· magra-sec

Quishing: Wie QR-Code-Phishing funktioniert und wie Sie sich schützen

QR-Code-Phishing (Quishing) ist die neue Waffe der Cyberkriminellen. Erfahren Sie, warum KMU besonders gefährdet sind und welche Schutzmaßnahmen jetzt greifen.

IT

QR-Codes gehören zum Geschäftsalltag. Ob auf Visitenkarten, in E-Mails, auf Rechnungen oder bei der Zwei-Faktor-Authentifizierung - das kleine Quadrat mit den schwarzweißen Pixeln verbindet die analoge mit der digitalen Welt. Genau diese Selbstverständlichkeit machen sich Cyberkriminelle zunutze. Unter dem Begriff Quishing, einer Kombination aus “QR” und “Phishing”, hat sich eine Angriffsmethode etabliert, die klassische Sicherheitsfilter umgeht und gezielt auf die Schwachstelle Mensch setzt. Die Zahlen sind alarmierend: Laut aktuellen Sicherheitsberichten kommen bei rund 20 Prozent aller Angriffe mit Phishing-Baukästen bereits manipulierte QR-Codes zum Einsatz. Für kleine und mittlere Unternehmen in Deutschland ist das eine ernste Bedrohung, denn sie verfügen selten über die Sicherheitsinfrastruktur, die solche Angriffe zuverlässig abfängt.

Warum QR-Codes das perfekte Angriffswerkzeug sind

Der Kern des Problems liegt in der Natur des QR-Codes selbst. Anders als bei einem sichtbaren Link in einer E-Mail kann der Empfänger nicht erkennen, wohin ein QR-Code führt, bevor er ihn scannt. Die kodierte Struktur wirkt technisch, neutral und seriös. Es gibt keinen Text, der Misstrauen wecken könnte, keine verdächtige Domain, die ein geschultes Auge erkennen würde. Hinzu kommt ein entscheidender technischer Aspekt: Die meisten Unternehmen haben ihre Sicherheitsarchitektur auf Desktop-Systeme ausgerichtet. E-Mail-Gateways, Webfilter und Endpoint-Protection greifen auf dem Firmenrechner. Doch ein QR-Code verlagert die Interaktion auf das Smartphone des Mitarbeiters, das in vielen Fällen weder durch ein Mobile Device Management (MDM) verwaltet noch durch zentrale Sicherheitssysteme geschützt wird. Dieser bewusst herbeigeführte Medienbruch ist das Kernstück der Quishing-Strategie. Für Angreifer sind QR-Codes zudem extrem flexibel einsetzbar. Ein einziger Code kann dynamisch auf wechselnde Zielseiten umleiten, ohne dass die ursprüngliche Nachricht verändert werden muss. So lassen sich Kampagnen anpassen, Sicherheitsforscher in die Irre führen und Blocklisten umgehen. Die Erstellung eines manipulierten QR-Codes dauert Sekunden und erfordert keinerlei technische Expertise. Kostenlose Online-Generatoren reichen völlig aus, um einen Code zu erzeugen, der auf eine täuschend echte Phishing-Seite führt.

Die neuesten Tricks: QR-Puzzle und KI-gestützte Angriffe

Bildschirm mit Code und Sicherheitswarnungen Die Angriffsmethoden entwickeln sich rasant weiter. Ende Januar 2026 deckten Sicherheitsforscher des Unternehmens Barracuda eine neue Taktik auf, die als “QR-Puzzle” bezeichnet wird. Dabei wird der schädliche QR-Code nicht als einzelne Bilddatei versendet. Stattdessen zerlegen die Angreifer den Code in viele kleine Fragmente und setzen ihn innerhalb einer HTML-Tabelle wieder zusammen. Das menschliche Auge sieht einen ganz normalen QR-Code, doch automatisierte Sicherheitsscanner, die nach kompletten Bilddateien suchen, erkennen die Bedrohung nicht. Diese Technik stammt aus dem sogenannten Tycoon-Phishing-Kit, einem kommerziell im Darknet vertriebenen Baukasten für Cyberangriffe. Parallel dazu hat der Einsatz generativer KI die Qualität von Phishing-Kampagnen auf ein neues Niveau gehoben. Sprachliche Fehler, die früher ein zuverlässiges Warnsignal waren, gehören der Vergangenheit an. KI-Tools erzeugen perfekt formulierte, personalisierte Nachrichten in jeder Sprache - auch in fehlerfreiem Deutsch. Der begleitende QR-Code wirkt dann wie ein selbstverständlicher Teil einer professionellen Geschäftskommunikation. Das Geschäft mit Phishing-as-a-Service (PhaaS) im Darknet boomt: Die Anzahl bekannter Phishing-Baukästen hat sich 2025 verdoppelt, und viele dieser Kits enthalten bereits Funktionen zur Umgehung der Zwei-Faktor-Authentifizierung.

