
QR-Code-Gutscheine gegen Betrug schützen: Die Einmal-Einlösung richtig aufsetzen
Warum ein QR-Gutschein Screenshots und Mehrfacheinlösung nur stoppt, wenn er dynamisch und tokenbasiert aufgebaut ist. Ein praktischer Leitfaden für Agenturen zu Einmal-Einlösung, Scan-Limits, Geofencing und rechtlichen Grundlagen.
ScanKit · Organization
· 21 Min. Lesezeit
Wer einen QR-Code auf einen Gutschein druckt, muss davon ausgehen, dass irgendjemand ihn irgendwann per Screenshot festhält und an eine Freundin oder einen Freund weiterschickt, in einer Rabatt-Gruppe postet oder einmal scannt, das Bild speichert und im nächsten Monat erneut versucht, ihn einzulösen. Die Frage, die für eine Agentur, die die Aktion betreut, wirklich zählt, ist nicht, ob das passiert. Sie lautet: Funktioniert das System auch dann noch richtig, wenn es passiert?
Die ehrliche Antwort: Das hängt vollständig davon ab, wie der Code aufgebaut wurde. Ein QR-Code, in den das Angebot direkt eincodiert ist, akzeptiert diesen Screenshot jedes Mal, weil es auf der anderen Seite schlicht nichts zu prüfen gibt. Ein QR-Code, der über einen Server umleitet und dahinter einen Einlösungsdatensatz führt, kann den zweiten Scan erkennen und ablehnen. Optisch dasselbe schwarz-weiße Quadrat, aber ein völlig anderes Ergebnis. Diesen Unterschied richtig zu verstehen und die passenden Schutzschichten darauf aufzubauen, entscheidet darüber, ob eine Gutschein-Aktion die Marge schützt oder sie unbemerkt aufzehrt.
Statische vs. dynamische QR-Gutscheine: die Weichenstellung, die alles entscheidet
Ein statischer QR-Code codiert das Ziel oder das Angebot selbst dauerhaft, und zwar im Moment seiner Erzeugung. Nach dem Druck lässt sich daran nichts mehr ändern, und beim Scannen wird auch nichts geprüft. Steckt der Rabatt direkt in dieser Nutzlast, honoriert jeder plausibel aussehende Scan das Angebot, egal ob es der erste oder der fünfzigste Scan ist und egal ob er vom Originaldruck stammt oder von einem Foto dieses Drucks, das in einem Gruppenchat geteilt wurde. Eine ausführlichere Erklärung, wie sich die beiden Code-Typen technisch unterscheiden, finden Sie in unserem Leitfaden zu dynamischen und statischen QR-Codes.
Ein dynamischer QR-Code codiert dagegen nur eine kurze Weiterleitungs-URL, nicht das Angebot selbst. Der Code bleibt unverändert; was beim Scannen passiert, entscheidet sich serverseitig, im Moment des Scans, anhand der Regeln, die für die Kampagne festgelegt wurden. Genau auf dieser Architektur baut die Einmal-Einlösung auf: Der Code ist im Grunde nur ein Schlüssel für eine Abfrage, und die Antwort auf die Frage "Ist das gültig?" liegt in einem Datenbankeintrag, der sich in dem Moment aktualisiert, in dem eine Einlösung stattfindet.
Deshalb fällt die Antwort auf die Frage "Kann jemand meinen QR-Gutschein per Screenshot kopieren und wiederverwenden?" je nach Code-Typ tatsächlich unterschiedlich aus. Ein Screenshot eines statischen Gutscheins ändert nichts, weil es nichts gibt, das entwertet werden könnte. Ein Screenshot eines dynamischen Gutscheins ändert am Code ebenfalls nichts, muss es aber auch nicht: Die erste erfolgreiche Einlösung setzt ein Flag, und jeder Scan danach, ob vom Originaldruck, von einem Foto oder von einem weitergeleiteten Bild, trifft auf dieselbe Antwort. Der Code muss gar nicht erkennen, dass ein Foto gemacht wurde. Er muss nur wissen, dass er bereits benutzt wurde.
