Quishing ist eine Form von Phishing, bei der QR-Codes verwendet werden, um Nutzer auf betrügerische Webseiten zu locken und sensible Daten zu stehlen.
Quishing ist ein Kunstwort aus „QR-Code“ und „Phishing“ und beschreibt eine spezielle Form des Social Engineering. Dabei werden manipulierte QR-Codes genutzt, um Nutzer auf gefälschte Webseiten zu leiten, über die Angreifer vertrauliche Informationen wie Login-Daten, Kreditkarteninformationen oder Unternehmenszugänge abgreifen können. Durch die zunehmende Nutzung von QR-Codes in Alltag und Geschäftswelt ist Quishing zu einer realen und wachsenden Bedrohung in der IT-Sicherheit geworden.
Bei einem typischen Quishing-Angriff platzieren Cyberkriminelle einen QR-Code in E-Mails, auf Flyern, Plakaten oder sogar direkt auf bestehenden QR-Code-Stickern, etwa in Restaurants oder an öffentlichen Orten. Scannt ein Nutzer diesen Code, wird er unbemerkt auf eine manipulierte Webseite weitergeleitet, die oft täuschend echt aussieht – etwa eine gefälschte Login-Seite für Microsoft, Google oder ein Online-Banking-Portal. Gibt der Nutzer dort seine Daten ein, werden diese direkt an die Angreifer übermittelt.
Ein weiteres Angriffsszenario besteht darin, dass beim Scannen des QR-Codes automatisch eine App heruntergeladen wird, die Malware enthält – beispielsweise einen Keylogger oder eine Ransomware-Komponente. Besonders gefährlich ist, dass mobile Betriebssysteme beim Öffnen von QR-Codes oft keine ausreichende Vorschau der Zieladresse anzeigen, was das Risiko einer Manipulation erhöht.
Quishing nutzt gezielt das Vertrauen vieler Menschen in QR-Codes, die als schnelle, einfache und sichere Methode zur Informationsweitergabe gelten. Zudem ist es für das menschliche Auge unmöglich, den Inhalt eines QR-Codes direkt zu erkennen – im Gegensatz zu einem sichtbaren Link in einer E-Mail. Diese Intransparenz spielt Angreifern in die Hände, denn viele Nutzer prüfen die Ziel-URL nicht genau, bevor sie persönliche Daten eingeben oder Downloads zulassen.
Auch Sicherheitslösungen wie Spamfilter oder URL-Scanner sind beim Erkennen von Quishing limitiert, da QR-Codes in grafischer Form eingebettet sind und der Link erst nach dem Scannen verarbeitet wird. Dadurch können klassische Erkennungsmethoden leicht umgangen werden.
In gefälschten E-Mails: etwa im Stil von Paketdiensten, Banken oder Cloud-Anbietern, die zur Identitätsbestätigung oder Problemlösung aufrufen.
In manipulierten Aushängen oder Aufklebern: im öffentlichen Raum, die etwa kostenlose WLAN-Zugänge, Gutscheine oder App-Downloads versprechen.
Auf Unternehmensveranstaltungen oder Konferenzunterlagen: wo gezielt Geschäftsleute angesprochen werden.
In Kombination mit anderen Angriffstechniken: etwa durch QR-Codes in Social-Media-Posts oder per Messenger verbreitet.
Die Auswirkungen können gravierend sein – von Identitätsdiebstahl über unautorisierten Zugriff auf Unternehmensnetzwerke bis hin zum finanziellen Verlust. Besonders im geschäftlichen Kontext kann Quishing dazu führen, dass Angreifer Zugriff auf interne Systeme, Kundendaten oder kritische Infrastruktur erhalten. Werden zusätzlich Schadprogramme installiert, kann es zu einer Verschlüsselung von Daten (Ransomware), Datenspionage oder dauerhaften Systemkompromittierungen kommen.
1. Nutzer sensibilisieren
Mitarbeitende und Nutzer sollten darüber aufgeklärt werden, QR-Codes nicht unkritisch zu scannen – besonders bei unbekannten oder verdächtigen Quellen.
2. QR-Code-Scanner mit Vorschaufunktion nutzen
Mobile Geräte sollten Apps verwenden, die die Ziel-URL vor dem Öffnen anzeigen, damit verdächtige Links erkannt werden können.
3. Technische Schutzmechanismen einsetzen
Sicherheitslösungen im Unternehmen können um Funktionen erweitert werden, die QR-Codes analysieren und verdächtige Weiterleitungen blockieren.
4. Nur vertrauenswürdige QR-Codes verwenden:
Unternehmen sollten eigene QR-Codes regelmäßig prüfen und vermeiden, QR-Codes an unsicheren oder öffentlich manipulierbaren Orten anzubringen.
5. Kritische Aktionen nicht über QR-Codes starten:
Logins, App-Downloads oder sicherheitsrelevante Einstellungen sollten nie allein über QR-Codes eingeleitet werden.
Quishing zeigt, wie sich klassische Phishing-Methoden an neue Technologien anpassen. Die einfache Verbreitung, die schwer erkennbare Gefahr und das steigende Vertrauen in QR-Codes machen diese Angriffsmethode besonders effektiv. Nur durch gezielte Aufklärung, technische Schutzmaßnahmen und kritisches Nutzerverhalten lässt sich die Gefahr nachhaltig reduzieren.
Weiteres IT-Wissen in unserem Blog
Besuche 12systems auf der Berufsmesse Diepholz am 13. und 14. Juni 2025 und entdecke spannende IT-Ausbildungsplätze – inklusive unserer interaktiven Challenge „Dein Weg ins Internet“, bei der du live ein Netzwerk aufbauen kannst. Starte deine Karriere in der IT mit starken Benefits und echtem Teamspirit!
Was besagt der EU AI Act für Ihr Unternehmen? Einen Überblick aller wichtigen Neuerungen und sinnvollen Maßnahmen für regelkonformen KI-Einsatz in ihrem Betrieb zur neuen KI-Verordnung der EU! Inklusive Whitepaper zum KI-Aktionsplan!
Die ultimative AR-Brillen Übersicht – Wir machen den Check! Alle Unterschiede und Vorteile von AR vs. VR. Erfahren Sie, wie Sie die neuste Technologie gewinnbringend in Ihr Unternehmen einsetzen können.
Alle Infos zum Support-Ende der Sophos Firewall XG. Meistern Sie in unserem 5-Schritte-Plan den reibungslosen Umstieg auf die moderne XGS-Serie. Inklusive Checkliste!
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen