseite eines US-Führerscheins enthält alle Felder der Vorderseite. Der QR eines mobilen Führerscheins übermittelt einen Verbindungs-Handshake, damit ein Prüfer per NFC/BLE Attribute auslesen kann.
AAMVA driver license 🪪
Der PDF417-Barcode auf der Rückseite jedes US-amerikanischen und kanadischen Führerscheins. Subfile-Element-Format gemäß AAMVA Card Design Standard Anhang D.12.5.
Standardmäßig vertraulich: Führerscheinnummer und Geburtsdatum werden als aufdeckbare Felder dargestellt, damit ein Screenshot des Ergebnisses keinen Identitätsdiebstahl ermöglicht. Der Datenschutzhinweis macht darauf aufmerksam, dass Bars und Clubs beim Scannen von Ausweisen ALLE diese Daten erhalten, nicht nur das Alter des Inhabers.
Der mdoc:-QR, den Ihr iOS/Android-Mobilführerschein einem Prüfer vorzeigt. CBOR DeviceEngagement mit Cipher-Suite-Selektor, dem ephemeren öffentlichen Schlüssel des Inhabers und der Liste der Übertragungsmethoden, die der Prüfer verwenden kann.
Wir zeigen: Protokollversion, Cipher Suite (P-256 ECDH-ES + A256KW ist der heute obligatorische Standard), unterstützte Übertragungsmethoden (NFC / BLE / Wi-Fi Aware), Server-Retrieval-Host (wenn vorhanden).
Wir dekodieren niemals: die ephemeren Public-Key-Bytes des Inhabers (nur Länge wird angezeigt). Die tatsächlichen mDL-Attribute fließen über den ausgehandelten Kanal, nachdem der Prüfer eine Verbindung hergestellt hat – nie durch diesen Scanner.
OpenID4VP- und eudi-openid4vp-Schemata für grenzüberschreitende Identitätsnachweise. Rollout in den Mitgliedstaaten läuft 2024–2026.
Wir zeigen: Protokollfamilie (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, response_uri-Hostname, request_uri-Hostname für Signed-Request-Abläufe, response_mode.
DID URIs 🔑
Dezentrale Identifikatoren: did:web, did:key, did:ion, did:ebsi und andere Methoden.
Wir zeigen: DID-Methode, methodenspezifischer Identifikator, Service-Parameter, relativer Verweis, Verifikations-Fragment.
Authentifizierung & Passkeys
Die QR-Anmeldeabläufe, die jeden Account schützen (oder gefährden). Wir identifizieren jede Art und warnen deutlich, wenn ein QR Sie dazu bringt, die Anmeldung einer anderen Person abzuschließen statt Ihrer eigenen.
FIDO CTAP 2.2 hybrid 🗝️
Der geräteübergreifende Passkey-QR, den Ihr Laptop anzeigt, wenn Sie sich mit einem Passkey auf Ihrem Telefon anmelden. Base10-kodierte CBOR-Map mit öffentlichem Peer-Schlüssel, QR-Geheimnis, Operationshinweis, Tunnel-Server-Domain, Zeitstempel und State-Assistance-Flag.
Wir zeigen: Operation (make-credential / get-assertion / discoverable), Tunnel-Server-Domain (z. B. cable.ua5v.com), ISO-Zeitstempel, State-Assisted-Unterstützung, Peer-Pubkey-Länge, QR-Secret-Länge.
Harter Hinweis: Das Scannen dieses QRs schließt eine Anmeldung ab, die JEMAND ANDERES AUF EINEM ANDEREN GERÄT gestartet hat. Wenn Sie selbst gerade keine Passkey-Anmeldung initiiert haben, lehnen Sie ab – Sie würden denjenigen, der diesen QR erstellt hat, in Ihr Konto einloggen.
RFC-4226/RFC-6238-Einmalkennwort-Setup-QRs. Die otpauth://-URI, die Ihre Bank oder Ihr Arbeits-App beim Einrichten eines Authenticators anzeigt.