Wie die Einmal-Einlösung technisch tatsächlich funktioniert
Hinter einem Einmal-QR-Gutschein steckt technisch gesehen ein Token, kein Gutschein im klassischen Sinn. Bei der Erzeugung des Codes legt die Plattform eine eindeutige Kennung an und speichert dazu einen Datensatz: noch nicht eingelöst, an ein bestimmtes Angebot gebunden, versehen mit den jeweils geltenden Regeln (Ablaufdatum, Filialstandort, maximale Anzahl an Scans). Der gedruckte QR-Code verweist lediglich auf dieses Token.
Scannt jemand den Code, schlägt der Server das Token nach und liefert einen von drei Zuständen zurück: gültig und noch nicht eingelöst, bereits eingelöst oder abgelaufen. Ist der Code gültig, kippt der Datensatz in derselben Transaktion, die den Rabatt anzeigt, auf "eingelöst" (häufig mit Zeitstempel, manchmal auch mit Standort), wodurch das Zeitfenster für einen zweiten, missbräuchlichen Scan geschlossen wird. Ist er es nicht, sehen Kundin, Kunde oder Personal eine eindeutige Ablehnung statt eines funktionierenden Rabatts.
Das ist ein Muster einzelner Anbieter, kein formaler Standard. ISO/IEC 18004, die Norm, die festlegt, wie QR-Codes codiert und gelesen werden, regelt nur das Symbol selbst: das Modulraster, die Fehlerkorrektur, die Art, wie ein Scanner die Daten aus dem Muster extrahiert. Was nach dem Auslesen der Daten passiert, sagt die Norm nicht, denn das ist Anwendungslogik, die der jeweilige Plattformanbieter selbst baut, nicht etwas, das das QR-Format vorschreibt. Bevor Sie davon ausgehen, dass jeder Anbieter von "dynamischen QR-Codes" die Einmal-Einlösung auf dieselbe Weise durchsetzt, lohnt sich ein genauerer Blick: Manche prüfen und entwerten den Code tatsächlich, andere zählen Scans nur für Analysezwecke mit und lassen jeden Scan durch, unabhängig von Tarif oder vorheriger Nutzung. Wenn die Einmal-Einlösung der eigentliche Zweck der Kampagne ist, sollten Sie sich bestätigen lassen, dass die Plattform eine zweite Einlösung tatsächlich blockiert und nicht nur protokolliert.
Schutzschichten, die den Unterschied wirklich tragen
Ein Einmal-Flag löst den einfachen Fall: ein Code, einmal eingelöst, fertig. Reale Kampagnen brauchen meist mehr als eine Schutzschicht, denn Betrugsversuche bleiben selten beim naheliegendsten Trick stehen.

Das Einmal-Token ist die Basis, um die sich jede weitere Schicht legt: 1) das Token selbst, geprüft und beim ersten Einlösen umgeschaltet, 2) eine Obergrenze für die Scan-Anzahl plus Ablauffenster, 3) ein Geofence, das die Einlösung an einen Standort bindet, 4) Geräte- und IP-Signale als unterstützende Prüfung, und 5) eine Login- oder Konto-Pflicht für Angebote, die wertvoll genug sind, um die zusätzliche Reibung zu rechtfertigen. Jede dieser Schichten ist optional, das Token nicht.
Scan-Obergrenzen und Zeitfenster sind die erste Schicht oberhalb der reinen Einmal-Einlösung. Ein Code lässt sich so konfigurieren, dass er statt genau einer Einlösung eine feste Anzahl zulässt, praktisch für einen Gutschein, der innerhalb eines Haushalts geteilt werden soll, und jeder Code kann nach einem festgelegten Zeitfenster automatisch ablaufen, sodass ein Gutschein aus einer Frühjahrskampagne im Dezember nicht plötzlich wieder auftaucht. Genau hier wird auch das nachträgliche Ändern des Ziels eines QR-Codes ohne Neudruck operativ relevant: Derselbe Mechanismus, der es erlaubt, einen aktiven Code umzuleiten, erlaubt es auch, ihn vorzeitig zu deaktivieren, falls sich eine Charge als kompromittiert herausstellt.
