Warum Sie diesen Beitrag über Quishing unbedingt lesen sollten
QR-Codes sind beliebt, um Usern bequem das Aufrufen von Informationen und Websiten zu ermöglichen. Quishing ist eine besonders tückische Form der CyberBedrohung. Was für viele wie ein harmloser QR-Code aussieht, kann für Ihr Unternehmen zum Einfallstor für CyberKriminelle werden.
In diesem Beitrag erfahren Sie, was hinter dieser wachsenden Bedrohung steckt und wie Sie Ihr Unternehmen davor schützen können.
Inhalt
Quishing: Die Gefahren hinter manipulierten QR-Codes
Was ist Quishing?
Wie läuft Quishing ab?
Welche Methoden des Quishings gibt es?
Was sind die Gefahren und Folgen von Quishing für KMU?
Warum die Gefahren von Quishing mit KI drastisch zunehmen
Wie Sie Warnsignale für Quishing erkennen
Wie Sie sich vor Quishing schützen können
Warum Quishing-Prävention permanente Übung erfordert
Was Sie bei Betrugsverdacht tun sollten
Wie Daten 360Grad.digital Sie schützen kann
Quishing: Die Gefahren hinter manipulierten QR-Codes
In meiner Artikelreihe über Social Engineering beleuchte ich heute eine besonders tückische Form der Cyberbedrohung: Quishing.
Was für viele wie ein harmloser QR-Code aussieht, kann für Ihr Unternehmen zum Einfallstor für Cyberkriminelle werden.
Was ist Quishing?
Quishing ist ein Kofferwort aus „QR-Code“ und „Phishing“ und bezeichnet eine Betrugsmasche, bei der Cyberkriminelle QR-Codes nutzen, um an sensible Daten zu gelangen oder Schadsoftware zu installieren.
Gezielte Ausnutzung menschlicher Eigenschaften + Manipulation
Anders als beim klassischen Phishing über E-Mail-Links werden die Opfer dazu verleitet, QR-Codes zu scannen, die sie auf gefälschte Webseiten führen oder Schadsoftware herunterladen lassen.
CyberAngreifer nutzen gezielt die Bequemlichkeit von Menschen statt einem Link einzutippen lieber einen QR-Code zu scannen.
Besonders gefährlich: QR-Codes werden von Sicherheitssystemen oft nur als harmlose Bilder erkannt und passieren daher unbemerkt die meisten Spam- und Malware-Filter. Die Angriffe laufen somit „unter dem Sicherheitsradar“ und landen ungehindert in den Postfächern Ihrer Mitarbeiter.
Wie läuft Quishing ab?
Der typische Quishing-Angriff folgt einem einfachen, aber effektiven Schema:
Die Cyberkriminellen nutzen dabei gezielt den Umstand aus, dass QR-Codes für viele Menschen inzwischen alltäglich und unverdächtig sind – besonders seit der COVID-19-Pandemie, die den Einsatz dieser Technologie massiv beschleunigt hat.
1. Erstellung eines bösartigen QR-Codes:
Cyberkriminelle generieren einen QR-Code, der zu einer gefälschten Website führt oder Schadsoftware herunterlädt.
2. Verteilung des QR-Codes:
Der QR-Code wird über verschiedene Kanäle verbreitet
- auf Websites,
- per E-Mail,
- in gefälschten Briefen,
- auf öffentlichen Aushängen oder
- durch Überklebung legitimer QR-Codes.
3. Scanning des QR-Codes:
Das ahnungslose Opfer scannt den QR-Code und wird auf eine gefälschte Website weitergeleitet, die oft täuschend echt aussieht.
5. Datendiebstahl
Auf der Website werden Anmeldedaten, Bankdaten oder andere sensible Informationen abgefragt und an die Angreifer weitergeleitet.
- Datenabgriff: Mit den Zugangsdaten vom Opfer werden Daten abgegriffen.
- Malware-Installation: Die heruntergeladene Datei enthält Schadsoftware, die Daten ausspäht oder Systeme infiziert.
- Missbrauch der Daten: Die gestohlenen Informationen werden genutzt, um Konten zu übernehmen, Geld zu stehlen oder weitere Angriffe durchzuführen
Welche Methoden des Quishings gibt es?
Quishing-Attacken treten in verschiedenen Varianten auf, jede mit eigenen Merkmalen und Zielen:
1. E-Mail-Quishing
Cyberkriminelle versenden E-Mails mit eingebetteten QR-Codes, oft getarnt als offizielle Mitteilungen von Banken, Behörden oder Geschäftspartnern. Sie behaupten beispielsweise, dass eine „Sicherheitsaktualisierung“ erforderlich sei, die nur durch Scannen des QR-Codes erfolgen kann.
