1. What is quishing in simple terms?

Quishing is a type of phishing attack that uses a QR Code instead of a regular link. When someone scans the QR Code, it can send them to a fake website designed to steal passwords, payment details, or other sensitive information. The term combines the words "QR Code" and "phishing."

2. What is the difference between phishing and quishing?

Traditional phishing uses clickable links in emails, text messages, or websites. Quishing hides the malicious link inside a QR Code. Both attacks have the same goal: tricking people into visiting a fake website. The main difference is that quishing uses a QR Code to hide the destination.

3. Can scanning a QR Code give you a virus?

Scanning a QR Code by itself does not install a virus. A QR Code simply directs your device to a destination, such as a website. The risk comes from what happens after the scan. If the QR Code leads to a malicious website, that site may try to steal your information or convince you to download harmful software.

4. Why is quishing so hard to detect?

Many security tools are designed to inspect links and text. A QR Code is an image, which can make it harder to analyze. Quishing attacks also often move users from a work computer to a personal phone. This can make it more difficult for organizations to monitor and block malicious activity.

5. What are common quishing attack examples?

Common examples include fake QR Code stickers placed over real QR Codes on parking meters, phishing emails that pretend to be Microsoft 365 account alerts, and fraudulent invoices that contain QR Codes leading to fake payment pages. In each case, the attacker uses a QR Code to hide a malicious website behind a seemingly normal request.

6. How can organizations protect themselves from quishing?

Organizations can reduce their risk by using email security tools that inspect QR Codes, enforcing strong MFA, limiting access to sensitive systems, and training employees to recognize QR Code scams. A clear incident response plan is also important so teams know what to do if someone scans a malicious QR Code or enters credentials on a fake website.

7. How can you spot a fake QR Code?

A fake QR Code often redirects users to a suspicious website that imitates a legitimate brand. Before entering any information, check that the website URL matches the brand's official domain. Be cautious if the page contains spelling mistakes, asks for sensitive information, or looks different from the company's usual branding.

Was ist Quishing (QR-Code-Phishing)?

Shanti Nair

Zuletzt aktualisiert: June 10, 2026

Das Scannen eines QR-Codes ist mittlerweile genauso alltäglich wie das Anklicken eines Links. Menschen nutzen QR-Codes, um Rechnungen zu bezahlen, auf Dienste zuzugreifen und Informationen auszutauschen – und das Ganze dauert meist nur wenige Sekunden. Doch ein einziger Scan kann manchmal zu einer gefälschten Website führen, die darauf ausgelegt ist, Daten zu stehlen. Das ist das Prinzip hinter Quishing-Angriffen.

Quishing ist eine Form des Phishing, bei der QR-Codes verwendet werden, um Menschen dazu zu verleiten, betrügerische Websites zu besuchen. Diese Betrugsmaschen zielen oft auf Anmeldedaten, Zahlungsinformationen und Geschäftskonten ab.

Dieser Leitfaden erklärt, wie Quishing funktioniert, warum Angreifer diese Methode nutzen und welche Gruppen am stärksten gefährdet sind. Außerdem finden Sie praktische Tipps, um gängige Betrugsmaschen zu vermeiden, und erfahren, wie Quishing in die breitere Debatte darüber passt, ob QR-Codes sicher sind.

Inhaltsverzeichnis

Was ist Quishing?
Quishing in Zahlen: Wie schnell die Bedrohung wächst
So funktioniert ein Quishing-Angriff
Warum Quishing herkömmliche E-Mail-Sicherheitsmaßnahmen umgeht
Beispiele für Quishing aus der Praxis
Wer ist häufig das Ziel von Quishing-Angriffen?
So schützen Sie Ihr Unternehmen vor Quishing
Behalten Sie die Kontrolle über die von Ihrem Unternehmen erstellten QR-Codes
Häufig gestellte Fragen

Was ist Quishing?

Quishing ist eine Art von Phishing-Angriff, bei dem eine bösartige URL in einem QR-Code-Bild statt in einem anklickbaren Textlink versteckt wird. Der Name ist eine Mischung aus „QR-Code“ und „Phishing“, und das Ziel ist dasselbe wie bei jedem Phishing-Angriff: Sie auf eine gefälschte Website zu leiten, damit Angreifer Ihre Anmeldedaten stehlen, Malware installieren oder Ihre Zahlungsdaten sammeln können.