Geofencing bindet die Einlösung an einen Standort, sodass ein Code, der für eine bestimmte Filiale ausgegeben wurde, an einer anderen Adresse oder außerhalb eines definierten Radius um den Standort nicht akzeptiert wird. Das ist vor allem für Einzelhandels- und Gastronomiekunden mit mehreren Filialen relevant, bei denen ein in einer Filiale fotografierter Gutschein sonst überall einlösbar wäre.
Geräte-Fingerprinting ist die Schicht, die am häufigsten überschätzt wird. Fingerprinting bildet aus Browser- und Gerätesignalen eine wahrscheinlichkeitsbasierte Kennung und liefert einen Konfidenzwert, keine Gewissheit, und dieser Wert sinkt messbar bei Browsern mit stärkerem Tracking-Schutz wie Safaris Intelligent Tracking Prevention. Eine unabhängig geprüfte, branchenweite Falsch-Positiv-Rate speziell für QR-Einlösungs-Fingerprinting gibt es nicht; im Umlauf sind lediglich selbst berichtete Zahlen von Anbietern für Betrugserkennungsprodukte im Allgemeinen, nicht für diesen konkreten Anwendungsfall verifiziert. Betrachten Sie es als unterstützendes Signal, das ein verdächtiges Muster markieren kann, nicht als Schloss, das eine Wiederverwendung für sich allein verhindert.
IP-basierte Prüfungen haben eine ähnliche Einschränkung: Geteilte Netzwerke, NAT bei Mobilfunkanbietern und VPNs führen dazu, dass dieselbe IP-Adresse viele verschiedene Kundinnen und Kunden repräsentieren kann oder ein einzelner Kunde an einem Tag von mehreren IPs zu kommen scheint. Nützlich als schwaches Signal in Kombination mit anderen Prüfungen, unzuverlässig als alleinige Zugangssperre.
Ein Konto oder Login vor der Einlösung zu verlangen ist nach dem Einmal-Token selbst die stärkste praktische Schutzmaßnahme, weil sie eine Einlösung an eine Identität statt an ein Gerät oder Netzwerk bindet. Das erzeugt zusätzliche Reibung und eignet sich deshalb eher für hochwertigere Angebote (ein Gratisprodukt, ein hoher Prozentrabatt) als für einen Fünf-Prozent-Rabatt, bei dem die Reibung mehr abgebrochene Einlösungen kosten würde, als sie an Betrug verhindert.
Keine dieser Schichten ist dafür gedacht, allein zu funktionieren. Für eine Einzelhandels-Gutscheinkampagne ist eine sinnvolle Grundausstattung: Einmal-Token plus Ablauffenster plus, bei Kunden mit mehreren Filialen, ein Geofence. Login-Pflicht heben Sie sich für Angebote auf, die groß genug sind, um sie zu rechtfertigen.
Was passiert, wenn jemand einen bereits genutzten Code einlösen will
Das übliche Vorgehen der Anbieter ist hier einfach und bewusst ohne manuelle Übersteuerung angelegt. Das Personal sieht auf dem Scan-Bildschirm einen der drei oben genannten Zustände, und Plattformen, die diesen Ablauf dokumentieren, sind eindeutig: Ein Ergebnis "bereits genutzt" oder "abgelaufen" soll höflich abgelehnt werden, nicht manuell durchgewinkt, weil eine manuelle Übersteuerung den gesamten Zweck der serverseitigen Einmal-Durchsetzung untergraben würde. Es gibt kein dokumentiertes Branchenstandard-Ersatzangebot, das automatisch erscheint, wenn ein Code abgelehnt wird. Wenn eine Kampagne eine Auffanglösung will (einen kleineren Rabatt, einen Hinweis wie "Melden Sie sich stattdessen für unsere Liste an"), muss das bewusst in die Landingpage-Erfahrung eingebaut werden und darf nicht als Standardverhalten der Plattform vorausgesetzt werden.