2. Brief-Quishing
Ähnlich wie beim E-Mail-Quishing erhalten die Opfer physische Briefe mit QR-Codes, die angeblich von ihrer Bank oder einer Behörde stammen.
In einer Variante, die 2024/2025 vermehrt auftrat, wurden gefälschte Briefe im Namen der Commerzbank verschickt, die zur angeblichen „Erneuerung“ des photoTAN-Verfahrens aufforderten.
Gefälschte Bankbriefe
Seit einiger Zeit werden gefälschte Briefe im Namen verschiedener Banken verschickt. Die angeblich erforderliche Aktualisierung von Daten führt zu gefälschten Website auf denen die Zugangsdaten zum Online-Banking abgegriffen werden.
So erhalten die Betrüger Zugang zum Konto und räumen das Konto ab.
Gefälschtes Schreiben im Namen der Commerzbank mit QR-Code zur angeblichen Aktualisierung des photoTAN Verfahrens
Gefälschte Rechnungen
QR-Codes auf Rechnungen enthalten alle wichtige Rechnungsdaten für schnelles und bequemes Bezahlen durch Fotoüberweisung ohne manuelle Eingabe von Informationen. Betrüger versenden gefälschte Rechnungen mit manipulierten QR-Codes. Beim Scannen des Codes mit einer Banking App, wird die Überweisung automatisch mit den Zahlungs- bzw. Empfängerdaten des Betrügers vorbefüllt. Es ist wichtig, sich genau die IBAN des Empfängers anzuschauen und zu prüfen, ob diese korrekt ist.
3. Öffentliches Quishing
Manipulierte QR-Codes wurden bereits auf Plakaten, Flyern, an Parkautomaten und E-Ladesäulen und in Restaurants gefunden. Auch diese Codes haben das Ziel, sensible Daten wie Kontoinformationen, Kreditkartendaten oder persönliche Angaben wie Adresse und Telefonnummer zu stehlen. Besonders tückisch ist das Überkleben legitimer QR-Codes an:
- Parkautomaten
- E-Ladesäulen
- Restaurantmenüs
- Werbeplakaten
Die Opfer scannen diese Codes in gutem Glauben und werden auf Phishing-Seiten umgeleitet, wo sie zur Eingabe ihrer Kreditkartendaten aufgefordert werden.
4. Gefälschte Strafzettel
Eine besonders dreiste Variante: Gefälschte Strafzettel mit QR-Codes werden an geparkten Fahrzeugen angebracht. In einigen Städten und Gemeinden stellen Ordnungsämter Strafzettel mit QR-Codes aus, mit denen Autofahrer die Strafe direkt bezahlen können. Wer den Code scannt, um das vermeintliche Bußgeld zu bezahlen, wird auf eine Betrugsseite geleitet.
5. QRLJacking
Eine fortgeschrittene Form des Quishings, die speziell auf QR-Code-basierte Anmeldesysteme abzielt. Dabei klonen Hacker einen legitimen QR-Code für die Anmeldung und leiten die Daten an ihre eigenen Server weiter.
👉 In den kommenden Beiträgen dieser Blog-Serie gehe ich auf weitere Methoden des Social Engineerings im Detail ein – praxisnah, verständlich und mit konkreten Tipps zur Abwehr.
Was sind die Gefahren und Folgen von Quishing für KMU?
Für kleine und mittlere Unternehmen kann Quishing existenzbedrohende Konsequenzen haben:
Finanzielle Verluste
Gemäß aktueller Statistiken werden die weltweiten Ausgaben durch QR-Code-Zahlungen bis 2025 voraussichtlich 3 Billionen Euro übersteigen. Dieses enorme Volumen macht Quishing für Cyberkriminelle besonders lukrativ. Für betroffene Unternehmen kann dies bedeuten:
- Direkte finanzielle Verluste durch betrügerische Überweisungen
- Kosten für die Behebung von Sicherheitsvorfällen
- Potenzielle Haftung bei Datenschutzverletzungen
Datenverlust und Spionage
Durch Quishing können Kriminelle Zugang zu sensiblen Unternehmensdaten erlangen:
- Zugangsdaten zu geschützten Firmennetzwerken
- Kundendaten und Geschäftsgeheimnisse
- E-Mail-Zugänge für weitere Angriffe
Reputationsschaden
Ein erfolgreicher Quishing-Angriff kann das Vertrauen von Kunden, Geschäftspartnern und der Öffentlichkeit nachhaltig erschüttern. Die Folge: Langfristige Imageschäden, die sich direkt auf den Geschäftserfolg auswirken.
