QR-Codes sind aus unserem Alltag kaum mehr wegzudenken:
Ob Restaurantmenüs, Paketverfolgung, Event-Tickets oder Login-Prozesse, ein kurzer Scan mit dem Smartphone und schon landet man auf einer Website.
Doch genau hier lauert eine neue Form der Cyberkriminalität: Quishing.
📌 Was ist Quishing?
Quishing setzt sich aus den Begriffen QR-Code und Phishing zusammen.
Dabei platzieren Cyberkriminelle manipulierte QR-Codes in E-Mails, auf Flyern, an Parkautomaten, in Plakaten oder sogar über echte QR-Codes hinweg.
Nach dem Scannen wird das Opfer auf eine gefälschte Website geleitet, die täuschend echt aussieht – beispielsweise eine Login-Seite eines Unternehmens oder ein Bezahldienst. Dort werden vertrauliche Daten wie Benutzername, Passwort oder Kreditkartendaten abgegriffen.
👉 Das perfide daran:
Im Gegensatz zu einem Link in einer E-Mail ist die URL hinter einem QR-Code nicht immer sichtbar, bevor man sie scannt. Viele Nutzer prüfen sie nicht weiter – ein idealer Nährboden für Angriffe.
⚠️ Typische Szenarien
-
Gefälschte Paketbenachrichtigung
Eine E-Mail gibt vor, von DHL oder UPS zu stammen. Statt auf einen Link zu klicken, soll der QR-Code gescannt werden, um die Lieferung zu bestätigen – tatsächlich landet man auf einer Phishing-Seite. -
QR-Code auf Parkautomaten oder Plakaten
Betrüger überkleben echte QR-Codes durch gefälschte, die auf betrügerische Bezahlseiten führen. -
Interne Unternehmensangriffe
Mitarbeiter erhalten scheinbar interne E-Mails mit QR-Codes, die z. B. auf eine „Microsoft 365 Login-Seite“ führen. Die eingegebenen Daten werden unmittelbar abgefangen.
🧰 Wie Sie sich und Ihr Unternehmen schützen können
-
QR-Code-URLs prüfen
Viele Smartphones zeigen nach dem Scannen die URL an, bevor sie geöffnet wird. Prüfen Sie die Adresse genau. Achten Sie auf Tippfehler, ungewöhnliche Endungen oder Subdomains. -
Kein automatisches Login über QR-Codes
Vermeiden Sie es, direkt Ihre Zugangsdaten auf Seiten einzugeben, die Sie über QR-Codes erreicht haben. -
Offizielle Apps verwenden
Beispielsweise für Paketdienste oder Bezahldienste lieber die App öffnen, statt QR-Codes aus E-Mails oder Aushängen zu scannen. -
Schulungen im Unternehmen durchführen
Mitarbeitende sollten über Quishing informiert sein. Simulierte Angriffe und Awareness-Kampagnen helfen, Risiken zu minimieren. - Technische Schutzmaßnahmen
- Mobile Security-Lösungen, die URLs automatisch prüfen
- E-Mail-Security-Gateways, die QR-Codes in Mails analysieren
- Zero-Trust-Ansätze bei Unternehmenslogins
⚖️ Rechtliche Einordnung
Auch aus Sicht der Datenschutz-Grundverordnung (DSGVO) ist Quishing relevant.
Wird ein Mitarbeiter Opfer eines Quishing-Angriffs und gibt z. B. Zugangsdaten preis, kann dies eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO darstellen. Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um solche Angriffe zu verhindern (Art. 32 DSGVO).
Dazu zählen insbesondere:
- regelmäßige Schulungen,
- sichere Authentifizierungsverfahren (z. B. MFA),
- und Sensibilisierung für neue Angriffsmethoden.
📝 Fazit
Quishing ist keine Zukunftsmusik, sondern bereits fester Bestandteil moderner Cyberangriffe. Die einfache Verbreitung, das Vertrauen in QR-Codes und die oft unbemerkte Weitergabe sensibler Daten machen diese Methode so gefährlich.
Mit Aufklärung, Sensibilisierung und technischer Unterstützung lässt sich das Risiko jedoch wirksam eindämmen.