Brauchen Sie wirklich eine Kassensystem-Anbindung?
Nein, und das ist einer der nützlicheren Punkte, wenn eine Agentur einem Kunden ohne moderne Kassensoftware ein Angebot macht. Das gängige Muster ohne Anbindung ist ein Prüfbildschirm: Das Personal öffnet einen Scanner (oft nur die Handykamera oder ein einfaches Web-Scan-Tool), der den Code gegen den Einlösungsdatensatz prüft und gültig, genutzt oder abgelaufen anzeigt, woraufhin der Rabatt manuell an der bestehenden Kasse gewährt wird. Die QR-Plattform muss dabei nie mit der Kasse kommunizieren, sie muss nur eine einzige Frage zuverlässig beantworten. Betriebe mit modernen Kassensystemen können die Einlösung direkt in die Kasse einbinden, aber für den großen Teil der kleinen und mittleren Einzelhandels- und Gastronomiekunden, mit denen Agenturen tatsächlich arbeiten, ist die manuelle Prüfung sowohl die einfachere Umsetzung als auch das, was die meisten Anbieter als Standardpraxis dokumentieren.
Was Gutscheinbetrug wirklich kostet (und welche Zahlen Sie besser weglassen)
Präzise, überprüfbare Zahlen speziell zu QR-Gutscheinbetrug sind schwer zu finden, und einige weitverbreitete Statistiken halten einer Quellenprüfung nicht stand. Eine oft zitierte Zahl von "300 bis 600 Millionen Dollar pro Jahr" geht auf eine Branchengruppe zurück, deren ursprüngliche Methodik nicht öffentlich nachvollziehbar ist, und sie stammt aus einer Zeit vor dem QR-Gutschein-Format überhaupt. Breiter gefasste Einzelhandels-Betrugsstatistiken im Bereich mehrerer Hundert Milliarden messen so gut wie immer Retourenbetrug, eine eigene Kategorie, nicht Gutscheinmissbrauch. Keine der beiden Zahlen gehört in ein seriöses Briefing.
Was hingegen belastbar ist: Eine Verbraucherstudie von Inmar Intelligence aus dem Jahr 2021 ergab, dass 52 Prozent der Befragten in den USA zugaben, schon einmal versucht zu haben, einen abgelaufenen Gutschein einzulösen, eine selbst berichtete Zahl zum Konsumverhalten, keine Schadensschätzung eines Händlers, aber eine reale und zuordenbare. Am ernsteren Ende des Spektrums verfolgte das US-Justizministerium einen Ring für gefälschte Gutscheine mit Sitz in Virginia Beach, der Händlern und Herstellern einen Schaden von mehr als 31 Millionen Dollar verursachte, dokumentiert in Gerichtsakten und nicht in einer Marketingumfrage. Die ehrliche Einordnung für einen Kunden lautet: Gutscheinmissbrauch ist im kleinen, gelegenheitsbasierten Maßstab üblich (ein abgelaufener Code, der trotzdem probiert wird, ein mit einem Freund geteilter Code) und im organisierten, gewerblichen Maßstab selten, aber real, und die Einmal-Durchsetzung bei QR-Codes zielt genau auf die häufige, gelegenheitsbasierte Variante ab.
Rechtliche Grundlage: Darf ein Händler einen bereits genutzten oder per Screenshot kopierten Gutschein einfach ablehnen?
Ja, und das ist unkomplizierter, als es zunächst wirkt. In den USA regeln die Vorgaben der FTC und die Vorschrift in 16 CFR 251.1 die Offenlegungspflichten des Ausstellers: Die Bedingungen eines Angebots müssen bei Ausgabe des Gutscheins klar und deutlich erkennbar sein. Weder diese Vorschrift noch vergleichbare Verbraucherschutzregelungen anderswo verpflichten einen Händler dazu, einen Gutschein außerhalb seiner festgelegten Bedingungen zu akzeptieren. Ein bereits eingelöster Code, oder einer, der als Screenshot vorgelegt wird, nachdem das Original als Einmal-Angebot ausgewiesen war, liegt schlicht außerhalb der Bedingungen, denen der Kunde beim Scannen zugestimmt hat. Ein konkretes Gerichtsurteil zum QR-Screenshot-Szenario gibt es nicht, gerade weil keines nötig ist: Der Fall fällt unter dieselbe Standardlogik der Angebotsbedingungen, die schon immer auf Papiergutscheine mit dem Aufdruck "ein Exemplar pro Kunde" angewendet wurde.
