Quishing – Phishing über QR-Codes – hat sich von einer Randerscheinung zu einem zentralen Angriffsvektor entwickelt. Was harmlos als „Scan statt Tippen“ beginnt, umgeht klassische Sicherheitsfilter und zielt direkt auf das schwächste Glied der Kette: den Menschen und sein mobiles Endgerät.
Warum es 2025 Chefsache ist
Quishing ist kein Detailthema der IT, sondern eine strategische Risikoposition. Es hebelt klassische E-Mail-Filter aus und verlagert den Angriff vom geschützten Firmen-PC auf das oft schlechter gesicherte Smartphone.
Die Natur des Angriffs
Physisch
Aufkleber an Ladesäulen, Briefe im Postkasten oder gefälschte Aushänge im Bürogebäude.
Digital
PDF-Rechnungen, Microsoft-Teams-Hintergründe oder gefälschte MFA-Aufforderungen per Mail.
Psychologisch
Zeitdruck, Neugier und die gelernte Routine („Scan statt Tippen“) senken die Wachsamkeit.
Wie Quishing die Abwehr umgeht
Das Problem: „Mobile Gap“
Gateway sieht nur ein „Bild“ (QR-Code)
Nutzer scannt mit Smartphone
Außerhalb der Firmen-Firewall
Die Herausforderung: Klassische Secure Email Gateways (SEG) analysieren Text und Dateianhänge. Einen QR-Code müssen sie visuell erkennen, dekodieren und die URL prüfen – ein rechenintensiver Prozess, der oft fehlt.
Zudem erfolgt der Zugriff über das mobile Gerät, oft ohne Webfilter oder Mobile Threat Defense. Angreifer nutzen dies für Cloaking: Sicherheitsbots sehen eine harmlose Seite, das Smartphone wird zur Phishing-Seite geleitet.
Typische Angriffsszenarien
✉️ Der analoge Brief
Ein physischer Brief, angeblich von der Bank oder Behörde. Das Papier schafft Vertrauen. Der QR-Code dient zur „schnellen Verifizierung“ oder „Freischaltung“. Das Ziel: Abgreifen von Zugangsdaten.
🅿️ Öffentlicher Raum
Parkautomaten und Ladesäulen werden mit eigenen QR-Codes überklebt. Wer zahlt, übermittelt Kreditkartendaten direkt an die Täter. Auch gefälschte Strafzettel am Auto („Sofortrabatt bei QR-Zahlung“) nehmen zu.
🏢 Microsoft 365 & MFA
„Ihr Authenticator muss aktualisiert werden“. Eine E-Mail fordert zum Scan eines QR-Codes auf, um die Multi-Faktor-Authentifizierung neu einzurichten. Tatsächlich autorisiert der Scan den Zugriff des Angreifers.
📱 Mobile Malware
QR-Codes führen zum Download vermeintlicher „PDF-Reader“ oder „Sicherheits-Apps“. Diese installieren im Hintergrund Banking-Trojaner oder Spyware auf dem Smartphone.
Psychologie: Warum wir scannen
Vertrauen in das Physische: Ein Aufkleber oder Brief wirkt realer als eine E-Mail.
Cognitive Ease: Unser Gehirn liebt Abkürzungen. QR-Codes versprechen Bequemlichkeit. Sicherheitsbedenken werden zugunsten des Komforts ausgeblendet.
Kein Mouse-Hover: Bei Links am PC können wir mit der Maus prüfen, wohin der Link führt. Beim QR-Code entfällt dieser etablierte Prüfmechanismus oft.
Handlungsfelder & Schutzmaßnahmen
Für das Unternehmen
- Next-Gen Security: Gateways mit Computer-Vision (OCR) zur Erkennung von QR-Codes einsetzen.
- FIDO2 / Passkeys: Phishing-resistente Authentifizierung nutzen, die nicht durch bloßes Abgreifen von Codes umgangen werden kann.
- Mobile Defense (MTD): Diensthandys mit Schutzsoftware ausstatten, die böse URLs blockiert.
- Richtlinien: Klären, dass die IT niemals MFA-Resets per QR-Code in E-Mails versendet.
Für den Mitarbeiter (Quick Wins)
- Knibbel-Test: Prüfen Sie an Automaten, ob ein Aufkleber über dem Original klebt.
- Vorschau nutzen: Nutzen Sie nur Scanner/Kameras, die die URL vor dem Öffnen anzeigen.
- Keine sensiblen Daten: Niemals PINs oder TANs eingeben, wenn die Seite nur via QR-Code erreicht wurde.
- Gesundes Misstrauen: HR oder IT schicken keine QR-Codes für Gehaltsabrechnungen oder Passwort-Resets.
Häufige Fragen (FAQ)
Was genau ist Quishing?
Quishing ist ein Kofferwort aus „QR-Code“ und „Phishing“. Es bezeichnet Cyberangriffe, bei denen Opfer dazu verleitet werden, einen manipulierten QR-Code zu scannen, der sie auf betrügerische Webseiten führt oder Schadsoftware installiert.
Warum erkennen meine Firewalls diese E-Mails nicht?
Herkömmliche E-Mail-Filter scannen Text und bekannte schädliche Anhänge. Ein QR-Code ist für den Filter jedoch oft nur ein harmloses Bild. Ohne spezielle Bilderkennungssoftware (Computer Vision) kann der Filter den bösartigen Link, der im Bild „versteckt“ ist, nicht lesen.
Ist mein privates Smartphone gefährdet, wenn ich Firmencodes scanne?
Ja. Wenn Sie geschäftliche QR-Codes (z.B. für Microsoft 365 Logins) mit dem privaten Gerät scannen, verlassen Sie die geschützte IT-Infrastruktur des Unternehmens. Wenn das private Gerät keine Sicherheitssoftware hat, ist es ein leichtes Ziel für Angreifer.
Was soll ich tun, wenn ich versehentlich einen verdächtigen Code gescannt habe?
Trennen Sie sofort die Internetverbindung (Flugmodus). Geben Sie keine Daten ein. Informieren Sie umgehend Ihre IT-Abteilung oder den Sicherheitsbeauftragten. Ändern Sie Passwörter von einem anderen, sicheren Gerät aus.