Betriebsunterbrechungen
Wenn kritische Systeme durch einen Quishing-Angriff kompromittiert werden, kann dies zu erheblichen Betriebsunterbrechungen führen – von Produktionsausfällen bis hin zur vollständigen IT-Blockade.
👉 Existenzbedrohung als bittere Realität:
Diese Faktoren sind erhebliche finanzielle Risiken und können für KMU existenzbedrohend sein.
Erschreckend: Nach Studien melden bis zu 21% der betroffenen kleineren Unternehmen innerhalb von sechs Monaten nach einem schwerwiegenden Cyberangriff Insolvenz an – eine Zahl, die die Dramatik der Bedrohung unterstreicht.
Warum die Gefahren von Quishing mit KI drastisch zunehmen
Die Integration von Künstlicher Intelligenz (KI) in Phishing-Methoden revolutioniert auch das Quishing und macht es deutlich gefährlicher:
Hochpersonalisierte Quishing-Angriffe
KI-Systeme können öffentlich verfügbare Daten analysieren und daraus maßgeschneiderte Quishing-Angriffe generieren. Diese wirken authentischer und sind schwerer zu erkennen als generische Phishing-Versuche.
Automatisierte Massenangriffe
Mit KI können Cyberkriminelle Tausende individualisierter Quishing-Kampagnen gleichzeitig erstellen und verteilen – mit minimalem Aufwand und maximaler Wirkung.
Täuschend echte Fälschungen
KI-generierte Texte, Designs und Layouts sind von echten kaum zu unterscheiden. Selbst erfahrene Mitarbeiter können durch diese perfektionierten Fälschungen getäuscht werden.
Umgehung etablierter Sicherheitsmaßnahmen
Künstliche Intelligenz ermöglicht es Angreifern, Sicherheitssysteme zu analysieren und gezielt Schwachstellen auszunutzen. KI-generierte QR-Codes können so konzipiert werden, dass sie herkömmliche Sicherheitsfilter umgehen.
Laut einer aktuellen Studie aus dem Jahr 2025 hat sich die Zahl der KI-gestützten Quishing-Angriffe im Vergleich zum Vorjahr fast verdreifacht, mit einer besonders hohen Erfolgsquote bei kleinen und mittleren Unternehmen.
Wie Sie Warnsignale für Quishing erkennen
Um Quishing-Angriffe rechtzeitig zu identifizieren, sollten Sie auf folgende Warnsignale achten:
Bei E-Mails und Briefen:
- Unerwartete Aufforderungen, einen QR-Code zu scannen
- Dringlichkeitshinweise und Zeitdruck („Ihr Konto wird in 24 Stunden gesperrt“)
- Generische Anreden statt personalisierter Ansprache
- Grammatik- und Rechtschreibfehler
- Absenderadressen, die der offiziellen E-Mail-Adresse ähneln, aber kleine Abweichungen aufweisen
Bei QR-Codes im öffentlichen Raum:
- Sichtbare Aufkleber über ursprünglichen QR-Codes
- Ungewöhnliche Platzierung von QR-Codes
- Auffällig niedrige Druckqualität
- Unsauber angebrachte Codes, die aussehen, als wären sie nachträglich hinzugefügt worden
Bei Websites nach dem Scannen:
- URL-Adressen, die von den offiziellen Domains abweichen
- Fehlende Verschlüsselung (kein https://)
- Ungewöhnlich gestaltete Login-Seiten
- Aufforderungen zur Eingabe ungewöhnlich vieler persönlicher Daten
Wie Sie sich vor Quishing schützen können
Um Ihr Unternehmen effektiv vor Quishing zu schützen, empfehlen wir einen mehrstufigen Ansatz:
Vorsicht beim Scannen von QR-Codes:
- Scannen Sie nur QR-Codes aus vertrauenswürdigen Quellen. Vermeiden Sie unbekannte oder zufällig platzierte QR-Codes.
- Manipulierte QR-Code können Sie nur durch Überprüfung der dahinterliegenden Webadresse erkennen, nicht am QR-Code.