Reale Kampagnen zur Einordnung
Danones Aktion "Alimenta Sonrisas" in Spanien gab QR-Codes aus, die gegen Rabatte und Treuepunkte eingelöst werden konnten, mit bis zu 60 Millionen eindeutigen Code-Scans pro Monat auf dem Höhepunkt und 30.000 App-Downloads in den ersten drei Wochen, ein tatsächlich groß angelegter Einmal-Einlösungsbetrieb, auch wenn die Details zum Betrugsschutz dieses konkreten Programms nicht öffentlich sind. Das Treue- und Angebotsprogramm von Genghis Grill auf der Punchh-Plattform meldete nach der Digitalisierung seines Gutschein- und Treueprozesses einen Anstieg der Angebotseinlösungen um 90 Prozent, ein konkretes Beispiel dafür, dass Einlösungs-Tracking ebenso ein Wachstumshebel wie eine Betrugskontrolle ist: genau zu wissen, welche Angebote von wem und wo genutzt werden, sind Daten, die ein Papier-Gutscheinheft einer Restaurantgruppe nie liefern konnte. Außerhalb des QR-Kontexts folgt auch Coachellas Umstieg auf verschlüsselte RFID-Armbänder für den Einlass derselben Einmal-Logik, nur bei einem anderen physischen Token: eine eindeutige Kennung, die geprüft und entwertet wird, statt ein statisches Merkmal, das jeder mit einem Foto davon wiederverwenden könnte. Es lohnt sich, im Hinterkopf zu behalten, dass sich dasselbe Prinzip von einem Fünf-Prozent-Rabattcode bis zur Zutrittskontrolle im Festival-Maßstab skalieren lässt.
Die Kampagne aufsetzen: eine praktische Schrittfolge für Agenturen
Beginnen Sie beim Angebot und der Betrugstoleranz, die es tatsächlich braucht, nicht bei der maximal verfügbaren Sicherheit. Ein Fünf-Prozent-Rabatt auf ein margenschwaches Produkt braucht keine Login-Pflicht, ein kostenloses Premiumprodukt hingegen schon.
- Codes im Batch erzeugen, ein Token pro geplanter Einlösung. Für jede Charge, die über eine Handvoll Codes hinausgeht, muss das ein Massenvorgang mit eindeutigen Nutzlasten sein, kein kopierter und eingefügter Einzelcode. Die technischen Details, wie sich das ohne doppelte oder kollidierende Codes umsetzen lässt, finden Sie in unserem Leitfaden zum Massenerzeugen von QR-Codes.
- Einlösungsregeln pro Kampagne festlegen, nicht pro Code. Legen Sie die Scan-Obergrenze (meist eins), das Ablauffenster und ob ein Geofence gilt, schon vor dem Druck fest, denn eine Änderung der Angebotsbedingungen nach dem Druck bedeutet, sich auf die Weiterleitungsebene zu verlassen, statt irgendetwas neu zu drucken.
- Den Prüfungs-Workflow wählen, den der Betrieb des Kunden tatsächlich unterstützt. Für die meisten kleinen und mittleren Einzelhandels- und Gastronomiekunden ein Prüfbildschirm ohne Kassenanbindung, eine direkte Kassenintegration nur dort, wo das bestehende Kassensystem sie bereits unterstützt.
- Den Kanal festlegen. Gutscheine, die per Direktmailing, über einen Tischaufsteller im Restaurant oder auf einer Veranstaltung oder einem Messestand verteilt werden, haben jeweils unterschiedliche Betrugsprofile: Ein Direktmailing-Code, der an einen namentlich bekannten Haushalt gebunden ist, verhält sich anders als einer, der an anonyme Laufkundschaft ausgegeben wird.