Wir zeigen: Aussteller, Account, Algorithmus (SHA1 / SHA256 / SHA512), Stellen (6 / 8), Periode (TOTP) oder Zähler (HOTP), Aussteller-Icon-URL.
Standardmäßig vertraulich: Das Base32-Secret wird als aufdeckbares Feld dargestellt. Wir validieren auch das Base32-Secret und warnen deutlich bei Fehlformaten – Authenticator-Apps akzeptieren fehlerhafte Secrets stillschweigend und generieren dann Codes, die niemals verifiziert werden.
Der Google-Authenticator-Massenexport-QR. Enthält alle 2FA-Secrets des Authenticators auf einmal – ein Protobuf-Bundle mit N OtpParameters-Einträgen.
Wir zeigen (pro Eintrag): Aussteller, Account, Typ (HOTP / TOTP), Algorithmus, Stellen, Zähler, sowie Version/Batch-Metadaten. Die Offenlegung listet „Zugänge in diesem Bundle: ACME / alice@acme; GitHub / bob@github; …“ auf, damit Nutzer, die gerade migrieren, die Liste vor dem Import prüfen können.
Wir dekodieren niemals: die eigentlichen Secret-Seed-Bytes. Durch Tests mit Canary-Strings verifiziert, die niemals in Ergebnissen erscheinen dürfen.
Harte Warnung: Die Bedrohungsklasse ist „wahrscheinlich gefährlich“, es sei denn, der Nutzer befindet sich TATSÄCHLICH GERADE in einer eigenen Gerätemigration.
Die Klartextnachricht, die Ihre Wallet signiert, um einer Website die Kontrolle über eine Wallet-Adresse zu beweisen.
Wir zeigen: Site-Domain, Wallet-Adresse, Chain-ID, Nonce, Ablaufzeit.
Warnung: Lesen Sie Site und Statement sorgfältig – eine böswillige Site kann eine signierte SIWE-Nachricht verwenden, um Sie auf dieser Domain zu imitieren.
Reise & Tickets
IATA boarding pass (Resolution 792) ✈️
Der QR / Aztec / PDF417 auf Ihrer Fluggesellschafts-Bordkarte. Fester Header (60 Zeichen) plus 37 Pflichtzeichen pro Segment.
Wir zeigen (pro Segment): Carrier-Code + Flugnummer (ohne führende Nullen), Route (VON → NACH), Datum (Julianischer Tag → ISO mit intelligentem Jahresübergang), Sitzplatz, Klasse, Sequenznummer, Status (Geboardet / Lounge-Zugang / Sicherheitskontrolle umgehen / usw.). Mehrsegment-Pässe erhalten zeilenweise Segmentpräfixe.
Standardmäßig vertraulich: PNR / Buchungsreferenz wird als aufdeckbares Feld dargestellt – Ihr Name plus PNR reicht aus, um auf den meisten Airline-Websites auf die Buchung zuzugreifen. Stellen Sie Bordkartenfotos nicht öffentlich ins Netz.
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
Wir zeigen: SM-DP+ FQDN (der Carrier-Server, der mit Ihrem Telefon kommuniziert), Aktivierungscode, Kennzeichnung ob Bestätigungscode erforderlich.
Warnung: Ein installiertes eSIM-Profil kann SMS abfangen, einschließlich SMS-basierter 2FA-Codes. Prüfen Sie den SM-DP+ gegen Ihren echten Carrier (Airalo, Saily, Truphone, Google Fi usw.) anhand einer Allowlist, bevor Sie installieren.
MT:-präfixierter base38-kodierter Binärcode der Connectivity Standards Alliance. Herstellerunabhängige Smart-Home-Kopplung – funktioniert in Apple Home, Google Home, Amazon Alexa und Samsung SmartThings.