- Achten Sie auf überklebte QR-Codes
- Kontrolieren Sie Überweisungsdaten
- Misstrauen Sie Anfragen zu sensiblen Systemen
Im Detail können helfen folgende Maßnahmen:
Technische Maßnahmen:
- Einsatz sicherer QR-Code-Scanner: Nutzen Sie Apps, die die Ziel-URL vor dem Besuch anzeigen
- E-Mail-Sicherheitslösungen: Implementieren Sie spezielle Filter, die auch QR-Codes in E-Mails analysieren können
- Multi-Faktor-Authentifizierung (MFA): Schützen Sie alle kritischen Systeme durch MFA
- Regelmäßige Sicherheitsupdates: Halten Sie alle Geräte und Software auf dem neuesten Stand
- Endpoint-Protection: Setzen Sie moderne Sicherheitslösungen ein, die verdächtige Aktivitäten erkennen können
Organisatorische Maßnahmen:
- Klare Richtlinien: Erstellen Sie verbindliche Regeln zum Umgang mit QR-Codes im Unternehmen
- Meldeverfahren: Etablieren Sie einfache Wege, um verdächtige QR-Codes zu melden
- Regelmäßige Sicherheitsaudits: Überprüfen Sie regelmäßig Ihre Sicherheitsmaßnahmen
- Dokumentation: Halten Sie alle Sicherheitsvorfälle schriftlich fest, um daraus zu lernen
Die wichtigste Maßnahme: Mitarbeitersensibilisierung
Die effektivste Verteidigung gegen Quishing ist ein gut geschultes Team. Mit regelmäßigen Awareness-Trainings können Sie Ihre Mitarbeiter zu einer wirksamen Sicherheitsbarriere machen:
- Schulungen: Klären Sie über aktuelle Quishing-Methoden auf
- Simulationen: Testen Sie durch realistische Quishing-Simulationen die Wachsamkeit Ihrer Mitarbeiter
- Praxisnahe Tipps: Vermitteln Sie konkrete Handlungsempfehlungen bei verdächtigen QR-Codes
- Regelmäßige Updates: Informieren Sie das Team über neue Betrugsmaschen
Warum Quishing-Prävention permanente Übung erfordert
Quishing-Angriffe werden stetig raffinierter und passen sich schnell an neue Sicherheitsmaßnahmen an. Deshalb reicht einmaliges Training nicht aus – Sicherheitsbewusstsein muss kontinuierlich gepflegt werden:
Die Vergessenskurve überwinden
Studien zeigen, dass Mitarbeiter ohne regelmäßige Wiederholung bis zu 80% des Gelernten innerhalb eines Monats vergessen. Nur durch kontinuierliches Training bleibt das Wissen präsent.
Mit der Bedrohungslandschaft Schritt halten
Cyberkriminelle entwickeln ständig neue Quishing-Methoden. Regelmäßige Trainings stellen sicher, dass Ihre Mitarbeiter auch die neuesten Angriffsvektoren erkennen.
Vom Wissen zum Handeln
Der Schritt vom theoretischen Wissen zur praktischen Anwendung erfordert wiederholtes Üben. Nur so wird sicheres Verhalten zur Gewohnheit.
Kulturwandel herbeiführen
Eine nachhaltige Sicherheitskultur entsteht nicht über Nacht, sondern durch kontinuierliche Sensibilisierung und Wertschätzung sicherheitsbewussten Verhaltens.
Wie Daten 360Grad.digital Sie schützen kann
Als Spezialist für IT-Sicherheit bei kleinen und mittleren Unternehmen bietet Daten 360Grad.digital umfassende Lösungen gegen Quishing und andere Social-Engineering-Angriffe:
Quishing-Simulationen
Mit unseren maßgeschneiderten Quishing-Simulationen testen wir, wie anfällig Ihre Mitarbeiter für diese Betrugsmasche sind – ohne reale Risiken. Die Ergebnisse bilden die Grundlage für zielgerichtete Schulungen.
Darkweb-Scan
Mit unserem Darkweb-Scan überprüfen wir, ob Zugangsdaten Ihres Unternehmens bereits im Darknet kursieren und möglicherweise für gezielte Quishing-Angriffe genutzt werden könnten.
E-Learning-Module zu Quishing
Unsere interaktiven E-Learning-Module vermitteln praxisnah die wichtigsten Erkennungsmerkmale von Quishing-Angriffen und die richtigen Reaktionen darauf.
Netzwerk-Scan
Unser umfassender Netzwerk-Scan identifiziert Schwachstellen in Ihrer IT-Infrastruktur, die durch erfolgreiche Quishing-Angriffe ausgenutzt werden könnten.
CyberSecurity-Plattform
alles in einer Plattform: Simulation, Lernen, Sicherheitsscan, MonitoringCyberSecurity-Plattform für KMU
- Phishing-Simulation
- E-Learning
- Darkweb-Scan
- Netzwerk-Scan
- Monitoring
CyberRisiko-Check
verständlich, praxistauglich, einsatzbereit, kosteneffizientCheck für KKU < 50 MA nach DIN SPEC 27076!
