Betreiber setzen QR-Codes für Zahlungen ein, ohne dass ein Betriebsstandard existiert. Für Versicherer bedeutet das: kein Benchmark, keine Obliegenheit, keine Nachweisbasis. QRSpec ändert das.
Ohne definierten Betriebsstandard für QR-Codes im öffentlichen Raum gibt es keinen Massstab, gegen den Sie die Sorgfalt eines Betreibers bewerten können.
Wenn Sie nicht wissen, welche Mindestmassnahmen zumutbar sind, können Sie keine Obliegenheiten formulieren. Das Risiko bleibt diffus — und damit schlecht kalkulierbar.
Ohne Zugriffsprotokolle, Asset-Register und dokumentierte Incident-Prozesse gibt es nach einem Vorfall nichts, was den Hergang belegt. Die Regulierung bleibt ein Nullsummenspiel.
Selbst Betreiber, die sorgfältig arbeiten, haben keine standardisierte Form, dies gegenüber Versicherern zu dokumentieren. Gute Praxis bleibt unsichtbar.
Jeder QRSpec-Control mindert ein konkretes operatives Risiko. Die Tabelle zeigt die Zuordnung — als Grundlage für Ihre Risikobewertung und Obliegenheitsformulierung.
| Control | Risiko ohne Control | Schwere | Versichererrelevanz |
|---|---|---|---|
| Asset Registry | Kompromittierte Codes nicht identifizierbar | Hoch | Kein Asset-Inventar = kein Schadensnachweis |
| Domain Control | Weiterleitung auf beliebige Domains möglich | Hoch | Phishing-Schäden direkt zurechenbar |
| HTTPS | Daten im Klartext, MitM-Angriffe möglich | Mittel | Datenschutz-Obliegenheit betroffen |
| Redirect Control | Redirect-Ketten verschleiern Ziel | Mittel | Verschleierte Angriffe erschweren Regulierung |
| Kill-Switch | Kompromittierte Codes bleiben tagelang aktiv | Hoch | Schadenminderungspflicht nicht erfüllbar |
| Incident Logging | Kein Hergangsnachweis nach Vorfall | Hoch | Regulierung ohne Datenbasis unmöglich |
| Incident Response | Keine koordinierte Reaktion | Mittel | Verzögerte Reaktion erhöht Schadensumme |
| Tamper Awareness | Physische Manipulation bleibt unbemerkt | Hoch | Häufigster Angriffsvektor, höchste Exposition |
QRSpec definiert zumutbare Mindestmassnahmen für den QR-Betrieb im öffentlichen Raum. Sie können diese als Obliegenheiten in Ihre Policen übernehmen: „Der Versicherungsnehmer muss die QRSpec Core Baseline einhalten."
QRSpec-konforme Betreiber erzeugen standardisierte Nachweise — Asset-Listen, Zugriffsprotokolle, Deaktivierungszeiten, Prüfberichte. Im Schadenfall liegen belastbare Daten vor.
| Artefakt | Relevanz im Schadenfall |
|---|---|
| Asset-Register (Export) | Welcher Code war wo aktiv |
| Zugriffs-Log | Wann wurde der Code gescannt, wohin weitergeleitet |
| Deaktivierungs-Log | Wie schnell wurde reagiert (SLA-Nachweis) |
| Domain-Whitelist + Change-Log | War die Ziel-Domain zum Zeitpunkt freigegeben |
| Prüfprotokoll (physisch) | Wann wurde der Code zuletzt inspiziert |
| Incident-Report | Dokumentierter Ablauf des Vorfalls |
Betreiber mit QRSpec-Konformität haben ein nachweisbar geringeres Risikoprofil als Betreiber ohne Standard. Das ermöglicht eine Differenzierung in der Prämienkalkulation und im Underwriting.
Wir zeigen Ihnen in 30 Minuten, wie QRSpec Ihre Risikobewertung für QR-exponierte Betreiber standardisiert.
Alignment Pack anfragen