Was Quishing unterscheidet, ist die Übertragungsmethode. Die bösartige URL ist in einen QR-Code eingebettet, den die Kamera Ihres Smartphones liest. Sie befindet sich nicht im Textkörper einer E-Mail, wo Sicherheitsfilter sie scannen können.

Laut Keepnet nahmen Quishing-Angriffe im Jahr 2023 um 587 % zu, was QR-Code-Phishing zu einer der am schnellsten wachsenden Phishing-Techniken macht, die heute im Einsatz sind.

Quishing reiht sich neben drei verwandten Angriffsarten in die Phishing-Familie ein.

Angriffstyp	Primärer Vektor	Übertragungsmethode	Sicherheitstool, das dies normalerweise abfängt	Warum Quishing dies umgeht
Phishing	E-Mail	Klickbarer Textlink	E-Mail-Sicherheitsfilter und URL-Reputationsprüfungen	N/A (Basis)
Smishing	SMS	Textnachricht mit Link	Filter von Mobilfunkanbietern und Tools zur Erkennung mobiler Bedrohungen	N/A
Vishing	Sprachanruf	Telefonanruf mit Social Engineering	Tools zur Anrufer-ID-Prüfung und Erkennung von Sprachbetrug	N/A
Quishing	E-Mail, gedruckte Materialien oder physische Oberflächen	In eine E-Mail, ein PDF, ein Poster, eine Rechnung oder ein Schild eingebettetes QR-Code-Bild	Viele E-Mail-Sicherheitstools konzentrieren sich auf sichtbare URLs, Links und textbasierte Indikatoren	Die bösartige URL ist in einem QR-Code-Bild versteckt und wird oft auf einem separaten Mobilgerät außerhalb der Sicherheitskontrollen des Unternehmens geöffnet

Die obige Tabelle ist wichtig, da Quishing eine Lücke ausnutzt, für deren Abwehr viele herkömmliche Phishing-Abwehrmaßnahmen ursprünglich nicht konzipiert wurden. Anstatt die Opfer aufzufordern, auf einen sichtbaren Link zu klicken, verstecken Angreifer das Ziel innerhalb eines QR-Code-Bildes. In vielen Fällen erfolgt das Scannen dann auf einem separaten Mobilgerät außerhalb der Sicherheitskontrollen, die normalerweise den Webdatenverkehr überprüfen.

Quishing-Angriffe treten am häufigsten über zwei Kanäle auf.

Der erste ist E-Mail, bei der ein Angreifer einen QR-Code in eine Nachricht, einen Anhang oder eine PDF-Datei einbettet und den Empfänger dazu auffordert, diesen zu scannen.
Der zweite ist die physische Welt, wo ein gefälschter QR-Code-Aufkleber über einen legitimen auf einer Parkuhr, einem Cafétisch, einem Kiosk in der Lobby oder einer öffentlichen Anschlagtafel geklebt wird. Beide Ansätze beruhen auf demselben Verhalten: dem Scannen eines Codes, ohne zuvor zu überprüfen, wohin er führt.

Quishing in Zahlen: Wie schnell die Bedrohung wächst

Der Anstieg von Quishing ist kein zukünftiges Risiko. Es findet bereits in großem Umfang statt. Laut einer Analyse von Keepnet Labs stiegen Quishing-Angriffe im Jahr 2023 um 587 %, was QR-Code-Phishing zu einer der am schnellsten wachsenden Cyberbedrohungen der letzten Jahre macht.

Mehrere andere Statistiken weisen auf denselben Trend hin:

Allein im ersten Quartal 2025 wurden 4,2 Millionen QR-Code-basierte Bedrohungen entdeckt.
89,3 % der QR-Code-basierten Angriffe zielten darauf ab, Anmeldedaten zu stehlen.
42-mal mehr Quishing-Angriffe richteten sich gegen Führungskräfte der obersten Ebene als gegen nicht leitende Mitarbeiter.
26 % der per E-Mail versendeten bösartigen Links waren in QR-Codes eingebettet und wurden nicht als herkömmliche Hyperlinks dargestellt.
Microsoft meldet, dass es durchschnittlich pro Woche mehr als 18 Millionen einzelne Phishing-E-Mails blockiert, die einen QR-Code im E-Mail-Text enthalten, sowie etwa 3 Millionen einzelne QR-Code-Phishing-E-Mails pro Tag.

