Schon mal was von „Quishing“ gehört?

Der Alltag von Privatpersonen und Unternehmen hat sich in den letzten Jahren grundlegend verändert. Kontaktloses Bezahlen, digitale Speisekarten, Paketverfolgung oder Zwei-Faktor-Authentifizierungen – QR Codes sind heute allgegenwärtig. Was als praktische Technologie begann, entwickelt sich jedoch zunehmend zum Portal für Cyberkriminalität. Sogenannte QR-Code-Scams – auch „Quishing (QR + Phishing) genannt – gehören zu den wachsenden Cybergefahren unserer Zeit.

Anders als klassische Phishing-Mails umgehen QR-Code-Betrugsmaschen häufig technische Schutzmechanismen, da der schädliche Link nicht direkt sichtbar ist. Nutzer scannen den QR-Code mit dem Smartphone und werden unbemerkt auf gefälschte Webseiten geleitet, die beispielsweise Login-Daten, Zahlungsinformationen oder vertrauliche Unternehmenszugänge abgreifen. Besonders perfide ist, dass manipulierte QR-Codes oft im öffentlichen Raum – etwa auf Parkautomaten, Ladesäulen oder Plakaten – angebracht oder in geschäftlichen E-Mails eingebettet werden. Oftmals werden die QR-Codes im öffentlichen Raum täuschend echt überklebt und führen auf nahezu identisch maliziöse Klone der Webseiten.

Gefahren

QR-Codes sind aus dem Alltag nicht mehr wegzudenken – sie ermöglichen schnellen Zugriff auf Informationen, vereinfachen Bezahlvorgänge und unterstützen betriebliche Prozesse. Doch genau diese einfache Handhabung macht sie zunehmend attraktiv für Cyberkriminelle. Es etablieren sich neue Betrugsformen, bei denen QR-Codes gezielt zur Täuschung eingesetzt werden. Sowohl Privatpersonen als auch Unternehmen stehen dadurch vor wachsenden Sicherheitstechnischen Herausforderungen, die ein erhöhtes Maß an Sensibilisierung und Schutzmaßnahmen erfordert.

Für Privatpersonen:

  • Phishing-Angriffe: Weiterleitung auf gefälschte Login-Seiten (z.B. Banking, Social Media, Parkdienste) zur Abfrage sensibler Daten.
  • Identitätsdiebstahl: Missbrauch gestohlener persönlicher Informationen, durch Eingabe personenbezogener Daten, auf gefälschten Webseiten.
  • Finanzieller Betrug: Unbemerkte Zahlungsfreigaben oder Weiterleitung auf gefälschte Bezahlseiten.
  • Malware-Installation: Download schädlicher Apps oder Programme auf das Smartphone.
  • Abo-Fallen: Automatische Anmeldung zu kostenpflichtigen Diensten.

Für Unternehmen:

  • Diebstahl von Zugangsdaten: Kompromittierung von E-Mail-Konten, Cloud-Diensten oder internen Systemen.
  • Malware: Einschleusen von Schadsoftware über manipulierte QR-Codes
  • Business E-Mail Compromise (BEC): Täuschung von Mitarbeitenden zur Freigabe von Zahlungen.
  • Datenschutzverletzungen: Verlust sensibler Kunden- oder Mitarbeiterdaten (DSGVO-Risiko).
  • Reputationsschäden: Vertrauensverlust bei Kunden und Geschäftspartnern.
  • Produktions- und Betriebsausfälle: Störungen durch kompromittierte IT-Systeme.
  • Manipulation von Zahlungsinformationen: Austausch von Bankdaten auf Rechnungen oder Formularen.
  • Umgehen von Sicherheitsfiltern: QR-Codes enthalten Links, die von klassischen Spam-Filtern schwer erkannt werden.

Achtung! Besondere Problematik

  • QR-Codes zeigen die Ziel URL nicht direkt an – Nutzer erkennen die Gefahr erst zu spät.
  • Smartphones sind häufig schlechter abgesichert als Unternehmens-PCs.
  • Manipulierte Codes können physisch überklebt oder digital in E-Mails eingebettet werden.

Unsere Tipps

Für Privatpersonen:

  • Quelle prüfen: QR-Codes nur aus vertrauenswürdigen Quellen scannen. Bei Aufklebern im öffentlichen Raum aufmerksam auf Überklebungen oder Manipulation achten.
  • URL kontrollieren: Nach dem Scannen die angezeigte Webadresse genau prüfen, bevor Daten eingegeben werden. Auf Rechtschreibfehler oder ungewöhnliche Domains achten.
  • Keine sensiblen Daten eingeben: Zugangsdaten, Bankinformationen, MFA Codes oder TANs niemals über unbekannte Seifen eingeben.
  • Offizielle Apps nutzen: Statt QR-Codes lieber direkt bekannte App oder die manuell eingebene Webseite verwenden.
  • Smartphones schützen: Betriebssystem und Apps regelmäßig aktualisieren sowie eine Sicherheitssoftware verwenden.
  • Misstrauisch bei Zeitdruck: Betrugsversuche arbeiten oft mit Dringlichkeit („sofort Handeln“). Da heißt es Ruhe bewahren und prüfen.
  • Sichere Scanner-Apps nutzen: Spezialisierte Scanner-Apps wie Google Lens oder Microsoft Lens können zusätzliche Schutzmechanismen bieten, indem sie Links transparenter anzeigen oder vor dem Öffnen prüfen.

Für Unternehmen:

  • Mitarbeiterschulungen: Regelmäßige Sensibilisierung zu Phishing- und QR-Code-Bedrohungen.
  • Sicherheitsrichtlinien definieren: Klare Vorgaben zum Umgang mit QR-Codes in E-Mails, auf Rechnungen oder Werbematerialien.
  • Technische Schutzmaßnahmen: Einsatz von Mobile-Device-Management (MDM), Webfiltern und Multi-Faktor-Authentifizierungen.
  • E-Mail-Sicherheitslösungen erweitern: Systeme nutzen, die auch eingebettete QR-Codes analysieren können.
  • Vier-Augen-Prinzip bei Zahlungen: Besonders bei geänderten Bankdaten oder Zahlungsaufforderungen.
  • Vorfallmanagement etablieren: Klare Prozesse zur Meldung verdächtiger Vorfälle.
  • Eigene QR-Codes absichern: QR-Codes auf offiziellen Materialien regelmäßig überprüfen und vor Manipulation prüfen.

Fazit

Ein Scan – und wir sind verbunden, schnell, praktisch und überall einsetzbar. Ein QR-Code ist letztlich ein versteckter Link. Wer ihn scannt, sollte ihn mit der selben Vorsicht behandeln wie einen unbekannten Link in einer E-Mail. Digitale Bequemlichkeit erfordert auch Verantwortung. Ein bewusster Umgang mit neuen Technologien ist heute kein optionaler Zusatz mehr, sondern eine grundlegende Voraussetzung für Sicherheit im Alltag und im beruflichen Umfeld. Cybersicherheit beginnt nicht erst bei komplexen IT-Systemen, sondern bei alltäglichen Entscheidungen. Wer Risiken ernst nimmt, Prozesse hinterfragt und Prävention aktiv lebt, stärkt nicht nur die eigene Sicherheit, sondern auch das Vertrauen in die Zukunft.