QR-Codes sind aus dem Alltag kaum mehr wegzudenken – ob beim Bezahlen, im Restaurant oder im Marketing.
Doch mit ihrer Verbreitung wächst auch das Risiko ihres Missbrauchs. Eine besonders heimtückische Form ist das sogenannte „Quishing“, eine Kombination aus „QR-Code“ und „Phishing“. Dabei nutzen Cyberkriminelle QR-Codes, um Nutzende auf gefälschte Webseiten zu leiten oder Schadsoftware einzuschleusen.
Wie funktioniert Quishing?
Anders als klassische Phishing-Mails setzt Quishing auf visuelle Täuschung: Der gefährliche Link steckt im QR-Code selbst.
Betrüger platzieren solche Codes in gefälschten E-Mails, auf manipulierten Plakaten oder sogar auf täuschend echt wirkenden Zahlungsaufforderungen an Parkautomaten.
Das Tückische: Der Zielinhalt eines QR-Codes ist nicht sichtbar, bevor er gescannt wird – ein Vorteil, den Angreifende gezielt ausnutzen.
Besonders gefährlich sind dynamische QR-Codes, deren Zieladresse nachträglich geändert werden kann. So führen zunächst unverdächtige Links später zu gefälschten Login-Seiten oder Schadsoftware. In einem bekannten Fall nutzten Angreifende einen QR-Code in einer E-Mail, um Zugangsdaten über eine gefälschte Microsoft-Anmeldeseite zu stehlen.
Du benötigst Hilfe bei der Erstellung eines wasserdichten Datenschutzkonzeptes?
Dann nutze jetzt die Möglichkeit der kostenlosen Erstberatung – wir zeigen dir gerne was bei der Verarbeitung von sensiblen Daten zu beachten ist.
unverbindlich Dauer: ca. 15 min.
Warum Quishing so effektiv ist
QR-Codes umgehen viele Sicherheitsfilter, da sie als Bild eingebettet werden. Gleichzeitig spielen Angreifende mit Emotionen – etwa durch gefälschte Bußgelder oder dringliche Zahlungsaufforderungen.
Besonders riskant ist das Scannen über private Mobilgeräte, die oft geringere Sicherheitsstandards als Unternehmensrechner haben.
So minimieren Sie Ihr Risiko: 4 Handlungsempfehlungen
- Sensibilisierung von Mitarbeitern durch Awareness-Trainings
Schulen Sie Ihre Mitarbeitenden regelmäßig zu aktuellen Bedrohungsszenarien im Bereich QR-Code-Phishing. - Verwendung vertrauenswürdiger QR-Code-Scanner
Nutzen Sie nur Scanner mit integrierter URL-Vorschau und Sicherheitsprüfung.
Ziel-URLs prüfen - Prüfen Sie nach dem Scannen, ob die angezeigte Webadresse vertrauenswürdig und korrekt ist.
- Keine unbedachte Dateneingabe auf unbekannten Seiten
Vermeiden Sie die Eingabe sensibler Daten auf Seiten, die über QR-Codes erreicht wurden, insbesondere bei unerwarteten Aufforderungen.
Fazit:
Quishing zeigt, dass Cyberangriffe zunehmend raffinierter werden. Unternehmen sollten QR-Codes nicht als harmlose Alltagshelfer betrachten, sondern als potenzielle Sicherheitsrisiken ernst nehmen. Aufklärung, technische Schutzmaßnahmen und ein wachsames Verhalten sind die besten Mittel, um dieser modernen Phishing-Methode vorzubeugen.
Das könnte Sie auch interessieren:
Über den Autor: Daniel Lukmann
Daniel Lukmann ist externer Datenschutzbeauftragter und Mitgründer des DSGVO Schutzteam.
2018 war er als junger Unternehmer im Consulting-Bereich tätig. Alles lief gut, bis zum „Ausbruch“ der DSGVO.
Er bildete sich zum Datenschutzbeauftragten weiter und entwickelte ein System.
Der Rest ist Geschichte.
Mittlerweile hilft das DSGVO Schutzteam über 3500 Unternehmen bei ihren Datenschutz-Sorgen.
Quishing – Wenn QR-Codes zur Gefahr werden
Von Daniel Lukmann
Externer Datenschutzbeauftragter
Lesedauer: 3 Minuten
QR-Codes sind aus dem Alltag kaum mehr wegzudenken – ob beim Bezahlen, im Restaurant oder im Marketing.