Wir zeigen: Vendor-ID, Product-ID, Discriminator, 8-stelliger Setup-Passcode (vertraulich maskiert), Inbetriebnahmeablauf, Discovery-Capability-Flags (Soft-AP / BLE / bestehendes IP-Netzwerk), Spec-Version.
Apple-HAP-Zubehöreinrichtungs-URI. Älter als Matter; wird noch auf vielen Zubehörgeräten verwendet, die Matter noch nicht unterstützen.
Wi-Fi Easy Connect (DPP) 📡
Wi-Fi-Alliance-Device-Provisioning-Protocol, der moderne Nachfolger von WPS. In Routern der Generation 2025 für QR-basiertes Geräte-Onboarding verwendet.
Bluetooth Auracast (BAU v1.0) 🎧
Bluetooth SIGs QR-Schema für LE-Audio-Broadcasts. Die Service-UUID 184F identifiziert Auracast; wir zeigen den Broadcast-Namen (base64-dekodiert) und den Verschlüsselungsstatus.
Krypto & Lightning
Bitcoin (BIP-21) ₿
Die Standard-Bitcoin-Zahlungs-URI. Wir zeigen Adresse, Betrag (mit BTC/Sat-Einheit), Label, Nachricht, PayJoin-Endpoint (pj=), BIP-72-Payment-Request-URL (r=), Pflichtparameter (req-*), Lightning-Fallback.
Ethereum (EIP-681) ⟠
Ethereum-Payment-Request-URI mit Chain-Auswahl. Wir dekodieren Empfänger vs. Vertrag, Chain-ID mit verständlichem Label (Ethereum Mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), Wert (Wei → ETH/Gwei verständlich formatiert), Funktionsaufrufname, ERC-20-Transfer-Argumente.
Warnung: Ein Vertragsaufruf ist nicht dasselbe wie eine einfache Überweisung – Wallet-Drainer setzen darauf, dass Nutzer den Unterschied nicht bemerken.
WalletConnect (ERC-1328) 🔗
Die dApp-Wallet-Kopplung-URI. Wir zeigen Version (v2 ist aktuell; v1 ist veraltet und schwächer), Topic, Relay-Protokoll, symmetrischer Session-Schlüssel (vertraulich maskiert).
BOLT-12-Angebote (lno1…) sind wiederverwendbare Lightning-Zahlungsanforderungen. LNURL (lnurl1…) kodiert eine HTTPS-Endpunkt-URL in Bech32, die Ihre Wallet aufruft, um eine Rechnung, Abhebung, Kanalröffnung oder Authentifizierung abzurufen.
Cashu ecash 🪙
Bearer-Ecash-Token. Anders als jedes andere Kryptoformat gilt: Der QR IST das Geld – wer ihn fotografiert, kann ihn ausgeben.
Standardmäßig vertraulich: Token-String maskiert; das Ergebnis warnt deutlich, dass der QR unverbrauchten Wert enthält.
nsec vertraulich: Ein Nostr-Privatschlüssel in einem QR bedeutet, dass die Identität des Inhabers kompromittiert wurde. Wir markieren dies als Credential-Leak.
Industrie & Regulierung
GS1 Digital Link 📦
Der Standard, der 1-D-Barcodes bei Konsumgütern ablösen wird. Application Identifiers im URL-Pfad kodieren GTIN, Charge/Los, Herstellungs-/Ablaufdatum, Seriennummer und mehr.
Wir zeigen: GTIN (01), Charge/Los (10), Herstellungsdatum (11), Mindesthaltbarkeitsdatum (15), Ablaufdatum (17), Seriennummer (21) sowie weitere AIs als benannte Felder.
EU-Regulierung schreibt ab 2027 vor, dass jedes Konsumgüterprodukt einen digitalen Pass (Nachhaltigkeit, Herkunft, Reparaturinformationen) tragen muss. Basiert auf GS1-Digital-Link-URLs, die auf produktspezifische Passportseiten verweisen.
Der QR selbst wird heute über unseren GS1-Digital-Link-Analyzer dekodiert; den Passportinhalt über die URL hinaus veröffentlicht jeder Hersteller selbst.
WireGuard-VPN-Konfiguration im INI-Format. Wir zeigen Interface-Adresse, DNS, Listen-Port, Peer-Endpoint, erlaubte IPs, Persistent Keepalive, Anzahl weiterer Peers.
Standardmäßig vertraulich: Interface-Privatschlüssel und Preshared-Key werden als aufdeckbare Felder dargestellt. Warnung wenn allowed-IPs 0.0.0.0/0 ist (Full-Tunnel: jedes Byte Ihres Datenverkehrs läuft durch den Server einer anderen Person).
SSH public key 🔑
OpenSSH-authorized_keys-Format (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Wir zeigen Algorithmus, Kommentar und Schlüssellänge.
X.509 certificate / JWT 📜
PEM-codierte X.509-Zertifikate und rohe JWT-Compact-Serialisierungen. Wir traversieren das Zertifikat per DER, um Subject-CN/O, Issuer-CN, NotBefore/NotAfter und die Bit-Länge des öffentlichen Schlüssels zu extrahieren. Abgelaufene Zertifikate werden markiert.
JWT-Datenschutz: Wir zeigen alg + typ aus dem Header, dekodieren aber NIEMALS die JWT-Payload-Claims – diese können Account-IDs, Scopes oder andere Geheimnisse enthalten, die nicht in Scan-Ergebnisse gehören.
PGP key block 🔑
OpenPGP-PUBLIC/PRIVATE-KEY-Block. Wir zeigen nur das Format; das Schlüsselmaterial ist maskiert. PRIVATE-KEY-Blöcke erhalten einen deutlichen Hinweis „Diesen QR nicht teilen“.
Symbologien, die wir dekodieren (der visuelle Code selbst)
Eine Symbologie ist der *Container* – die Form aus Punkten und Quadraten. Die Standards oben sind der *Payload* – was drin ist. Unser Scanner liest jede offene Symbologie und übergibt den dekodierten Text an den richtigen Analyzer oben.
QR Code (ISO/IEC 18004) ⬛
Modell 1 (Original 1994), Modell 2 (aktueller globaler Standard), Micro QR (kleine Komponenten) und rechteckiger Micro QR (rMQR, ISO/IEC 23941:2022, Schmallabels wie Reagenzgläser).
Aztec Code (ISO/IEC 24778) ▣
Die Bullseye-Finder-Symbologie, die auf Eurostar-, SBB- und vielen europäischen Transit-Bordkarten verwendet wird.
Kompakte Kleinformat-Symbologie. Verwendet von GS1 (Einzelhandel), DSCSA (Pharma), MIL-STD-130 (Verteidigung), ATA Spec 2000 (Luftfahrt) und ISBT 128 (Blutprodukte).
EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF – die linearen Barcodes an jeder Supermarktkasse und auf jedem Versandlabel.
Warum das wichtig ist
Die Sicherheit eines QRs ist nicht die Sicherheit seiner URL – es ist die Sicherheit des Standards, der regelt, was drin ist. Ein Zahlungs-QR ist gefährlich, weil jemand den Aufkleber ausgetauscht hat; ein Passkey-QR ist gefährlich, weil sich jemand als Sie anmelden will; ein Impfnachweis-QR ist gefährlich wegen desjenigen, der den Scanner hält. Wir modellieren jeden einzeln gegen sein eigenes Bedrohungsmodell, mit Feld-für-Feld-Dekodierung statt Raten.
Jeder Analyzer oben legt offen, was er zeigt und was er bewusst maskiert – damit Sie unsere Aussagen durch Lesen der Ergebnisausgabe prüfen können, ohne einer Black Box vertrauen zu müssen.