Die Daten zeigen auch, wie Angreifer vorgehen. Fast 9 von 10 QR-Code-basierten Angriffen zielen auf den Diebstahl von Zugangsdaten ab, oft indem die Opfer auf gefälschte Anmeldeseiten geleitet werden, die vertrauenswürdige Marken und Business-Tools imitieren. Laut dem E-Mail-Bedrohungsbericht von Abnormal Security für das erste Halbjahr 2024 sind Führungskräfte ein bevorzugtes Ziel, da sie Zugriff auf sensible Systeme, finanzielle Genehmigungen und Unternehmensdaten haben.

Laut dem Cybersicherheitsunternehmen NordVPN scannen 73 % der Amerikaner QR-Codes ohne Überprüfung, und mehr als 26 Millionen wurden bereits auf bösartige Websites weitergeleitet. Indem sie das Ziel innerhalb eines Bildes verbergen, können Angreifer Opfer dazu verleiten, von einem überwachten Arbeitsgerät auf ein privates Smartphone zu wechseln, wo die Sicherheitskontrollen möglicherweise schwächer sind.

Das Wachstum von Quishing folgt eng dem zunehmenden Einsatz von QR-Codes. Kontaktlose Speisekarten, mobile Zahlungen, Check-ins bei Veranstaltungen und Authentifizierungsabläufe haben das Scannen von QR-Codes zu einem festen Bestandteil des Alltags gemacht. Da das Scannen zu einer vertrauten Gewohnheit wurde, haben Angreifer eine neue Möglichkeit gewonnen, Phishing-Kampagnen durchzuführen, ohne auf herkömmliche Links angewiesen zu sein.

So funktioniert ein Quishing-Angriff

Ein Quishing-Angriff verläuft in sechs Phasen. Die kritische Sicherheitslücke entsteht zwischen Schritt drei und Schritt vier.

Schritt 1: Der Angreifer generiert den bösartigen QR-Code

Der Angreifer erstellt einen QR-Code, der auf eine bösartige URL verweist. Dabei handelt es sich häufig um eine Website zum Ausspähen von Anmeldedaten, eine Seite zum Herunterladen von Malware oder ein gefälschtes Zahlungsportal. Angreifer können in dieser Phase dynamische QR-Codes verwenden. Ein dynamischer QR-Code speichert das Ziel auf einem Server statt im Code selbst. So kann der Angreifer die Ziel-URL nach der Verbreitung austauschen, um URL-Blacklists einen Schritt voraus zu sein.

Schritt 2: Einbetten des QR-Codes in den Köder

Der Angreifer fügt das Bild des QR-Codes als PNG- oder JPG-Datei in eine Phishing-E-Mail ein. Eine raffiniertere Variante bettet den Code in einen PDF-Anhang ein, beispielsweise in eine Rechnung, ein HR-Dokument oder eine Compliance-Mitteilung. In PDFs eingebettete Bilder werden von automatisierten Scannern noch weniger genau geprüft.

Schritt 3: Die E-Mail passiert die Sicherheitsfilter des Unternehmens

Das Opfer erhält die E-Mail auf einem Firmenlaptop oder -gerät. Standard-E-Mail-Sicherheitstools scannen den Nachrichtentext nach bekannten bösartigen URLs, verdächtigen Textlinks und markierten Domains. Der QR-Code ist ein Bild. Die bösartige URL im Bild ist für Textanalysefilter unsichtbar. Die E-Mail landet im Posteingang.

Schritt 4: Das Opfer scannt den Code mit seinem privaten Mobiltelefon

Die E-Mail weist den Empfänger an, den Code mit seinem Smartphone zu scannen. Der Köder könnte behaupten, der Link sei auf dem Handy praktischer, oder er ahmt eine Zurücksetzung der Multi-Faktor-Authentifizierung (MFA) nach, für die ein Smartphone erforderlich ist. Das Opfer nimmt sein persönliches Gerät zur Hand und scannt den Code.

Schritt 5: Der mobile Browser öffnet die Phishing-Seite

Das private Mobiltelefon befindet sich außerhalb des Sicherheitsperimeters des Unternehmens. Auf den meisten privaten Geräten ist keine Mobile-Device-Management-Software (MDM) installiert. Das virtuelle private Netzwerk (VPN) des Unternehmens ist nicht aktiv. Der Browser folgt der entschlüsselten URL und zeigt die Seite des Angreifers an.