Typische Angriffsszenarien im Unternehmensalltag

Die Angriffsmuster sind vielfältig und treffen KMU an Stellen, an denen sie es am wenigsten erwarten. Besonders verbreitet sind fingierte E-Mails, die zur vermeintlichen Authentifizierung bei Microsoft 365 auffordern. Der Mitarbeiter erhält eine täuschend echt gestaltete Nachricht mit einem QR-Code zur angeblichen Passwort-Rücksetzung oder Kontoverifizierung. Ein Scan führt auf eine perfekt nachgebaute Login-Seite, die Zugangsdaten direkt an die Angreifer übermittelt. Da viele Unternehmen Microsoft 365 einsetzen und Mitarbeiter regelmäßig Sicherheitsbenachrichtigungen erhalten, ist die Erfolgsquote dieser Methode erschreckend hoch. Ein weiteres Szenario betrifft den physischen Raum. Die Landespolizeiinspektion Saalfeld warnte Anfang 2026 vor gefälschten Paketbenachrichtigungen, die in Briefkästen eingeworfen werden. Die Flyer sehen aus wie offizielle Mitteilungen von DHL, Hermes oder DPD und enthalten einen QR-Code zur angeblichen Sendungsverfolgung. Auch in Bürogebäuden werden manipulierte QR-Codes auf scheinbar offizielle Aushänge, WLAN-Zugangskarten oder Parkscheinautomaten geklebt. In vertrauten Umgebungen wie Microsoft Teams oder Slack geteilte QR-Codes senken die natürliche Skepsis zusätzlich, weil der bekannte Kontext Vertrauen erzeugt. Ein einziger erfolgreicher Scan kann Angreifern Zugang zum gesamten Unternehmensnetzwerk verschaffen, besonders dann, wenn die Netzwerksegmentierung unzureichend ist.

Warum KMU besonders gefährdet sind

Team arbeitet gemeinsam an Laptops in einem Büro Kleine und mittlere Unternehmen sind aus mehreren Gründen besonders anfällig für Quishing-Angriffe. Erstens fehlt häufig eine dedizierte IT-Sicherheitsabteilung, die neue Bedrohungen kontinuierlich beobachtet und die Schutzmaßnahmen anpasst. Laut einer Studie von Devolutions sind nur 22 Prozent der KMU gut auf Cyberangriffe vorbereitet. Zweitens werden mobile Endgeräte in vielen kleineren Unternehmen nach dem Prinzip “Bring Your Own Device” (BYOD) eingesetzt, ohne dass ein Mobile Device Management die Sicherheit dieser Geräte gewährleistet. Das Smartphone des Mitarbeiters wird zum blinden Fleck der Unternehmens-IT. Drittens ist das Bewusstsein für Quishing als eigenständige Bedrohung noch gering. Während die meisten Mitarbeiter mittlerweile wissen, dass sie verdächtige Links in E-Mails nicht anklicken sollten, gilt der QR-Code vielen noch als harmlos. Die Cybersicherheits-Checkliste 2025 des BSI hat das Thema zwar aufgegriffen, doch in der Praxis vieler Unternehmen ist Quishing noch nicht Teil der regelmäßigen Sicherheitsschulungen. Viertens verfügen KMU selten über die finanziellen Mittel, um in spezialisierte Lösungen wie KI-gestützte Bildanalyse für E-Mail-Security oder Mobile Threat Defense zu investieren. Genau diese technologische Lücke nutzen Angreifer systematisch aus.

