QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Sie stehen auf Speisekarten in Restaurants, prangen von Werbeplakaten und erleichtern uns das Bezahlen an Parkautomaten. Was vor wenigen Jahren noch als technische Spielerei galt, ist heute zur selbstverständlichen Brücke zwischen physischer und digitaler Welt geworden. Doch genau diese Allgegenwart und das blinde Vertrauen, das wir den kleinen schwarz-weißen Quadraten entgegenbringen, machen sie zur perfekten Waffe für Cyberkriminelle. Die Methode heißt “Quishing” – ein Kofferwort aus QR-Code und Phishing. In diesem Beitrag schauen wir uns an, wie dieser Angriff funktioniert, warum er so tückisch ist und wie Sie sich schützen können.

Was ist Quishing?

Bei Quishing handelt es sich um eine raffinierte Social-Engineering-Attacke, bei der Opfer über einen manipulierten QR-Code auf eine schädliche Website gelockt oder dazu gebracht werden, Malware herunterzuladen. Das grundlegende Ziel ist dasselbe wie beim klassischen Phishing: der Diebstahl von Login-Daten, finanziellen Informationen oder sonstigen sensiblen persönlichen Daten, welche dann für Identitätsdiebstahl, Betrug oder Ransomware-Angriffe genutzt werden können.

Was Quishing besonders heimtückisch macht, ist die Tatsache, dass es mehrere Sicherheitsebenen gleichzeitig umgeht. Während traditionelle Phishing-E-Mails mit verdächtigen Links von modernen Sicherheitssystemen oft erkannt und blockiert werden, schlüpfen QR-Codes durch diese Maschen hindurch. Sie erscheinen als harmlose Bilder, die keine offensichtliche Bedrohung darstellen. Dabei kann Phishing via QR-Code auch nur ein Teil eines größeren, gezielten Angriffs sein – etwa als erster Schritt in einer mehrstufigen Kompromittierung von Unternehmensnetzen oder Benutzerkonten.

Die Methodik ist dabei denkbar einfach: Ein Angreifer erstellt einen QR-Code, der zu einer bösartigen Website führt, und verbreitet diesen über verschiedene Kanäle. Das kann eine gefälschte E-Mail sein, die angeblich von der IT-Abteilung stammt, ein Aufkleber auf einem Parkautomaten oder ein Post in sozialen Medien. Sobald das Opfer den Code scannt, beginnt die Falle zuzuschnappen.

Gefährlichkeit von Quishing

Die Heimtücke von Quishing liegt in seiner Fähigkeit, traditionelle Sicherheitsvorkehrungen auf mehreren Ebenen auszuhebeln. Während Unternehmen große Anstrengungen in E-Mail-Sicherheit, Firewalls und Endpoint-Protection investieren, öffnet ein simpler QR-Code eine Hintertür, die von vielen Systemen nicht erfasst wird.

Das Problem der unsichtbaren URLs ist dabei zentral. Im Gegensatz zu einem Text-Link in einer E-Mail, bei dem zumindest technisch versierte Nutzer durch Hovern über den Link oder den Quellcode die tatsächliche Zieladresse erkennen können, ist die URL in einem QR-Code für Mensch und Maschine auf den ersten Blick nicht lesbar. Herkömmliche E-Mail-Sicherheitssysteme scannen Texte und Anhänge nach verdächtigen Mustern, Begriffen und bekannten Phishing-URLs. Ein QR-Code erscheint ihnen jedoch lediglich als Bild – und schadhafte Links in Bildern werden nicht immer erkannt. Selbst wenn die E-Mail einen Anhang enthält, wird dieser meist nur auf Malware-Signaturen geprüft, nicht aber auf verschlüsselte URLs innerhalb von QR-Codes. Mittlerweile zeigen aber viele Smartphone Apps den Link des QR-Code vorher an und rufen nicht automatisch die Seite auf. Allerdings kann auch die URL mit einem URL Shortner oder Typosquatting (z.B.: micros0ft.com statt microsoft.com) verschleiert werden und viele Nutzer ignorieren solche Schutzmaßnahmen und klicken direkt auf den Link ohne sich vorher die URL anzusehen oder die Plausibilität zu prüfen.