- Einlösungen als Kampagnenkennzahl erfassen, nicht nur als Sicherheitsprotokoll. Einlösungsrate, Zeit bis zur Einlösung und Standortverteilung sind für ein Kundenreview wirklich nützliche Reporting-Zahlen, getrennt von den reinen Scan-Zahlen aus unserem Leitfaden zu QR-Code-Analysen, und sie dienen dem Kunden gegenüber zugleich als Beleg dafür, dass die Kampagne, samt ihrer Betrugsschutzmaßnahmen, funktioniert hat.
- Das Ganze als eine Schicht eines umfassenderen Sicherheitskonzepts betrachten, nicht als dessen gesamten Umfang. Gutscheinbetrug ist nur ein schmaler Ausschnitt der Betrugs- und Missbrauchsfläche, der eine QR-Kampagne ausgesetzt sein kann; unser Leitfaden zur QR-Code-Sicherheit behandelt das breitere Spektrum, wie ein Kampagnencode gekapert oder missbraucht werden kann.
Genau diese Disziplin beim Einlösungs-Tracking macht es später möglich, den tatsächlichen ROI der Kampagne zu berechnen: Eine Einlösungszahl, die auf echten, bereinigten Scans beruht, ist eine Zahl, der ein Kunde auf eine Weise vertrauen kann, wie es bei rohen Scan-Zahlen nie ganz der Fall ist, weil rohe Scans einen echten Kunden mit fünf Versuchen gegen denselben Code vermischen.
Häufig gestellte Fragen
Kann man einen QR-Code-Gutschein per Screenshot kopieren und mehrfach nutzen?
Nur, wenn der Gutschein statisch ist, das heißt, wenn das Angebot direkt in den Code eincodiert ist und beim Scannen nichts geprüft wird. Ein dynamischer, tokenbasierter Gutschein lässt sich in dem Moment als eingelöst markieren, in dem er benutzt wird, sodass ein Screenshot davon an derselben Prüfung scheitert wie ein zweiter Versuch mit dem Originaldruck.
Was ist der Unterschied zwischen einem Einmal- und einem Mehrfach-QR-Gutschein?
Ein Einmal-Gutschein erlaubt genau eine erfolgreiche Einlösung, bevor der Datensatz auf "genutzt" umspringt. Ein Mehrfach-Gutschein erlaubt eine festgelegte Anzahl, praktisch für Angebote, die innerhalb eines Haushalts oder Teams geteilt werden sollen, und beide werden über dasselbe zugrunde liegende Token konfiguriert, nur mit einer unterschiedlichen Obergrenze.
Laufen QR-Gutscheine automatisch ab?
Nur, wenn die Plattform entsprechend konfiguriert ist. Der QR-Code selbst trägt kein Ablaufdatum in sich, auch wenn eine aufgedruckte Zeile "gültig bis" das nahelegt; der Ablauf wird serverseitig anhand des Token-Datensatzes durchgesetzt, weshalb sich ein Ablaufdatum nach dem Druck auch verlängern oder verkürzen lässt, ohne irgendetwas neu drucken zu müssen.
Reicht Geräte-Fingerprinting allein aus, um QR-Gutscheinbetrug zu stoppen?
Nein. Fingerprinting liefert einen Konfidenzwert, keine Gewissheit, und dieser Wert sinkt messbar bei Browsern mit stärkerem Tracking-Schutz. Es ist ein nützliches unterstützendes Signal in Kombination mit Einmal-Token und Ablaufregeln, keine eigenständige Zugangssperre.
Brauche ich eine Kassensystem-Anbindung für eine Einmal-QR-Gutscheinaktion?
Nein. Das gängige Muster für kleine und mittlere Einzelhandels- und Gastronomiekunden ist ein Prüfbildschirm: Das Personal scannt den Code, sieht, ob er gültig, genutzt oder abgelaufen ist, und gewährt den Rabatt manuell an der bestehenden Kasse. Eine Kassenanbindung ist eine Annehmlichkeit für größere Kunden, deren Systeme sie bereits unterstützen, keine Voraussetzung.
