Stakeholder Pack

QR-Sicherheit gehört in jede Ausschreibung

Wenn Ihre Stadt QR-gestützte Zahlungen ausschreibt, brauchen Sie prüfbare Mindestanforderungen. QRSpec liefert die Klauseln, die das ermöglichen.

Ausgangslage

Was in heutigen Ausschreibungen fehlt

Keine QR-spezifischen Anforderungen

Ausschreibungen definieren Zahlungssysteme — aber nicht, wie die QR-Codes selbst gesichert sein müssen. Ein Sticker-Angriff ist kein IT-Sicherheitsproblem im klassischen Sinn.

Haftung bleibt ungeklärt

Wenn ein manipulierter QR-Code Bürger auf eine Phishing-Seite leitet: Haftet die Stadt? Der Betreiber? Der Zahlungsdienstleister? Ohne vertragliche Klärung haftet im Zweifel jeder.

Kein Ausschlusskriterium

Ohne definierte Mindestanforderungen können Sie einen Anbieter nicht ablehnen, weil seine QR-Codes unsicher betrieben werden. Es fehlt die Rechtsgrundlage.

Kein Nachweis im Schadensfall

Ohne Asset-Register, Zugriffsprotokolle und dokumentierte Incident-Prozesse gibt es nach einem Vorfall nichts Belastbares. Die Haftungsfrage bleibt offen.

Vergabeklauseln

9 Anforderungen — direkt einsetzbar

Jede Klausel adressiert ein konkretes operatives Risiko. Zusammen bilden sie die Mindestanforderungen, die in Vergabeunterlagen eingefügt werden können.

Jeder QR-Code ist einem registrierten Asset mit eindeutiger ID zugeordnet.
Ziel-URLs dürfen ausschliesslich auf freigegebene Domains verweisen.
Es darf maximal ein Redirect erfolgen; URL-Shortener sind unzulässig.
Es ist ausschliesslich HTTPS mit gültigem Zertifikat zu verwenden.
Jeder QR-Code muss einen aktiv/inaktiv-Zustand besitzen.
Eine Deaktivierung (Kill-Switch) muss innerhalb von maximal 60 Minuten möglich sein.
Zugriffe und Weiterleitungen müssen protokolliert werden.
Es muss eine dokumentierte Incident-Response-Prozedur existieren.
Physische Manipulation (z. B. Überkleben) muss organisatorisch überwacht werden.

Anbieter haben die Einhaltung nachzuweisen. Nicht-konforme Systeme werden vom Verfahren ausgeschlossen.

Nachweis-Matrix

Welcher Akteur muss was nachweisen

Die Matrix zeigt, welcher Lieferkettenakteur welchen Nachweis erbringen muss. Sie können diese Tabelle direkt in Ihr Pflichtenheft übernehmen.

Anforderung	Nachweispflicht	Nachweis-Artefakt
Asset Registry	Betreiber	Export Asset-Liste
Domain Whitelist	Betreiber	Konfiguration + Change-Log
HTTPS / Zertifikat	Betreiber + Zahlungsanbieter	Scanner-Report
Redirect Control	Betreiber	Scanner-Report
Kill-Switch SLA	Betreiber	Deaktivierungs-Log
Incident Response	Betreiber	Prozessdokumentation
Incident Logging	Betreiber	Zugriffs-Protokolle
Physische Prüfung	Wartungsdienst	Prüfprotokoll + Fotos

Lieferumfang

QRSpec Procurement Pack

Alle Artefakte, die eine Vergabestelle braucht, um QR-Sicherheit verbindlich zu fordern.

Vergabeklauseln (9 Klauseln)DOCX · copy-paste
Pflichtenheft-BausteineDOCX · modular
Nachweis-MatrixPDF · tabellarisch
Baseline SpecificationPDF · normativ
Bewertungsraster für AngeboteXLSX · scoring
Muster-AusschlussklauselDOCX · rechtlich

QR-Sicherheit in Ihre nächste Ausschreibung einbauen

Laden Sie das Procurement Pack herunter oder kontaktieren Sie uns für eine Einführung in Ihre Vergabeabteilung.

Procurement Pack anfragen