Ein weiterer kritischer Aspekt ist der Gerätewechsel, der bei vielen Quishing-Angriffen stattfindet. Ein typischer Ablauf kann wie folgt aussehen: Ein Mitarbeiter erhält eine Phishing-E-Mail auf seinem geschäftlichen E-Mail Account, der durch Unternehmensrichtlinien, Webfilter, Endpoint-Detection-Systeme und regelmäßige Sicherheitsupdates geschützt ist. Doch anstatt einen Link auf demselben Gerät zu öffnen, scannt der Mitarbeiter den QR-Code mit seinem privaten oder geschäftlichen Smartphone. Smartphones, vor allem private Geräte, sind oft weniger geschützt als Notebooks. Zudem muss der QR-Code nicht einmal als Bild gesendet werden sondern kann auch in einigen Fällen im ASCII-Format daherkommen.

Moderne Angreifer nutzen zudem geschickte Tarnungsmethoden, um ihre Spuren zu verwischen und die Erkennungsrate weiter zu senken. Eine beliebte Technik sind Weiterleitungen über legitime Dienste: Der QR-Code leitet zunächst auf eine echte, vertrauenswürdige Website – etwa einen Google-Dienst, einen URL-Shortener oder eine legitime Cloud-Plattform – um, die den Nutzer dann automatisch zur eigentlichen Phishing-Seite weiterleitet. Für Sicherheitssysteme, die URLs auf Blacklists prüfen, erscheint die erste Station völlig harmlos. Erst die zweite oder dritte Weiterleitung führt zum bösartigen Ziel, und zu diesem Zeitpunkt ist das Opfer bereits längst außerhalb der geschützten Unternehmensumgebung unterwegs.

Zusätzlich bauen Angreifer zunehmend CAPTCHA-ähnliche Prüfungen in ihre Phishing-Seiten ein – etwa Cloudflare Turnstile oder ähnliche “menschliche Verifizierungen”. Diese dienen nicht der Sicherheit des Nutzers, sondern sollen automatisierte Sicherheits-Crawler und Analyse-Tools aussperren, die verdächtige Websites aufspüren sollen. Während Bots und Scanner an diesen Hürden scheitern, kommen echte Nutzer problemlos durch – direkt in die Falle. Auch kann ein CAPTCHA einer gefälschten Webseite einne zusätzlichen seriösen Anstrich verleihen.

Typischer Angriffsablauf von Quishing

Um die Gefahr greifbarer zu machen, lohnt sich ein Blick auf den typischen Ablauf eines Quishing-Angriffs von der Vorbereitung bis zur Ausnutzung der erbeuteten Daten.

Phase 1: Köder und Verteilung

Alles beginnt mit der Erstellung des bösartigen QR-Codes. Dabei ist das erstellen des QR-Code die leichteste Arbeit. Viel mehr Aufwand ist die Erstellung einer gefälschten Webseite, Schadcode oder sonstigen Malware. Der QR-Code ist somit nur der Köder für unvorsichtige Opfer. Dieser QR-Code wird dann über verschiedene Kanäle verbreitet. Der häufigste Weg ist die E-Mail: Der QR-Code wird eingebettet in eine Nachricht verschickt, die sich als dringende Mitteilung der Personalabteilung, als DocuSign-Benachrichtigung über ein zu unterschreibendes Dokument oder als kritische Sicherheitswarnung von Microsoft tarnt. Oft ist der QR-Code in einem PDF-Anhang versteckt, was die Erkennung durch E-Mail-Filter weiter erschwert.

Doch die digitale Verbreitung ist nur eine Variante. Quishing funktioniert auch hervorragend in der physischen Welt: Angreifer kleben präparierte QR-Code-Aufkleber über die echten Codes auf Parkautomaten, Speisekarten in Restaurants, Werbeplakaten oder Informationstafeln. Das Opfer geht davon aus, einen legitimen QR-Code zu scannen – und landet direkt in der Falle.

Phase 2: Scan und Umleitung

Das ahnungslose Opfer scannt den QR-Code mit seinem Smartphone. Die meisten modernen Smartphones zeigen zwar die Ziel-URL an, bevor sie diese öffnen, doch die wenigsten Nutzer prüfen diese wirklich genau. Selbst wenn sie es täten, sind viele bösartige URLs geschickt verschleiert – entweder durch URL-Shortener, durch legitim aussehende Domains oder durch lange, kryptische Zeichenketten, die auf den ersten Blick nicht verdächtig wirken. Der Browser öffnet sich ohne weitere Warnung und lädt die Seite.

Häufig wird der Nutzer zunächst über eine oder mehrere Zwischenstationen geleitet. Das kann eine legitime Website sein, ein Captcha zur “Sicherheitsprüfung” oder eine Ladeseite, die den Anschein erweckt, dass gerade ein Dokument vorbereitet wird. Diese Zwischenschritte erhöhen die Glaubwürdigkeit und geben dem Opfer das Gefühl, dass es sich um eine normale Webseite handelt.

Phase 3: Die Datenerbeutung

Am Ende der Umleitung landet das Opfer auf einer täuschend echt aussehenden Nachbildung einer bekannten Login-Seite. Das kann eine Kopie des Microsoft 365-Logins sein, ein gefälschtes Bank-Portal, eine nachgemachte DocuSign-Seite oder jede andere Plattform, die der Angreifer imitiert hat. Die Seiten sind oft pixelgenau nachgebaut, verwenden das Original-Logo, die richtigen Farben und sogar echte Sicherheitshinweise, die dem Original entnommen wurden.

Besonders perfide: In gezielten Angriffen ist die E-Mail-Adresse des Opfers bereits vorausgefüllt. Das schafft eine zusätzliche Aura der Legitimität und lässt das Opfer denken: “Diese Seite kennt mich bereits, sie muss echt sein.” Tatsächlich hat der Angreifer die E-Mail-Adresse einfach aus seiner Ziel-Liste übernommen und dynamisch in die Phishing-Seite eingefügt.

Das Opfer gibt seine Anmeldedaten ein – Benutzername, Passwort, vielleicht sogar einen zweiten Faktor, wenn die Phishing-Seite geschickt genug ist, diesen in Echtzeit an die echte Seite weiterzuleiten und zu erfassen. In manchen Fällen werden auch persönliche Daten, Kreditkarteninformationen oder Antworten auf Sicherheitsfragen abgefragt.

Phase 4: Missbrauch der Daten

Sobald der Angreifer die Daten hat, tickt die Uhr. Oft werden die erbeuteten Zugangsdaten innerhalb von Minuten genutzt, um auf E-Mail-Konten zuzugreifen, in Cloud-Systeme einzudringen oder Finanztransaktionen durchzuführen. Die kompromittierten Accounts können für weitere Angriffe verwendet werden – etwa um Phishing-E-Mails an Kollegen zu versenden, auf vertrauliche Unternehmensdaten zuzugreifen oder laterale Bewegungen innerhalb des Netzwerks durchzuführen.

Gestohlene Kreditkartendaten oder andere Informationen landen auf dem Schwarzmarkt oder werden für betrügerische Käufe verwendet. Persönliche Informationen dienen dem Identitätsdiebstahl. Die Auswirkungen können von finanziellen Verlusten über Reputationsschäden bis hin zu weitreichenden Datenschutzverletzungen reichen.

Die beliebtesten Marken für Quishing-Angriffe

Nicht alle Marken werden gleich häufig für Quishing-Angriffe missbraucht. Angreifer konzentrieren sich auf Dienste, die weit verbreitet sind, regelmäßig genutzt werden und bei denen Nutzer daran gewöhnt sind, sich häufig anzumelden oder Dokumente zu überprüfen. Laut Daten von Barracuda Networks führt Microsoft die Liste deutlich an: Ganze 51 Prozent aller untersuchten Quishing-Angriffe gaben vor, von Microsoft zu stammen. Die Angriffe nutzen typische Szenarien wie “Ihre MFA-Einstellungen laufen ab und müssen erneuert werden” oder “Sie haben eine neue Sprachnachricht erhalten”. Da viele Unternehmen Microsoft 365 nutzen und Mitarbeiter täglich mit diesen Diensten arbeiten, ist die Erfolgswahrscheinlichkeit hoch.

Auf dem zweiten Platz liegt DocuSign mit 31 Prozent. Auch hier ist der Kontext perfekt: “Bitte unterzeichnen Sie dieses dringende Dokument” oder “Ein Vertrag wartet auf Ihre Signatur” sind Nachrichten, die im Geschäftsalltag völlig normal sind. Nutzer sind es gewohnt, Links in DocuSign-E-Mails zu folgen, und ein QR-Code erscheint da nur als moderne Variante.

Adobe folgt mit 15 Prozent, oft im Zusammenhang mit vorgetäuschten Gehaltsabrechnungen, Leistungszusammenfassungen oder PDF-Dokumenten, die angeblich überprüft werden müssen. Die restlichen Angriffe verteilen sich auf eine Vielzahl anderer Marken – von Banken über Social-Media-Plattformen bis hin zu E-Commerce-Riesen.

Beispiele realer Quishing-Angriffe aus der Praxis

Quishing ist keine theoretische Bedrohung – die Angriffe finden täglich statt, und sie werden immer kreativer. Hier sind einige reale Beispiele, die zeigen, wie vielfältig und raffiniert die Angreifer vorgehen:

In Restaurants wurden Fälle dokumentiert, bei denen Betrüger falsche QR-Codes über die echten Codes auf Speisekarten geklebt haben. Die gefälschte Seite sah aus wie die echte Menüseite des Restaurants, erfasste aber die Kreditkartendaten der Gäste, wenn diese versuchten, ihre Bestellung oder Rechnung online zu bezahlen. Erst nach mehreren Betrugsfällen fiel das Schema auf.

Ähnliche Vorfälle gab es bei Parkautomaten: Gefälschte QR-Aufkleber auf Parkscheinautomaten leiteten auf betrügerische Zahlungsseiten weiter, die wie die offiziellen Portale der Stadtwerke aussahen. Autofahrer zahlten für ihre Parkgebühr – doch das Geld landete bei den Betrügern, und sie erhielten keinen gültigen Parkschein.

Während der Covid-19-Pandemie wurden QR-Codes verteilt, die angeblich zur Buchung von Impfterminen führen sollten. Die verlinkten Seiten griffen jedoch persönliche Daten, Sozialversicherungsnummern und Gesundheitsinformationen ab. In einigen Fällen wurden die erbeuteten Daten genutzt, um betrügerische Anträge auf staatliche Unterstützung zu stellen.

Im Reisebereich tauchten gefälschte Bordkarten mit QR-Codes auf, die zu Phishing-Seiten führten, die wie Check-in-Portale von Airlines aussahen. Reisende sollten ihre Buchungsdaten “bestätigen” und gaben dabei ihre vollständigen Reisepass- und Zahlungsinformationen preis.

Bei Spendenaktionen platzierten Betrüger QR-Codes auf Spendenboxen, Plakaten oder in sozialen Medien, die zu gefälschten Spendenseiten führten. Menschen, die Gutes tun wollten, spendeten unwissentlich an Kriminelle statt an wohltätige Organisationen.

Im Krypto-Bereich sind QR-Codes besonders beliebt, da sie oft für Wallet-Adressen verwendet werden. Angreifer verbreiten Codes, die zu gefälschten Krypto-Plattformen oder Investment-Seiten führen, um Wallet-Zugänge zu stehlen oder Nutzer dazu zu bringen, Kryptowährungen an Betrüger-Wallets zu senden.

In sozialen Medien locken Gewinnspiele mit QR-Codes: “Scannen Sie diesen Code, um an der Verlosung teilzunehmen und ein iPhone zu gewinnen!” Dahinter verbergen sich Phishing-Seiten, die persönliche Daten abgreifen oder Zugang zu Social-Media-Accounts verschaffen.

In Hotels, Flughäfen und Restaurants wurden gefälschte QR-Codes entdeckt, die angeblich zu kostenlosem WLAN führen sollten. Stattdessen verbanden sie die Nutzer mit einem bösartigen Netzwerk, das den gesamten Datenverkehr abfing – einschließlich Passwörter, E-Mails und Bankzugänge.

Selbst der Immobilienmarkt bleibt nicht verschont: QR-Codes auf “Zu verkaufen”-Schildern führten zu gefälschten Immobilienseiten, auf denen Interessenten ihre Kontaktdaten, Einkommensnachweise und sogar Kopien von Ausweisdokumenten hochladen sollten – alles Material für Identitätsdiebstahl.