Lässt sich ein Gutschein auf eine einzelne Filiale beschränken?
Ja, über Geofencing, das die Einlösung an einen definierten Radius um eine bestimmte Adresse bindet. Das ist die Standardlösung für Kunden mit mehreren Filialen, bei denen ein in einer Filiale fotografierter Code sonst in jeder Filiale einlösbar wäre.
Darf ein Unternehmen einen bereits genutzten oder per Screenshot kopierten Gutschein rechtlich ablehnen?
Ja. Gutscheinbedingungen müssen lediglich bei Ausgabe klar und deutlich erkennbar sein; einen Gutschein außerhalb dieser festgelegten Bedingungen zu akzeptieren, einschließlich eines Duplikats, das vorgelegt wird, nachdem das Original bereits eingelöst wurde, ist weder in den USA noch unter vergleichbaren Verbraucherschutzregelungen anderswo eine rechtliche Pflicht.
Wie viel kostet Gutscheinbetrug Händler tatsächlich?
Dazu gibt es keine sauber belegte, QR-spezifische Zahl. Dokumentiert ist Folgendes: Eine Inmar-Intelligence-Umfrage aus dem Jahr 2021 ergab, dass 52 Prozent der befragten US-Verbraucher zugaben, schon einmal versucht zu haben, einen abgelaufenen Gutschein einzulösen, und US-Bundesstaatsanwälte dokumentierten einen Ring für gefälschte Gutscheine, der Händlern einen Schaden von mehr als 31 Millionen Dollar verursachte. Häufig wiederholte Zahlen von "mehreren Hundert Millionen pro Jahr" speziell für Gutscheinbetrug lassen sich nicht auf eine öffentliche Methodik zurückführen und sollten in kundenseitigem Material besser vermieden werden.
Die Kurzfassung
Ein QR-Gutschein verhindert Betrug nur, wenn er dafür gebaut wurde. Ein statischer Code mit fest eincodiertem Angebot honoriert jeden Scan, der gültig aussieht, ob per Screenshot oder nicht. Ein dynamischer, tokenbasierter Code kann in dem Moment, in dem er genutzt wird, auf "bereits eingelöst" umschalten, und genau dieser eine Unterschied, nicht noch so viel Fingerprinting oder IP-Prüfung obendrauf, schließt die Screenshot-Lücke tatsächlich. Legen Sie Scan-Obergrenzen, Ablauffenster und Geofencing dort auf diese Einmal-Basis, wo es nötig ist, behandeln Sie Geräte-Fingerprinting und IP-Prüfungen als unterstützende Signale statt als Zugangssperren, und richten Sie die Reibung, insbesondere die Login-Pflicht, nach dem Wert des Angebots aus, statt sie überall anzuwenden. Bevor die nächste Gutscheinkampagne in den Druck geht, lassen Sie sich von der Plattform, der eigenen oder der des Kunden, bestätigen, dass ein zweiter Scan gegen einen bereits eingelösten Code tatsächlich abgelehnt und nicht nur protokolliert wird. Genau diese eine Prüfung entscheidet, ob eine Aktion die Marge schützt oder das nur vorgibt.
Mehr lesen

· 18 Min. Lesezeit
QR-Codes auf Fahrzeug-Wraps und Transit-Werbung: Größe, Platzierung, Kosten
Wie groß ein QR-Code auf einem Fahrzeug-Wrap sein muss, wo er auf gewölbten Panels hinkommt, was Flotten- und Transit-Werbung wirklich kostet und welche Statistiken man getrost ignorieren kann.
Weiterlesen
· 18 Min. Lesezeit
Warum ist meine QR-Code-Scan-Zahl so hoch? Bots vs. echte Scans erklärt
E-Mail-Sicherheitssoftware und Messaging-Apps rufen QR-Ziel-URLs automatisch ab, lange bevor ein Mensch scannt. So erkennen und filtern Sie Bot-Traffic und melden Kunden eine Scan-Zahl, die sich verteidigen lässt.
Weiterlesen