Schritt 6: Erfassung von Anmeldedaten oder Installation von Malware

Das Opfer gibt Anmeldedaten auf der gefälschten Anmeldeseite ein, führt eine gefälschte Zahlung durch oder lädt eine App herunter, die scheinbar erforderlich ist. Der Angreifer erfasst die Daten.

Der Gerätewechsel – also die Übergabe von einem Unternehmensgerät auf ein privates Mobiltelefon zwischen Schritt drei und vier – ist der strukturelle Grund, warum Quishing dort funktioniert, wo herkömmliches Phishing versagt. Der Angriff nutzt zwei getrennte Sicherheitsperimeter aus, und keiner von beiden erfasst die gesamte Kette.

📝Hinweis: Die Quishing-Bedrohung ist ein anderes Problem als die Verwendung von QR-Codes durch seriöse Unternehmen.

Ein Unternehmen, das QR-Codes für Speisekarten, Veranstaltungen oder Dokumente erstellt, benötigt ein eigenes Sicherheitsframework. Dieses Framework muss verifizierte Domains, Scan-Analysen und kontrollierte Ziel-URLs umfassen.

Daher geht die QR-Code-Sicherheit für Unternehmen über die Betrugsprävention hinaus und umfasst Entscheidungen über die Plattformauswahl, das Code-Management und Bereitstellungsrichtlinien.

Warum Quishing herkömmliche E-Mail-Sicherheit umgeht

Die meisten Phishing-E-Mails enthalten einen anklickbaren Link. Sicherheitstools können diesen Link überprüfen, seine Reputation kontrollieren und ihn blockieren, wenn er verdächtig erscheint. Quishing funktioniert anders. Anstatt den Link in die E-Mail einzufügen, verstecken Angreifer ihn in einem QR-Code.

Hier sind drei Gründe, warum Quishing schwieriger zu erkennen sein kann als herkömmliches Phishing.

1. Die bösartige URL ist in einem Bild versteckt

E-Mail-Sicherheitstools sind darauf ausgelegt, Text, Links und Domains zu scannen. Ein QR-Code ist ein Bild, sodass die Ziel-URL möglicherweise nirgendwo im sichtbaren Text der E-Mail erscheint.

Sicherheitsanbieter nutzen mittlerweile Bildanalyse, um diese Bedrohungen zu erkennen. Microsoft berichtet beispielsweise, täglich rund 1,5 Millionen QR-Code-basierte Angriffe zu blockieren. Doch nicht jedes E-Mail-Sicherheitstool verfügt über die gleiche Leistungsfähigkeit bei der Erkennung von QR-Codes.

2. Das Scannen erfolgt oft auf einem anderen Gerät

Viele Menschen scannen QR-Codes mit ihrem Smartphone, selbst wenn die E-Mail auf einem Arbeitscomputer eingeht.

Wenn ein Mitarbeiter auf einem Firmenlaptop auf einen Link klickt, können Sicherheitstools diese Aktivität oft überprüfen und überwachen. Wenn dieselbe Person jedoch einen QR-Code mit ihrem privaten Smartphone scannt, findet der Besuch möglicherweise außerhalb der üblichen Sicherheitskontrollen des Unternehmens statt. Dies bietet Angreifern einen weiteren Weg, ihr Ziel zu erreichen.

3. Angreifer können das Ziel eines QR-Codes ändern

Einige Quishing-Kampagnen verwenden dynamische QR-Codes. Ein dynamischer QR-Code verweist auf ein Ziel, das später aktualisiert werden kann. Dies ermöglicht es Angreifern, die endgültige URL zu ändern, nachdem der QR-Code bereits versendet wurde. In einigen Fällen verwenden sie zunächst ein harmloses Ziel und wechseln später zu einem bösartigen, was die Erkennung erschwert.

Das Ergebnis ist einfach: Eine Phishing-E-Mail, die einen sichtbaren bösartigen Link enthält, lässt sich von Sicherheitswerkzeugen oft leichter analysieren. Ein QR-Code verbirgt dieses Ziel hinter einem Bild und fügt zusätzliche Schritte zwischen dem Opfer und der bösartigen Website ein.

Beispiele für Quishing aus der Praxis

Quishing-Angriffe können überall dort auftreten, wo Menschen QR-Codes verwenden. Manche werden per E-Mail versendet, andere erscheinen auf Schildern, Plakaten und an Zahlungsterminals an öffentlichen Orten. Die folgenden Beispiele zeigen, wie Angreifer QR-Codes nutzen, um bösartige Websites hinter einem einfachen Scan zu verbergen.