- 27 Kriterien aus 6 Sicherheitsbereichen
- Aufnahme des IST-Zustandes
- Auswertung und Ergebnisbericht
- Präsentation der Ergebnisse
- Handlungsempfehlungen
Buchen Sie einen kostenfreies Informationsgespräch
Was Sie bei Betrugsverdacht tun sollten
Trotz aller Vorsicht kann es passieren, dass ein Quishing-Angriff erfolgreich ist. In diesem Fall ist schnelles Handeln entscheidend:
Sofortmaßnahmen:
- Verbindung trennen: Sofort die Verbindung zur verdächtigen Website unterbrechen
- Gerät isolieren: Das betroffene Gerät vom Netzwerk trennen
- Passwörter ändern: Alle möglicherweise kompromittierten Zugangsdaten sofort ändern
- IT-Sicherheitsteam informieren: Vorfall umgehend intern melden
Bei finanziellen Schäden:
- Bank kontaktieren: Bei Verdacht auf Finanzbetrug sofort die Bank informieren
- Zugänge Online-Banking: Wenn Sie bereits einen verdächtigen QR-Code gescannt haben und Ihre Zugangsdaten zum Online Banking eingegeben haben, sperren Sie Ihr Online Banking
- Kreditkarten sperren: Sperren Sie bei konkretem Verdacht umgehend Ihre Kreditkarten
- Transaktion stoppen: Versuchen, laufende Transaktionen zu stoppen
- Beweise sichern: Screenshots und Protokolle des Vorfalls anfertigen
Rechtliche Schritte:
- Anzeige erstatten: Polizeiliche Anzeige erstatten (auch online möglich)
- Dokumentation: Alle Beweise und Kommunikation sorgfältig dokumentieren
- Datenschutzbehörde informieren: Bei Verlust personenbezogener Daten die zuständige Datenschutzbehörde benachrichtigen
Nachbereitung:
- Analyse des Vorfalls: Ursachen und Einfallstore identifizieren
- Maßnahmen ableiten: Sicherheitskonzept entsprechend anpassen
- Team informieren: Erkenntnisse mit allen Mitarbeitern teilen, um ähnliche Vorfälle zu vermeiden
Fazit: Wachsamkeit und Training sind der beste Schutz
Quishing stellt eine ernsthafte und wachsende Bedrohung für Unternehmen jeder Größe dar. Mit der zunehmenden Verbreitung von QR-Codes im Alltag und der Verstärkung durch KI-Technologien werden diese Angriffe immer raffinierter und schwerer zu erkennen.
Der wichtigste Schutz liegt in der Kombination aus technischen Sicherheitsmaßnahmen und kontinuierlicher Mitarbeitersensibilisierung. Nur wer die Bedrohung kennt und wachsam bleibt, kann sein Unternehmen effektiv schützen.
Kontaktieren Sie uns noch heute, um mehr über unsere Quishing-Präventionsmaßnahmen zu erfahren und Ihr Unternehmen vor dieser unterschätzten Gefahr zu schützen.
Über den Author:
Thomas Riess ist IT-Sicherheitstrainer. Sein Fokus liegt
- technisch auf der sicheren Gestaltung von Software-Applikationen und KI-Systemen
- menschlich auf Prävention durch Schulung und realistischen Simulationen.
CyberAwareness ist einer der wichtigsten Bausteine von Prävention und CyberResilienz.
Echte Awareness entsteht aus Wissen, Motivation und permanenter Sensibilisierung.
Thomas Riess
Geschäftsführer Daten 360Grad.digital GmbH
-
- IT-Sicherheitstrainer
- Chief Digital Officer
- Chief Data Officer
- Datenschutzbeauftragter
- KI-Trainer
- Prompt Engineer
Dies ist der dritte unserer Serie zum Thema Social Engineering. In den kommenden Beiträgen werden wir die verschiedenen Formen wie Phishing, Smishing, Quishing und weitere im Detail beleuchten und konkrete Schutzmaßnahmen vorstellen:
Social Engineering – das größte Risiko sind Ihre Mitarbeiter:innen
Buchen Sie ein unverbindliches Beratungsgespräch.
Keinen Beitrag mehr verpassen!
Melden Sie sich zu unserem Newsletter über Themen der digitalen Transformation an. Verpassen Sie keinen Beitrag mehr. Erfahren Sie alles rund um Prozesse und digitale Workflows, Daten, Informationssicherheit und Künstliche Intelligenz. Erfahren Sie, wie Wachstum trotz Fachkräftemangel funktioniert.