Und schließlich gibt es den Klassiker: Gefälschte Bank-E-Mails mit QR-Codes in angeblichen Kontoauszügen oder Rechnungen. Der Code führt zu einem nachgemachten Bank-Portal, auf dem Nutzer nicht nur ihre Login-Daten eingeben, sondern oft auch TAN-Verfahren durchlaufen – direkt in die Hände der Angreifer.

Schutzmaßnahmen

Der beste Schutz gegen Quishing ist eine Kombination aus gesundem Misstrauen, technischen Sicherheitsmaßnahmen und kontinuierlicher Sensibilisierung. Hier sind die wichtigsten Maßnahmen im Detail:

Immer die Quelle prüfen, bevor Sie einen QR-Code scannen. Scannen Sie niemals QR-Codes aus unbekannten oder unerwarteten Quellen – sei es eine E-Mail, ein Social-Media-Post oder ein öffentliches Plakat. Fragen Sie sich: Erwarte ich diese Nachricht? Kenne ich den Absender? Wirkt der Kontext plausibel? Wenn Sie beispielsweise eine E-Mail erhalten, die angeblich von Ihrer Bank stammt und einen QR-Code enthält, rufen Sie lieber bei Ihrer Bank an oder loggen Sie sich über die offizielle Website ein, anstatt den Code zu scannen. Bei physischen QR-Codes in der Öffentlichkeit sollten Sie prüfen, ob der Code professionell gedruckt ist oder ob es sich um einen aufgeklebten Sticker handelt, der über dem Original klebt.

Kontrollieren der URL, nachdem Sie einen QR-Code gescannt haben. Die meisten Smartphones zeigen kurz eine Vorschau der Zieladresse an, bevor die Seite geöffnet wird. Prüfen Sie die Adresszeile genau: Ist es wirklich die offizielle Domain? Achten Sie auf Tippfehler, ungewöhnliche Zeichen, zusätzliche Subdomains oder verdächtige Top-Level-Domains. Eine echte Microsoft-Login-Seite wird niemals unter “micros0ft-login.com” oder “login.microsoft-secure.net” erreichbar sein. Wenn Sie unsicher sind, öffnen Sie die Seite nicht und navigieren Sie stattdessen manuell zur offiziellen Website.

Nutzen Sie offizielle Apps und gespeicherte Lesezeichen, wann immer möglich. Anstatt einem QR-Code zu folgen, öffnen Sie lieber die offizielle App des Anbieters oder verwenden Sie ein Lesezeichen, das Sie selbst angelegt haben. Das mag weniger bequem sein, ist aber deutlich sicherer. Wenn Sie beispielsweise eine E-Mail erhalten, die behauptet, Sie hätten ein wichtiges Dokument bei DocuSign, öffnen Sie die DocuSign-App direkt und prüfen Sie dort, ob tatsächlich etwas auf Sie wartet.

Aktivieren Sie Multifaktor-Authentifizierung für alle wichtigen Accounts. Selbst wenn Angreifer durch einen Quishing-Angriff Ihr Passwort stehlen, können sie sich ohne den zweiten Faktor oft nicht anmelden. Besonders sicher sind Hardware-Security-Keys oder biometrische Verfahren. SMS-basierte Zwei-Faktor-Authentifizierung ist besser als nichts, aber nicht so sicher wie App-basierte Lösungen oder Hardware-Token, da SMS abgefangen werden können.

Maßnahmen für Unternehmen und Organisationen

Für Unternehmen reichen persönliche Schutzmaßnahmen oft nicht aus – hier ist eine systematische Herangehensweise erforderlich.

Sensibilisierung und Schulung Regelmäßige Security-Awareness-Trainings sind unverzichtbar, und diese sollten explizit auch Quishing-Szenarien beinhalten. Viele Unternehmen konzentrieren sich auf Phishing E-Mails, ignorieren aber das auch QR-Code potenzielle Gefahren sind. Dies muss bei Schulungen und Trainings berücksichtigt werden. Zeigen Sie Ihren Mitarbeitern reale Beispiele, erklären Sie die Mechanismen und schaffen Sie ein Bewusstsein dafür, dass auch die kleinen schwarzen Quadrate eine Gefahr darstellen können.

