Quishing

Auch bekannt als: QR-Code-Phishing

Quishing ist Phishing per QR-Code: Angreifer verstecken bösartige Links hinter QR-Codes in E-Mails, auf Plakaten oder Aufklebern, weil der Code das Linkziel verschleiert und viele Sicherheitsfilter umgeht.

Warum funktioniert Quishing so gut?

Ein QR-Code ist für Menschen unlesbar - niemand sieht dem Pixelmuster an, wohin es führt. Genau das nutzen Angreifer doppelt aus: Der Nutzer kann das Linkziel vor dem Scannen nicht prüfen, und viele E-Mail-Sicherheitsfilter analysieren zwar Links im Text, aber keine in Bildern versteckten QR-Codes. Hinzu kommt der Gerätewechsel: Gescannt wird meist mit dem privaten Smartphone, das oft außerhalb der Unternehmens-Sicherheitsinfrastruktur läuft - ohne Web-Filter, ohne Endpoint-Schutz.

Wo lauern Quishing-Angriffe?

Typische Szenarien sind gefälschte E-Mails im Namen von IT-Abteilung oder Microsoft („Scannen Sie den Code, um Ihre Multifaktor-Authentifizierung zu erneuern”), präparierte Aufkleber über echten QR-Codes an Parkautomaten oder Ladesäulen sowie Codes auf gefälschten Rechnungen und Briefen. Das Ziel ist fast immer dasselbe: eine nachgebaute Login-Seite, die Zugangsdaten abgreift, oder der Download von Schadsoftware.

Wie schützt man sich vor Quishing?

Die Grundregel entspricht der bei klassischem Phishing: Nach dem Scannen die angezeigte URL prüfen, bevor man sie öffnet - und Zugangsdaten grundsätzlich nie auf einer Seite eingeben, die man über einen QR-Code erreicht hat. Unternehmen sollten das Thema explizit in Awareness-Schulungen aufnehmen, denn vielen Mitarbeitenden ist die Angriffsform noch unbekannt. Eine ausführliche Einordnung mit Schutzmaßnahmen bietet der Beitrag Quishing: Wie QR-Code-Phishing funktioniert.

Fragen zu Quishing in Ihrem Unternehmen?

Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.

Zuletzt aktualisiert: 4. Juli 2026