BSI warnt vor Quishing: QR-Codes als neues Einfallstor für Cyberangriffe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Eine neue Welle von QR-Code-Angriffen zielt direkt auf die Schwachstelle Mensch in der mobilen Arbeitswelt.

In einer Zeit, in der Homeoffice und Cloud-Dienste den Arbeitsalltag prägen, nutzen Cyberkriminelle eine perfide Methode: das sogenannte „Quishing“. Dabei locken manipulierte QR-Codes Mitarbeiter auf gefälschte Login-Seiten, um Zugangsdaten zu erbeuten. Eine aktuelle Warnung des BSI vom 19. Februar 2026 unterstreicht die Dringlichkeit, Sicherheitsstrategien an die dezentrale IT-Realität anzupassen. Der Angriffsvektor verschiebt sich vom Unternehmensnetzwerk hin zum Smartphone in der Hand des Nutzers – oft außerhalb der Reichweite traditioneller Schutzmaßnahmen.

Wie der QR-Code Sicherheitsfilter austrickst

Die Taktik ist simpel, aber wirkungsvoll. Während moderne E-Mail-Systeme bösartige Links zuverlässig erkennen, umgeht der QR-Code diese Filter. Der Angriff verlagert sich auf die visuelle Ebene. Ein Scan mit der Handykamera führt direkt auf eine täuschend echte Phishing-Seite, ohne dass die firmeneigene IT-Sicherheit den Datenverkehr überhaupt analysieren kann.

Die Zahlen sind alarmierend: In der zweiten Hälfte des Jahres 2025 hat sich die Anzahl der Quishing-Vorfälle verfünffacht. Mobile Nutzer stehen im Fokus. Die Angreifer setzen auf klassisches Social Engineering. Sie erzeugen Handlungsdruck oder geben sich als vertrauenswürdiger Cloud-Dienst aus, um Mitarbeiter zur unbedachten Preisgabe ihrer Anmeldedaten zu bewegen.

Cloud und KI: Moderne Architekturen, neue Risiken

Die fortschreitende Digitalisierung schafft neue Einfallstore. Cloud-Dienste, Remote-Arbeit und eine Flut vernetzter Geräte erweitern die Angriffsfläche massiv. Der traditionelle Sicherheitsperimeter, der einst das Firmennetzwerk umschloss, löst sich auf. Cyberkriminelle zielen heute weniger auf das Netzwerk selbst, sondern gezielt auf die Identitäten und Zugänge zu Cloud-Plattformen.

Die Bedrohung wird durch den Einsatz von Künstlicher Intelligenz (KI) seitens der Angreifer verschärft. KI-generierte Phishing-Mails wirken täuschend echt, und polymorphe Malware ändert ständig ihre Signatur, um unerkannt zu bleiben. Gleichzeitig können fehlkonfigurierte KI-Systeme im Unternehmen selbst zum Risiko für kritische Infrastrukturen werden. Reaktive Abwehrmaßnahmen allein reichen nicht mehr aus.

Zero Trust: Die strategische Antwort auf Quishing & Co.

Als Gegenmodell zum gescheiterten Perimeter-Ansatz etabliert sich Zero Trust zum neuen Sicherheitsstandard. Das vom BSI befürwortete Konzept folgt dem Grundsatz „Niemals vertrauen, immer überprüfen“. Jede Zugriffsanfrage – egal von wo sie kommt – muss streng authentifiziert und autorisiert werden.

Dieser Ansatz wirkt besonders gut gegen Quishing. Selbst wenn ein Angreifer Zugangsdaten erbeutet hat, kann er sich nicht frei im Netzwerk bewegen. Die sogenannte laterale Bewegung wird durch Mikrosegmentierung unterbunden. Die Umsetzung von Zero Trust ist zwar aufwendig, schützt aber gleichermaßen vor externen Angriffen und Insider-Bedrohungen. Spätestens mit der verschärften EU-Richtlinie NIS-2, die seit Anfang 2026 gilt, wird dieser ganzheitliche Ansatz für viele Unternehmen zur Pflicht.

Paradigmenwechsel: Vom Technik- zum Menschen-Fokus

Die BSI-Warnung markiert einen fundamentalen Wandel. Cyberkriminelle agieren heute wie professionelle Dienstleister, nutzen Ransomware-as-a-Service und skalieren ihre Angriffe mit KI. Der Fokus hat sich von der Infrastruktur hin zum Menschen und seinen digitalen Identitäten verschoben.

Die Cybersicherheit 2026 wird daher davon abhängen, ob es gelingt, eine widerstandsfähige Kultur aufzubauen. Dazu gehören moderne Architekturen wie Zero Trust, kontinuierliche Mitarbeiterschulung gegen Social Engineering und die Absicherung der digitalen Lieferkette. Die schnelle Erkennung und Reaktion auf Vorfälle wird zum entscheidenden Wettbewerbsfaktor.

Wer Mitarbeitende praxisnah gegen Quishing & Co. stärken möchte, findet Hilfe im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Bedrohungsmuster (inklusive KI-gestützter Phishing-Methoden), konkrete Schutzmaßnahmen für den Mittelstand und sofort umsetzbare Schritte zur Stärkung Ihrer IT-Sicherheitskultur. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Für den deutschen Mittelstand bedeutet das: Investitionen in IT-Sicherheit sind keine Kosten mehr, sondern eine strategische Notwendigkeit für das Überleben des Geschäfts. Die Widerstandsfähigkeit eines Unternehmens wird künftig davon abhängen, wie agil es seine Sicherheitsarchitektur an eine sich ständig weiterentwickelnde Bedrohungslage anpassen kann.