Erweiterte E-Mail-Sicherheitslösungen, die über traditionelle Filter hinausgehen. Moderne E-Mail-Security-Systeme können QR-Codes in E-Mails und PDF-Anhängen analysieren, die dahinter versteckten URLs dekodieren und diese auf Schadhaftigkeit prüfen. Solche Lösungen nutzen Machine Learning, um verdächtige Muster zu erkennen, und gleichen URLs in Echtzeit mit Bedrohungsdatenbanken ab. Investieren Sie in Technologien, die auch Bilder und eingebettete Codes scannen können.

Phishing-resistente Multifaktor-Authentifizierung ein. Klassische MFA ist gut, aber noch besser sind Methoden wie Passkeys oder Hardware-Security-Keys (z.B. YubiKey oder ähnlich), die durch kryptografische Verfahren absichern, dass die Authentifizierung nur auf der echten Website funktioniert. Selbst wenn ein Mitarbeiter seine Zugangsdaten auf einer Phishing-Seite eingibt, können die Angreifer diese nicht nutzen, da der zweite Faktor an die originale Domain gebunden ist.

Klare Meldewege für verdächtige Inhalte. Ihre Mitarbeiter sollten einen einfachen und unkomplizierten Weg haben, um verdächtige E-Mails, QR-Codes oder Vorfälle zu melden. Das kann ein dediziertes E-Mail-Postfach, ein Button im E-Mail-Client oder ein internes Meldeportal sein. Wichtig ist, dass Mitarbeiter ermutigt werden, im Zweifelsfall zu melden – ohne Angst vor negativen Konsequenzen. Eine Kultur der Wachsamkeit ist unbezahlbar.

Implementieren Sie Endpoint-Security auf allen Geräten, auch auf privaten Smartphones, wenn diese für geschäftliche Zwecke genutzt werden. Mobile Device Management (MDM) erlaubt es, Sicherheitsrichtlinien durchzusetzen, verdächtige Apps zu blockieren und im Ernstfall Geräte remote zu sperren oder zu löschen. Wenn möglich, trennen Sie geschäftliche und private Nutzung durch Container-Lösungen oder stellen Sie dedizierte Firmengeräte zur Verfügung.

Fazit

Quishing ist weit mehr als nur ein vorübergehender Trend in der Welt der Cyberkriminalität. Und je nach Trends kann Quishing immer neue Angriffsflächen finden (Speisekarten als QR-Code, Impfungen, Bezahlen mit Smartphone, etc.). Es ist eine effektive, sich ständig weiterentwickelnde und zunehmend professionalisierte Angriffsmethode, die die Schwachstelle Mensch und die Lücken traditioneller Sicherheitssysteme geschickt ausnutzt. Die kleinen, unscheinbaren QR-Codes sind zum trojanischen Pferd der modernen digitalen Welt geworden – harmlos in der Erscheinung, aber potenziell verheerend in der Wirkung.

Die gute Nachricht ist: Wir sind dieser Bedrohung nicht schutzlos ausgeliefert. Indem wir uns der Gefahr bewusst werden, ein gesundes Misstrauen gegenüber QR-Codes entwickeln und die oben genannten Schutzmaßnahmen konsequent umsetzen, können wir das Risiko, Opfer eines solchen Angriffs zu werden, erheblich verringern. Für Unternehmen bedeutet das eine Kombination aus technischen Lösungen, organisatorischen Maßnahmen und vor allem kontinuierlicher Sensibilisierung der Mitarbeiter. Mittlerweile zeigen moderne Smartphones auch zuerst den Link an und führen den Benutzer nicht automatisch zur Webseite. Angreiffe verschleiern die Domain aber mittels URL-Shortner, Weiterleitungen oder Typosquatting.

Die Bedrohungslandschaft wird sich weiter entwickeln, und Angreifer werden neue Wege finden, QR-Codes für ihre Zwecke zu missbrauchen. Doch mit Wachsamkeit, gesundem Menschenverstand und den richtigen Sicherheitsvorkehrungen können die Bedrohungen eingedämmt werden.

Quellen