„Einmal kurz scannen“ – genau darauf setzen Täter 2026 immer häufiger. QR-Codes wirken praktisch, modern, schnell. Und sie umgehen den Reflex, den viele Mitarbeitende inzwischen bei Links in E-Mails haben: Misstrauen.
Das Problem: Ein QR-Code zeigt nicht sichtbar, wohin er führt. Und damit wird er zum perfekten Transportmittel für Betrug – vom Kontodaten-Abgriff bis zur Zahlungsumleitung.
Auch Verbraucher- und Sicherheitsstellen warnen vor Quishing (QR-Code-Phishing) und typischen Maschen, bei denen QR-Codes in E-Mails/Briefen auf Datensammelseiten führen.
Was ist Quishing – und warum ist es so effektiv?
Quishing = Phishing via QR-Code.
Der QR-Code führt auf eine gefälschte Website (z. B. „Microsoft 365 Login“, „Bank-Sicherheitsprüfung“, „Paketdienst“, „Rechnungsportal“). Dort geben Opfer Zugangsdaten ein oder lösen Zahlungen aus.
Warum es funktioniert:
- QR-Code ist intransparent: Ziel-URL ist nicht auf den ersten Blick erkennbar.
- Mobilgeräte sind die Schwachstelle: Viele Prüfroutinen (URL-Analyse, EDR/Filter) sind am Smartphone schwächer als am Unternehmens-PC.
- Kontext wirkt seriös: „Rechnung“, „Zustellung“, „Parken“, „IT-Update“, „HR-Dokument“ – alles plausibel.
Das Bundesamt für Sicherheit in der Informationstechnik erwähnt Quishing explizit als QR-Code-basierte Methode, die Nutzer auf manipulierte Seiten führt.
Die 5 häufigsten Quishing-Szenarien im Unternehmensalltag
1) QR-Code in „Rechnung“ oder „Mahnung“
PDF/Brief mit QR-Code: „Jetzt bezahlen“, „Bankdaten aktualisieren“, „SEPA-Mandat bestätigen“.
Risiko: Zahlungsumleitung oder Zugangsdatenabgriff.
2) QR-Code in E-Mail („Dokument ansehen“, „Konto entsperren“)
Klassiker: angeblicher M365-/SharePoint-/DocuSign-Link, aber als QR-Code dargestellt.
Risiko: Zugangsdaten → Account Takeover → Folgebetrug.
3) QR-Code an Geräten & Orten (Aufkleber über Original)
Manipulierte QR-Aufkleber an Parkautomaten, Ladesäulen, Aushängen – auch von Polizeistellen thematisiert.
Risiko: Zahlungsdaten/Bankdaten + nachgelagerte Social-Engineering-Angriffe.
4) QR-Code im Paket-/Logistik-Kontext
„Sendung erneut zustellen“, „Zollgebühr zahlen“, „Lieferadresse bestätigen“.
Risiko: Zahlungsbetrug, Datendiebstahl, Identitätsmissbrauch.
5) QR-Code als „IT-Support“ oder „Security Check“
„Scannen Sie diesen Code, um die Sicherheits-App zu verbinden“ – und schon landet man in einem Fake-Portal oder installiert Schadsoftware.
Woran Sie Quishing erkennen – 10 Warnsignale
Wenn 2–3 Punkte zusammenkommen: Stopp, prüfen, verifizieren.
- QR-Code kommt unerwartet (keine Ticketnummer, keine Vorgeschichte)
- Zeitdruck („heute noch“, „letzte Erinnerung“)
- Absender wirkt seriös, aber Domain/Signatur ist „knapp daneben“
- QR-Code ersetzt einen normalen Link „aus Sicherheitsgründen“
- Forderung nach Login oder Bankdaten
- Zahlung auf neue Bankverbindung / ausländische IBAN
- Text wirkt generisch („Sehr geehrter Kunde“)
- QR-Code führt zu Seite ohne sauberes Impressum/SSL/Branding
- Aufforderung: „App installieren“ / „Profil verifizieren“
- Kollegen erhalten ähnliche Mails – leicht variierte Versionen
Schutzmaßnahmen, die wirklich wirken (praxisnah, sofort umsetzbar)
1) QR-Code-Regel im Unternehmen
„QR-Codes sind Links.“
Jeder QR-Code wird behandelt wie ein Link in einer Phishing-Mail – mit denselben Prüf- und Freigabeprozessen.