Fünf Schutzmaßnahmen, die jedes KMU sofort umsetzen sollte

Der Schutz vor Quishing erfordert eine Kombination aus technischen Maßnahmen, organisatorischen Richtlinien und Mitarbeitersensibilisierung. Die gute Nachricht: Viele der wirksamsten Gegenmaßnahmen lassen sich ohne großes Budget umsetzen und greifen sofort. Entscheidend ist, dass Unternehmen das Thema als das behandeln, was es ist: eine ernstzunehmende Bedrohung, die nicht durch herkömmliche E-Mail-Filter abgefangen wird. 1. Mitarbeiter gezielt schulen und sensibilisieren. Regelmäßige Schulungen müssen Quishing als eigenständiges Thema behandeln. Dabei geht es nicht um theoretische Vorträge, sondern um praktische Übungen mit realistischen Simulationen. Mitarbeiter sollten wissen, dass sie QR-Codes aus unbekannten Quellen grundsätzlich nicht scannen und bei bekannten Absendern den Absender über einen zweiten Kanal verifizieren. Die goldene Regel lautet: Wenn ein QR-Code in einer E-Mail oder auf einem Ausdruck zur Eingabe von Zugangsdaten auffordert, ist höchste Vorsicht geboten. Plattformen wie KnowBe4 oder Phished bieten auch für KMU erschwingliche Awareness-Programme mit Quishing-Modulen an. 2. Mobile Endgeräte in die Sicherheitsarchitektur integrieren. Jedes Smartphone, das auf Unternehmensdaten zugreift, muss in das Sicherheitskonzept eingebunden werden. Ein Mobile Device Management (MDM) wie Microsoft Intune oder quelloffene Alternativen ermöglicht die zentrale Verwaltung von Sicherheitsrichtlinien, erzwingt Bildschirmsperren und ermöglicht im Ernstfall die Fernlöschung. Für KMU mit begrenztem Budget kann bereits die Einrichtung grundlegender Sicherheitsrichtlinien einen großen Unterschied machen, etwa die Pflicht zur Installation von Updates und die Einschränkung der App-Installation auf vertrauenswürdige Quellen. 3. Verbindliche Richtlinien für den Umgang mit QR-Codes definieren. Unternehmen sollten klare Regeln aufstellen: Geschäftsprozesse mit sensiblen Daten werden grundsätzlich nicht über QR-Codes initiiert. Wenn das Unternehmen selbst QR-Codes in der Kommunikation einsetzt, sollte dies klar dokumentiert und den Mitarbeitern bekannt gemacht werden. So entsteht ein Referenzrahmen, an dem sich ungewöhnliche QR-Code-Anforderungen sofort erkennen lassen. Diese Richtlinien gehören in den bestehenden Incident-Response-Plan integriert. 4. E-Mail-Sicherheit auf QR-Code-Erkennung aufrüsten. Moderne E-Mail-Security-Lösungen wie Barracuda, Proofpoint oder Hornetsecurity bieten bereits Module zur Erkennung von QR-Codes in E-Mails. Diese Lösungen analysieren eingebettete QR-Codes, extrahieren die kodierten URLs und prüfen sie gegen Bedrohungsdatenbanken. Für KMU, die bereits einen Managed Security Service nutzen, lohnt sich die Nachfrage, ob der Anbieter Quishing-Erkennung bereits abdeckt. Wer auf kostenlose Security-Tools setzt, sollte zumindest einen QR-Code-Scanner verwenden, der die Ziel-URL vor dem Öffnen anzeigt. 5. Zero-Trust-Prinzipien konsequent umsetzen. Selbst wenn ein Quishing-Angriff erfolgreich Zugangsdaten abgreift, lässt sich der Schaden durch eine Zero-Trust-Architektur erheblich begrenzen. Phishing-resistente MFA-Methoden wie FIDO2/WebAuthn-Tokens - die im Gegensatz zu SMS- oder App-basierten Codes nicht über eine Phishing-Seite abgefangen werden können - bieten den stärksten Schutz. Die Kombination mit Netzwerksegmentierung, minimalen Zugriffsrechten und kontinuierlicher Überprüfung von Zugriffen stellt sicher, dass ein kompromittiertes Konto nicht zum Einfallstor für das gesamte Netzwerk wird. Passkeys und FIDO2 sind mittlerweile auch für KMU praktikabel einsetzbar.

QR-Codes kritisch hinterfragen

Quishing ist keine Randerscheinung, sondern eine strategisch eingesetzte Angriffsmethode, die klassische Sicherheitsfilter systematisch umgeht. Die Kombination aus psychologischer Manipulation, technischer Tarnung und dem gezielten Ausnutzen des Medienbruchs zwischen Desktop und Smartphone macht QR-Code-Phishing zu einer der effektivsten Bedrohungen für KMU im Jahr 2026. Die gute Nachricht ist, dass die Gegenmaßnahmen weder komplex noch teuer sein müssen. Wer seine Mitarbeiter schult, mobile Geräte absichert, klare Richtlinien definiert und seine E-Mail-Security aktualisiert, reduziert das Risiko erheblich. Der erste Schritt ist das Bewusstsein: Ein QR-Code verdient dasselbe Misstrauen wie ein unbekannter Link in einer E-Mail. Behandeln Sie jeden QR-Code aus unbekannter Quelle so, als wäre es ein verdächtiger Anhang - denn genau das kann er sein. Wenn Sie unsicher sind, wie gut Ihr Unternehmen gegen Quishing und andere aktuelle Bedrohungen geschützt ist, bieten wir Ihnen eine IT-Sicherheitsberatung an, die speziell auf die Bedürfnisse von KMU zugeschnitten ist. Von der Schwachstellenanalyse bis zum fertigen Schutzkonzept begleiten wir Sie auf dem Weg zu mehr Sicherheit.