Betrug mit Parkuhren in Austin (2022)

Im Jahr 2022 brachten Betrüger gefälschte QR-Code-Aufkleber an 29 Parkuhren in ganz Austin, Texas, an. Autofahrer scannten die Codes, um für das Parken zu bezahlen, doch die QR-Codes führten stattdessen zu einer betrügerischen Zahlungswebsite. Wer seine Zahlungsdaten eingab, riskierte, diese Informationen direkt an die Betrüger weiterzugeben.

Der Angriff funktionierte, weil die gefälschten Aufkleber echt aussahen. Die meisten Autofahrer hatten keinen Grund zu vermuten, dass die ursprünglichen QR-Codes ausgetauscht worden waren.

Betrugsversuche bei der Microsoft 365-Kontoüberprüfung

Viele Phishing-E-Mails geben sich als Microsoft 365 aus. In der Nachricht wird möglicherweise behauptet, dass Ihr Passwort abläuft, Ihr Konto verifiziert werden muss oder Ihre MFA-Einstellungen aktualisiert werden müssen.

Anstatt einen Link zu enthalten, fordert die E-Mail Sie auf, einen QR-Code zu scannen. Der QR-Code öffnet dann eine gefälschte Microsoft-Anmeldeseite, die darauf ausgelegt ist, Benutzernamen und Passwörter zu stehlen. Einige Kampagnen versuchen auch, Sitzungsinformationen zu erfassen, die Angreifern helfen, Zugriff auf Konten zu erlangen.

Da die bösartige URL im QR-Code versteckt ist, kann die E-Mail auf den ersten Blick sicherer wirken als eine herkömmliche Phishing-Nachricht.

Rechnungs- und Zahlungsbetrug

Unternehmen sind ein weiteres häufiges Ziel. Bei diesen Angriffen versenden Betrüger E-Mails, die wie Rechnungen, Zahlungsaufforderungen oder Kontoauszüge von einem vertrauenswürdigen Anbieter aussehen.

Die E-Mail enthält einen gefälschten QR-Code, der angeblich zu Zahlungsdetails oder Belegen führt. Nach dem Scannen des QR-Codes gelangt das Opfer auf eine gefälschte Website und wird aufgefordert, Zahlungsinformationen, Bankdaten oder Kontozugangsdaten einzugeben. Das Ziel ist es, Geld, sensible Informationen oder Zugriff auf Unternehmenssysteme zu stehlen.

Ein gemeinsames Thema bei diesen Angriffen ist Vertrauen. Menschen erwarten, dass Parkuhren, Microsoft-Anmeldeseiten und Lieferantenrechnungen echt sind. Angreifer nutzen dieses Vertrauen aus, indem sie bösartige Websites hinter QR-Codes verstecken. Physische Overlay-Angriffe sind besonders effektiv, da sich ein gefälschter QR-Code-Aufkleber in ein ansonsten echtes Schild, eine Speisekarte, einen Kiosk oder eine Zahlungsstation einfügen kann.

Die Herausforderung für Nutzer besteht darin, vor dem Scannen zu erkennen, ob ein QR-Code sicher ist. Um diesen Unterschied zu verstehen, muss man zunächst wissen, ob QR-Codes sicher sind und welche Schritte man unternehmen kann, um eine Zielseite zu überprüfen, bevor man sie öffnet.

Auf wen zielen Quishing-Angriffe üblicherweise ab?

Angreifer zielen nicht gleichermaßen auf alle ab. Sie konzentrieren sich auf Branchen, die mit Geld, sensiblen Informationen oder großen Mengen an Dokumenten umgehen. Sie zielen auch auf Mitarbeiter ab, deren Aufgaben die Genehmigung von Zahlungen, die Verwaltung von Konten oder die Prüfung von Anfragen umfassen.

Von Quishing-Angriffen betroffene Branchen

Branche	Häufiger QR-Code-Köder
Energie	Lieferantenrechnungen, Compliance-Dokumente, Lieferantenanfragen
Finanzdienstleistungen	Kontoüberprüfung, Zahlungsfreigaben, sichere Dokumente
Fertigung	Versanddokumente, Lieferantenrechnungen, Beschaffungsanfragen
Versicherung	Versicherungsunterlagen, Anmeldungen im Kundenportal, Kontoverifizierung
Technologie	MFA-Zurücksetzungen, Dokumentenfreigabe, Software-Downloads

Diese Branchen haben eines gemeinsam: Viele Mitarbeiter arbeiten regelmäßig mit Rechnungen, Formularen, Genehmigungen und Kontobenachrichtigungen. Angreifer nutzen diese alltäglichen Arbeitsabläufe aus, indem sie bösartige QR-Codes so gestalten, dass sie wie routinemäßige Geschäftskommunikation aussehen.