Doch mit ihrer Verbreitung wächst auch das Risiko ihres Missbrauchs. Eine besonders heimtückische Form ist das sogenannte „Quishing“, eine Kombination aus „QR-Code“ und „Phishing“. Dabei nutzen Cyberkriminelle QR-Codes, um Nutzende auf gefälschte Webseiten zu leiten oder Schadsoftware einzuschleusen.
Wie funktioniert Quishing?
Anders als klassische Phishing-Mails setzt Quishing auf visuelle Täuschung: Der gefährliche Link steckt im QR-Code selbst.
Betrüger platzieren solche Codes in gefälschten E-Mails, auf manipulierten Plakaten oder sogar auf täuschend echt wirkenden Zahlungsaufforderungen an Parkautomaten.
Das Tückische: Der Zielinhalt eines QR-Codes ist nicht sichtbar, bevor er gescannt wird – ein Vorteil, den Angreifende gezielt ausnutzen.
Besonders gefährlich sind dynamische QR-Codes, deren Zieladresse nachträglich geändert werden kann. So führen zunächst unverdächtige Links später zu gefälschten Login-Seiten oder Schadsoftware. In einem bekannten Fall nutzten Angreifende einen QR-Code in einer E-Mail, um Zugangsdaten über eine gefälschte Microsoft-Anmeldeseite zu stehlen.
Du benötigst Hilfe bei der Erstellung eines wasserdichten Datenschutzkonzeptes?
Dann nutze jetzt die Möglichkeit der kostenlosen Erstberatung – wir zeigen dir gerne was bei der Verarbeitung von sensiblen Daten zu beachten ist.
unverbindlich Dauer: ca. 15 min.
Warum Quishing so effektiv ist
QR-Codes umgehen viele Sicherheitsfilter, da sie als Bild eingebettet werden. Gleichzeitig spielen Angreifende mit Emotionen – etwa durch gefälschte Bußgelder oder dringliche Zahlungsaufforderungen.
Besonders riskant ist das Scannen über private Mobilgeräte, die oft geringere Sicherheitsstandards als Unternehmensrechner haben.
So minimieren Sie Ihr Risiko: 4 Handlungsempfehlungen
- Sensibilisierung von Mitarbeitern durch Awareness-Trainings
Schulen Sie Ihre Mitarbeitenden regelmäßig zu aktuellen Bedrohungsszenarien im Bereich QR-Code-Phishing. - Verwendung vertrauenswürdiger QR-Code-Scanner
Nutzen Sie nur Scanner mit integrierter URL-Vorschau und Sicherheitsprüfung.
Ziel-URLs prüfen - Prüfen Sie nach dem Scannen, ob die angezeigte Webadresse vertrauenswürdig und korrekt ist.
- Keine unbedachte Dateneingabe auf unbekannten Seiten
Vermeiden Sie die Eingabe sensibler Daten auf Seiten, die über QR-Codes erreicht wurden, insbesondere bei unerwarteten Aufforderungen.
Fazit:
Quishing zeigt, dass Cyberangriffe zunehmend raffinierter werden. Unternehmen sollten QR-Codes nicht als harmlose Alltagshelfer betrachten, sondern als potenzielle Sicherheitsrisiken ernst nehmen. Aufklärung, technische Schutzmaßnahmen und ein wachsames Verhalten sind die besten Mittel, um dieser modernen Phishing-Methode vorzubeugen.
Das könnte Sie auch interessieren:
Über den Autor: Daniel Lukmann
Daniel Lukmann ist externer Datenschutzbeauftragter und Mitgründer des DSGVO Schutzteam.
2018 war er als junger Unternehmer im Consulting-Bereich tätig. Alles lief gut, bis zum „Ausbruch“ der sogenannten DSGVO.
Statt sich von den Trümmern überwältigen zu lassen, bildete er sich zum Datenschutzbeauftragten weiter.
Die Erkenntnis: Am Ende zahlt man hier Strafen oft aus reiner Unwissenheit.
Er entwickelte ein System. Der Rest ist Geschichte.
Mittlerweile hilft das DSGVO Schutzteam über 3500 Unternehmen bei ihren Datenschutz-Sorgen.