Quishing
Auch bekannt als: QR-Code-Phishing
Quishing ist Phishing per QR-Code: Angreifer verstecken bösartige Links hinter QR-Codes in E-Mails, auf Plakaten oder Aufklebern, weil der Code das Linkziel verschleiert und viele Sicherheitsfilter umgeht.
Warum funktioniert Quishing so gut?
Ein QR-Code ist für Menschen unlesbar - niemand sieht dem Pixelmuster an, wohin es führt. Genau das nutzen Angreifer doppelt aus: Der Nutzer kann das Linkziel vor dem Scannen nicht prüfen, und viele E-Mail-Sicherheitsfilter analysieren zwar Links im Text, aber keine in Bildern versteckten QR-Codes. Hinzu kommt der Gerätewechsel: Gescannt wird meist mit dem privaten Smartphone, das oft außerhalb der Unternehmens-Sicherheitsinfrastruktur läuft - ohne Web-Filter, ohne Endpoint-Schutz.
Wo lauern Quishing-Angriffe?
Typische Szenarien sind gefälschte E-Mails im Namen von IT-Abteilung oder Microsoft („Scannen Sie den Code, um Ihre Multifaktor-Authentifizierung zu erneuern”), präparierte Aufkleber über echten QR-Codes an Parkautomaten oder Ladesäulen sowie Codes auf gefälschten Rechnungen und Briefen. Das Ziel ist fast immer dasselbe: eine nachgebaute Login-Seite, die Zugangsdaten abgreift, oder der Download von Schadsoftware.
Wie schützt man sich vor Quishing?
Die Grundregel entspricht der bei klassischem Phishing: Nach dem Scannen die angezeigte URL prüfen, bevor man sie öffnet - und Zugangsdaten grundsätzlich nie auf einer Seite eingeben, die man über einen QR-Code erreicht hat. Unternehmen sollten das Thema explizit in Awareness-Schulungen aufnehmen, denn vielen Mitarbeitenden ist die Angriffsform noch unbekannt. Eine ausführliche Einordnung mit Schutzmaßnahmen bietet der Beitrag Quishing: Wie QR-Code-Phishing funktioniert.
Verwandte Begriffe
Fragen zu Quishing in Ihrem Unternehmen?
Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.
Zuletzt aktualisiert: 4. Juli 2026