Rollen, die häufig Ziel von Quishing-Angriffen sind

Zwar sind bestimmte Branchen höheren Risiken ausgesetzt, doch konzentrieren sich Angreifer oft auf bestimmte Mitarbeiter, die Zugriff auf Geld, sensible Daten oder wichtige Geschäftssysteme haben.

Führungskräfte

Führungskräfte gehören zu den am häufigsten angegriffenen Gruppen. Laut Abnormal Security sind Führungskräfte der obersten Ebene 42-mal häufiger von Quishing-Angriffen betroffen als andere Mitarbeiter. Angreifer nutzen oft dringende Anfragen, Genehmigungsdokumente oder Benachrichtigungen zur Kontoverifizierung, da Führungskräfte Zugriff auf sensible Informationen und Finanzsysteme haben.

Finanzteams

Finanzmitarbeiter sind ein häufiges Ziel für Rechnungsbetrug und Zahlungsbetrug. Ihre Arbeit erfordert es, Rechnungen zu prüfen, Zahlungen zu genehmigen und mit Lieferanten zusammenzuarbeiten. Angreifer wissen dies und tarnen bösartige QR-Codes oft als Zahlungsaufforderungen oder Finanzdokumente.

IT-Teams

IT-Mitarbeiter beschäftigen sich regelmäßig mit Passwort-Zurücksetzungen, MFA-Updates und Sicherheitswarnungen. Quishing-E-Mails kopieren oft diese Nachrichten und nutzen QR-Codes, um Opfer auf gefälschte Anmeldeseiten zu leiten.

HR-Teams

HR-Mitarbeiter arbeiten mit Lebensläufen, Einstellungsformularen, Unterlagen zu Sozialleistungen und Mitarbeiterakten. Angreifer tarnen Quishing-E-Mails möglicherweise als Einstellungsunterlagen oder Mitarbeiteranfragen, um Zugriff auf Unternehmenssysteme zu erlangen.

Mitarbeiter an vorderster Front und Außendienstmitarbeiter

Mitarbeiter in Lagern, Fabriken, Einzelhandelsgeschäften und anderen physischen Standorten sind einem anderen Risiko ausgesetzt. Angreifer können gefälschte QR-Code-Aufkleber auf Geräten, Kiosksystemen, Schildern oder Zahlungsterminals anbringen, die die Mitarbeiter täglich nutzen.

Der rote Faden, der sich durch all diese Ziele zieht, ist Vertrauen. Angreifer suchen nach Situationen, in denen das Scannen eines QR-Codes normal erscheint. Je vertrauter der Arbeitsablauf ist, desto wahrscheinlicher ist es, dass jemand zuerst scannt und erst später Fragen stellt.

So schützen Sie Ihr Unternehmen vor Quishing

Quishing funktioniert, weil Angreifer bösartige Links in QR-Codes verstecken und Menschen dazu bringen, diese zu scannen. Um das Risiko zu verringern, benötigen Unternehmen Abwehrmaßnahmen, die sowohl die E-Mail-Sicherheit als auch die QR-Code-Sicherheit abdecken. Die folgenden sechs Maßnahmen können dabei helfen.

1. Verwenden Sie E-Mail-Sicherheitstools, die QR-Codes überprüfen können

Herkömmliche E-Mail-Filter sind darauf ausgelegt, Links und Text zu scannen. Bei Quishing-Angriffen wird das Ziel jedoch in einem QR-Code-Bild versteckt.

Moderne E-Mail-Sicherheitstools können QR-Codes in E-Mails und Anhängen entschlüsseln und anschließend prüfen, ob das Ziel sicher ist. Ohne diese Funktion können bösartige QR-Codes unbemerkt durch die Sicherheitskontrollen gelangen.

E-Mail-Authentifizierungsstandards wie DMARC, SPF und DKIM sind nach wie vor wichtig, aber sie überprüfen nur den Absender. Sie überprüfen nicht den QR-Code selbst.

