Quishing ist ein Kofferwort aus „QR-Code“ und „Phishing“. Es bezeichnet eine moderne Variante des Cyberangriffs, bei der Täter manipulierte oder gefälschte QR-Codes einsetzen, um an sensible Daten zu gelangen, Schadsoftware zu verbreiten oder unerlaubte Zahlungen auszulösen.
Funktionsweise von Quishing
Quishing-Angriffe beginnen damit, dass Täter einen QR-Code erstellen, der auf eine manipulierte Website oder einen Download-Link für Schadsoftware verweist. Dieser Code wird gezielt platziert – auf Flyern, in E-Mails, auf Parkautomaten, in Restaurants oder in sozialen Medien. Das Gefährliche: Der tatsächliche Inhalt eines QR-Codes ist für das menschliche Auge nicht sichtbar. Erst beim Scannen offenbart sich, ob der Code sicher ist oder eine Gefahr darstellt.
Nach dem Scannen werden Opfer aufgefordert, persönliche Daten, Zugangsdaten oder Zahlungsinformationen einzugeben – ähnlich wie beim klassischen Phishing. Alternativ kann der Code auch direkt Malware auf dem Gerät installieren. Die Angriffe zielen darauf ab, Identitätsdiebstahl, Finanzbetrug, Ransomware-Angriffe oder den unbefugten Zugriff auf Unternehmensdaten zu ermöglichen.
Besonderheiten und Risiken
- Umgehung von Sicherheitsmaßnahmen: Viele E-Mail-Sicherheitslösungen erkennen QR-Codes in E-Mails nicht als potenzielle Gefahr, da sie wie harmlose Bilder erscheinen.
- Hohe Erfolgsrate: QR-Codes werden im Alltag oft unbedarft gescannt, was die Angriffswahrscheinlichkeit erhöht.
- Vielfältige Angriffsvektoren: Quishing funktioniert digital (z.B. per E-Mail, Social Media, Webseiten) und analog (z.B. aufgeklebte Codes auf Parkautomaten, Flyer im Stadtbild)
Schutzmaßnahmen für Unternehmen
Technische Sicherheitsmaßnahmen
Unternehmen sollten folgende technische Schutzmaßnahmen implementieren:
- Multi-Faktor-Authentifizierung auf allen Geräten
- KI-basierte Detektion-Tools zur Erkennung bösartiger QR-Codes
- Erweiterte E-Mail-Sicherheitslösungen mit QR-Code-Analyse
Organisatorische Maßnahmen
Der beste Schutz ist die Sensibilisierung der Mitarbeiter. Unternehmen sollten:
- Regelmäßige Schulungen und Simulationen zu Quishing-Gefahren durchführen
- Sicherheitsrichtlinien auch für Smartphones etablieren
- Bewusstsein für die Risiken von QR-Codes schaffen
Präventive Verhaltensregeln
Mitarbeiter sollten geschult werden:
- Nur QR-Codes aus vertrauenswürdigen Quellen verwenden
- Bei verdächtigen E-Mails oder unbekannten QR-Codes skeptisch bleiben
- URLs nach dem Scannen überprüfen, bevor sensible Daten eingegeben werden
- QR-Codes auf physische Manipulation prüfen
Weiterführende Links/Quellen:
- Polizeiliche Kriminalprävention: Quishing: Wenn ein QR-Code zur Falle wird
- Daten 360Grad.digital – Blog-Artikel: Quishing – Vorsicht beim QR-Code scannen
- Quishing-Simulation mit CyberSecurity-Plattform von Daten 360Grad.digital
Fazit:
Quishing ist eine wachsende Gefahr für Unternehmen jeder Größe – besonders für KMU mit begrenzten IT-Ressourcen. Minimieren Sie Ihre Angriffsfläche. Werden Sie präventive tätig durch Aufklärung, technische Maßnahmen, klare Richtlinien und Simulationstrainings. Stärken Sie das Vertrauen in Ihre Unternehmenssicherheit.
