Stell dir vor: Du verkaufst 500 Tickets für dein Festival. Drei Wochen später postet jemand den QR-Code seines Tickets in einer WhatsApp-Gruppe. Bis zum Einlass am Samstag haben ihn 50 Personen gespeichert. Du hast keine Möglichkeit, das zu bemerken – und am Einlass auch keine, es zu verhindern.
Das ist kein Worst-Case-Szenario. Das ist der aktuelle Stand der Technik bei klassischen QR-Code-Tickets.
Warum ein QR-Code keine Sicherheit bietet
Ein QR-Code ist nichts anderes als eine maschinenlesbare Darstellung einer Zeichenkette – typischerweise eine URL oder eine ID. Das Scan-System schaut dann in einer Datenbank nach: Existiert diese ID? Wurde sie schon eingelöst?
Das klingt nach Sicherheit. Aber es hat drei fundamentale Schwächen:
Problem 1 – Kopierbarkeit: Ein QR-Code ist eine Bilddatei. Screenshot → Teilen → fertig. Das Bild ist identisch, die ID ist dieselbe.
Problem 2 – Race Condition: Beim Einlass kommt es darauf an, wer zuerst scannt. Wer zuerst da ist, kommt rein. Der Ticketkäufer kann leer ausgehen.
Problem 3 – Offline-Blindheit: Funktioniert der Scanner offline, kann er nur prüfen, ob der Code ein gültiges Format hat – nicht, ob er bereits eingelöst wurde.
Das Ausmaß des Problems
Ticket-Betrug in Europa ist kein Randproblem. Die EUIPO schätzt die jährlichen Schäden durch gefälschte oder duplizierte Eintrittskarten auf über 500 Millionen Euro.
| Angriffsszenario | Klassischer QR-Code | Entryix (signiert) |
|---|---|---|
| Screenshot teilen | Funktioniert – identische ID | Ungültig – Signatur gerätegebunden |
| QR-Code ausdrucken | Wer zuerst scannt gewinnt | Ungültig – ECDSA-Prüfung schlägt fehl |
| Ticket weiterverkaufen | Unkontrolliert möglich | Nur via autorisiertem Transfer |
| Offline-Einlass | Keine Duplikat-Erkennung | Signatur lokal verifizierbar |
| Ticket fälschen | Mit Bildbearbeitung möglich | Mathematisch ausgeschlossen |
Wie kryptografische Signaturen das lösen
Entryix verwendet ECDSA-Signaturen nach dem ISO-18013-5-Standard – demselben Standard, auf dem der digitale EU-Führerschein basiert. Der Scanner prüft beim Einlass: Stimmt die Signatur? Wurde sie mit dem korrekten Schlüssel erstellt? Passt sie zu genau diesen Ticket-Daten?
Wird auch nur ein Zeichen im Ticket verändert – oder versucht jemand, die Signatur zu übertragen – schlägt die Prüfung unweigerlich fehl. Das ist keine Sicherheitsrichtlinie, sondern Mathematik.
Ergebnis: Ein Screenshot eines Entryix-Tickets ist wertlos. Der QR-Code enthält eine Signatur, die für genau dieses Ticket erstellt wurde.
Und die Offline-Fähigkeit?
Da die Signatur vollständig im QR-Code enthalten ist, muss der Scanner keine Datenbankabfrage machen. Die kryptografische Prüfung erfolgt lokal auf dem Scanner-Gerät – kein Internet, kein Server, keine Latenz.
Mehr über den technischen Standard dahinter: Was ist das EU Digital Identity Wallet?
Jetzt fälschungssichere Tickets nutzen
Kostenlos in der Beta. Kein Vertrag. Live in unter 5 Minuten.
Pilot-Platz reservieren →