2. Verstärken Sie den Kontoschutz mit Phishing-resistenter MFA

Viele Quishing-Angriffe zielen darauf ab, Benutzernamen und Passwörter zu stehlen. Eine starke MFA verringert das Risiko, dass ein gestohlenes Passwort zur Kompromittierung eines Kontos führt.

Verwenden Sie nach Möglichkeit phishing-resistente Methoden wie Sicherheitsschlüssel oder Passkeys. Diese Methoden erschweren es Angreifern erheblich, auf Konten zuzugreifen, selbst wenn ein Mitarbeiter sein Passwort auf einer gefälschten Website eingibt.

3. Beschränken Sie den Zugriff kompromittierter Konten

Keine Sicherheitsmaßnahme ist perfekt. Unternehmen sollten davon ausgehen, dass einige Angriffe letztendlich erfolgreich sein werden.

Die Beschränkung des Zugriffs auf der Grundlage von Aufgabenbereichen hilft, den Schaden zu begrenzen. Wenn Angreifer Zugriff auf ein Konto erlangen, sollten sie sich nicht frei zwischen Systemen, Daten und Anwendungen bewegen können.

4. Schulen Sie Mitarbeiter darin, QR-Code-Betrug zu erkennen

Die meisten Programme zur Sensibilisierung für Sicherheitsfragen konzentrieren sich auf verdächtige Links. Mitarbeiter sollten auch lernen, wie „Quishing“ funktioniert.

Die Schulung sollte häufige Warnzeichen behandeln, wie unerwartete QR-Codes in E-Mails, dringende Aufforderungen zur Kontoüberprüfung und QR-Code-Aufkleber, die über bestehende Schilder oder Zahlungsstationen geklebt wurden.

5. Quishing in Sicherheits- und Compliance-Programme aufnehmen

Bundesbehörden, darunter die Federal Trade Commission (FTC), das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA), haben alle vor QR-Code-Phishing gewarnt.

Unternehmen sollten ihre bestehenden Sicherheitsrichtlinien überprüfen und sicherstellen, dass Quishing in Mitarbeiterschulungen, Risikobewertungen und Verfahren zur Reaktion auf Vorfälle berücksichtigt wird. Dies ist besonders wichtig für regulierte Branchen, die bereits Rahmenwerke für Cybersicherheit und Compliance befolgen.

6. Erstellen Sie einen Reaktionsplan für Vorfälle mit Mobilgeräten

Viele Quishing-Angriffe leiten Nutzer von einem Arbeitsgerät auf ein privates Smartphone um.

Unternehmen sollten über einen klaren Prozess verfügen, um Meldungen über das Scannen bösartiger QR-Codes zu untersuchen, gefährdete Konten zu identifizieren, Anmeldedaten zurückzusetzen und verdächtige Aktivitäten zu überwachen.

Quishing unterscheidet sich von traditionellem Phishing, da es bösartige Links in QR-Codes versteckt und Nutzer häufig von einem Arbeitsgerät auf ein privates Smartphone umleitet. Diese Taktiken können Angriffe schwerer erkennbar machen und die Wirksamkeit von Sicherheitskontrollen beeinträchtigen, die zur Überprüfung textbasierter Links und E-Mail-Inhalte entwickelt wurden.

Da die Nutzung von QR-Codes weiter zunimmt, müssen Unternehmen Quishing als eigenständiges Sicherheitsrisiko behandeln. Unternehmen, die QR-Code-bewusste E-Mail-Sicherheit, starke MFA, Mitarbeiterschulungen und klare Reaktionsverfahren kombinieren, sind besser darauf vorbereitet, Angriffe zu verhindern und den Schaden zu begrenzen, falls ein Angriff erfolgreich ist.

Behalten Sie die Kontrolle über die von Ihrem Unternehmen erstellten QR-Codes

Nicht alle QR-Codes stellen eine Bedrohung dar. Unternehmen nutzen QR-Codes täglich für Zahlungen, Dokumente, Kundenerlebnisse und betriebliche Arbeitsabläufe. Die Herausforderung besteht darin, sicherzustellen, dass Nutzer darauf vertrauen können, wohin diese QR-Codes führen.

The QR Code Generator (TQRCG) hilft Unternehmen dabei, QR-Codes zu erstellen, die nachverfolgbar und editierbar sind und mit verifizierten Zielen verknüpft sind. Dies verschafft Unternehmen einen besseren Überblick darüber, wie ihre QR-Codes genutzt werden und wohin sie Nutzer leiten.

TQRCG unterstützt zudem die Sicherheitsanforderungen des „ enterprise “ durch SOC 2 Typ 2- und ISO 27001-Zertifizierungen sowie die Einhaltung der DSGVO. In Kombination mit Funktionen wie Scan-Tracking und der Verwaltung von Ziel-URLs helfen diese Kontrollen Unternehmen dabei, die Sicherheit ihrer QR-Codes zu erhöhen und gleichzeitig das Risiko von Missbrauch zu verringern.

Häufig gestellte Fragen

1. Was ist Quishing in einfachen Worten?

Quishing ist eine Art von Phishing-Angriff, bei dem anstelle eines normalen Links ein QR-Code verwendet wird. Wenn jemand den QR-Code scannt, kann er auf eine gefälschte Website weitergeleitet werden, die darauf ausgelegt ist, Passwörter, Zahlungsdaten oder andere sensible Informationen zu stehlen. Der Begriff setzt sich aus den Wörtern „QR-Code“ und „Phishing“ zusammen.

2. Was ist der Unterschied zwischen Phishing und Quishing?

Beim herkömmlichen Phishing werden anklickbare Links in E-Mails, SMS oder auf Websites verwendet. Beim Quishing wird der bösartige Link in einem QR-Code versteckt. Beide Angriffe haben dasselbe Ziel: Menschen dazu zu verleiten, eine gefälschte Website zu besuchen. Der Hauptunterschied besteht darin, dass beim Quishing ein QR-Code verwendet wird, um das Ziel zu verbergen.

3. Kann man sich durch das Scannen eines QR-Codes einen Virus einfangen?

Das Scannen eines QR-Codes allein führt nicht zur Installation eines Virus. Ein QR-Code leitet Ihr Gerät lediglich zu einem Ziel weiter, beispielsweise zu einer Website. Das Risiko besteht darin, was nach dem Scannen geschieht. Wenn der QR-Code zu einer bösartigen Website führt, versucht diese möglicherweise, Ihre Daten zu stehlen oder Sie dazu zu verleiten, schädliche Software herunterzuladen.

4. Warum ist Quishing so schwer zu erkennen?

Viele Sicherheitstools sind darauf ausgelegt, Links und Text zu überprüfen. Ein QR-Code ist jedoch ein Bild, was die Analyse erschweren kann. Quishing-Angriffe leiten Nutzer zudem häufig von einem Arbeitscomputer auf ein privates Smartphone um. Dies kann es für Unternehmen schwieriger machen, böswillige Aktivitäten zu überwachen und zu blockieren.

5. Was sind gängige Beispiele für Quishing-Angriffe?

Zu den gängigen Beispielen gehören gefälschte QR-Code-Aufkleber, die über echte QR-Codes auf Parkuhren geklebt werden, Phishing-E-Mails, die vorgeben, Benachrichtigungen für Microsoft 365-Konten zu sein, sowie betrügerische Rechnungen, die QR-Codes enthalten, die zu gefälschten Zahlungsseiten führen. In jedem Fall nutzt der Angreifer einen QR-Code, um eine bösartige Website hinter einer scheinbar normalen Anfrage zu verbergen.

6. Wie können sich Unternehmen vor Quishing schützen?

Unternehmen können ihr Risiko verringern, indem sie E-Mail-Sicherheitstools einsetzen, die QR-Codes überprüfen, eine starke MFA durchsetzen, den Zugriff auf sensible Systeme einschränken und Mitarbeiter darin schulen, QR-Code-Betrugsversuche zu erkennen. Ein klarer Plan für die Reaktion auf Vorfälle ist ebenfalls wichtig, damit Teams wissen, was zu tun ist, wenn jemand einen bösartigen QR-Code scannt oder Anmeldedaten auf einer gefälschten Website eingibt.

7. Wie erkennt man einen gefälschten QR-Code?

Ein gefälschter QR-Code leitet Nutzer oft auf eine verdächtige Website weiter, die eine legitime Marke imitiert. Bevor Sie Informationen eingeben, überprüfen Sie, ob die URL der Website mit der offiziellen Domain der Marke übereinstimmt. Seien Sie vorsichtig, wenn die Seite Rechtschreibfehler enthält, nach sensiblen Informationen fragt oder sich vom üblichen Erscheinungsbild des Unternehmens unterscheidet.