2) URL sichtbar machen – bevor irgendwas passiert
- QR-Scanner-App nutzen, die die vollständige URL vor dem Öffnen anzeigt
- Nie direkt öffnen ohne Sichtprüfung
- Bei Firmenprozessen: QR-Code nur scannen, wenn die Quelle zweifelsfrei ist (z. B. internes Portal, bekanntes Schreiben)
3) Zahlungen nie via QR-Code „schnell erledigen“
Zahlungen gehören in definierte Systeme (ERP, Banking, Freigabe-Workflow).
QR-Code darf niemals eine Freigabekette ersetzen.
4) Mobile Security & MDM konsequent
Wenn Mitarbeitende geschäftlich scannen:
- MDM/Policies, Browser-Schutz, App-Whitelisting
- MFA + Conditional Access (damit abgegriffene Logins weniger bringen)
5) Awareness: Rollen statt „alle“
Am stärksten gefährdet: Buchhaltung, Assistenz, HR, Einkauf, Logistik, Vertrieb.
Kurze, rollenspezifische Drills sind effektiver als allgemeine PowerPoint-Schulungen.
Was tun, wenn gescannt wurde (Incident-Checkliste)
Die ersten 30 Minuten entscheiden oft über Folgeschäden.
- Sofort abbrechen (keine Eingaben, keine Installation)
- Falls Zugangsdaten eingegeben: Passwort ändern + MFA prüfen
- IT/Security informieren: URL, Screenshot, Absender, Zeitpunkt sichern
- Banking/Finanzen informieren, falls Zahlungsdaten betroffen sein könnten
- Geräte-Check (Mobile Threat Defense/EDR, ggf. forensische Sicherung)
- Interne Warnung an betroffene Teams (gezielt, ohne Panik)
Wie Detegere bei Quishing & Zahlungsbetrug unterstützt
Quishing ist selten ein Einzelfehler – meist ist es ein Prozess- und Beweis-Thema:
- OSINT & technische Spuren: Domains, Infrastruktur, Weiterleitungen, Identitätsmuster
- Forensische Beweissicherung: Header, Logs, Artefakte am Endgerät, Zeitlinien
- Analyse der Prozesslücke: Wo wurde verifiziert, wo wurde abgekürzt – und warum?
- Gerichtsfeste Dokumentation: für Kanzleien, Versicherer, interne Revision
- Prävention „hands on“: Quishing-Simulationen + klare SOPs für QR, Rechnungen, Zahlungswechsel
Parallel: Auch europäische Lagebilder beschreiben, dass Online-Fraud und Social-Engineering weiter zunehmen und professionalisiert werden.
FAQ
Ist Quishing nur ein Verbraucherproblem?
Nein. Unternehmen sind besonders attraktiv, weil Täter über Logins, Zahlungsworkflows und Lieferketten schnell hohe Schäden auslösen können. (QR-Code-Phishing wird auch von Sicherheitsstellen als relevante Methode im Phishing-Kontext genannt.)
Warum ist QR-Code-Phishing so schwer zu erkennen?
Weil die Zieladresse nicht sichtbar ist und viele Scans über mobile Geräte passieren, wo Prüf- und Filtermechanismen oft schwächer greifen.
Was ist die wichtigste Schutzmaßnahme?
Eine klare Regel: QR-Code = Link. Plus: URL vor dem Öffnen anzeigen, Zahlungen nie über QR „freigeben“, und verifizierte Prozesse nutzen.
Bild: KI
