QR-Code-Betrug wird zur Spionagewaffe in Deutschland

Quishing-Attacken erreichen ein neues Niveau: Deutsche Behörden warnen vor QR-Codes als Einfallstor für Finanzbetrug und staatliche Spionage. Die Schäden für die Wirtschaft gehen in die Milliarden.

Die Bedrohung durch Cyberkriminalität in Deutschland hat diese Woche eine neue Dimension erreicht. Aktuelle Daten belegen einen massiven Anstieg von „Quishing“ – Phishing-Angriffen über manipulierte QR-Codes. Diese machen mittlerweile rund 12 Prozent aller globalen Phishing-Angriffe aus, wobei deutsche Infrastruktur ein Hauptziel ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) hatten bereits im Februar vor einer gezielten Angriffswelle gewarnt.

Rekord-Schäden durch Phishing zeigen, wie verwundbar die deutsche Infrastruktur geworden ist. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen diese neuen Bedrohungen schützen kann. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen

Vom Parkautomaten zur Spionage: Die zwei Gesichter des Quishing

Die sichtbarste Form des Betrugs spielt sich im öffentlichen Raum ab. Seit dem Frühjahr 2025 häufen sich Berichte über manipulierte Parkautomaten und Ladesäulen für Elektroautos. Kriminelle überkleben die originalen Zahlungs-QR-Codes mit täuschend echten Aufklebern. Diese leiten Nutzer auf gefälschte Portale weiter, die Kreditkartendaten, Kennzeichen und persönliche Identifikationsmerkmale abgreifen.

Das fatale Ergebnis ist oft ein doppelter finanzieller Schlag: Die Zahlungsdaten werden gestohlen und gleichzeitig kassieren die Opfer ein echtes Knöllchen, weil die Zahlung den Betreiber nie erreicht hat. In einem dokumentierten Fall auf einem Bahnhofsparkplatz Anfang 2025 meldete ein Opfer Verluste von über 13.000 Euro. Die Täter nutzten die gescannten Daten, um sich als Bankmitarbeiter auszugeben und weiteren Zugriff zu erlangen.

Doch Quishing ist längst mehr als Kleinkriminalität. Die Sicherheitsbehörden warnen vor der Nutzung als Werkzeug für hochrangige Spionage. Bei dieser Methode geben sich Angreifer als technischer Support aus und drängen Zielpersonen – etwa aus öffentlicher Verwaltung oder Verteidigung – dazu, einen QR-Code zu scannen. Statt Malware zu installieren, leitet der Scan einen „Geräte-Link“ ein. Das gibt den Spionen in Echtzeit Zugriff auf den Messenger-Account des Opfers auf einem von ihnen kontrollierten Zweitgerät. Der Nutzer bemerkt oft nichts, während seine privaten Kommunikationen und Kontaktlisten mitgelesen werden.

KI-Tricks und Milliardenschäden: Die Wirtschaft unter Druck

Die Angriffe werden immer raffinierter. Sicherheitsanalysten berichteten im März 2026 von einem 14-fachen Anstieg KI-gestützter Social-Engineering-Taktiken. Künstliche Intelligenz hilft dabei, Nachrichten mit perfekter Grammatik und maßgeschneiderten Ködern zu verfassen. Selbst geschulte Profis haben zunehmend Mühe, diese zu erkennen.

Der wirtschaftliche Schaden ist immens. Deutschland verlor 2024 rund 267 Milliarden Euro durch Cyberkriminalität – mehr als jedes andere europäische Land. Laut dem Digitalverband Bitkom fühlen sich sechs von zehn deutschen Unternehmen in ihrer Existenz durch Cyber-Bedrohungen gefährdet. Die Folge: Die Ausgaben für IT-Sicherheit steigen rasant. Der Markt für Sicherheitssoftware und -dienstleistungen soll 2026 um 9,9 Prozent auf 12,2 Milliarden Euro wachsen. Unternehmen investieren heute durchschnittlich 18 Prozent ihres IT-Budgets in Sicherheit – 2022 waren es erst 9 Prozent.

Die neuen EU-Sofortüberweisungs-Regeln verschärfen das Problem zusätzlich. Seit Zahlungsdienstleister Instant Payments anbieten müssen, haben Betrüger diese Kanäle verstärkt im Visier. Berichte vom Anfang 2026 zeigen einen Anstieg von Sofortzahlungs-Betrug um 110 Prozent in Europa, häufig initiiert durch Phishing- oder Quishing-Köder.

Warum herkömmliche Abwehr versagt

Der Erfolg der QR-Code-Angriffe hat einen einfachen Grund: Sie nutzen eine fundamentale Lücke in der Cybersicherheit aus. Herkömmliche E-Mail-Filter scannen textbasierte URLs auf bösartige Muster. Ein QR-Code ist jedoch ein Bild – der schädliche Link bleibt für veraltete Sicherheitssoftware unsichtbar.

Rund 68 Prozent der Quishing-Angriffe zielen gezielt auf Mobile-Nutzer ab, die Codes oft abgelenkt oder unterwegs scannen. Zwischen Oktober 2024 und März 2025 entdeckten Forscher allein in E-Mail-Anhängen über 1,7 Millionen einzigartige, schädliche QR-Codes. Da die Angriffe von E-Mails auf Messenger und den physischen Raum übergegriffen haben, ist der „menschliche Faktor“ zur größten Schwachstelle geworden. Ein BSI-Bericht aus 2025 stellte fest, dass die Nutzung essenzieller Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung (2FA) bei einigen Verbrauchergruppen sogar zurückgegangen ist – aus Sorge vor zu großer Komplexität.

Da Quishing-Angriffe gezielt den Faktor Mensch ausnutzen, ist ein professionelles Awareness-Training für Betriebe heute unerlässlich. Dieser kostenlose Leitfaden zeigt Unternehmen aus Verwaltung, Handel und Produktion, wie sie Phishing-Angriffe in 4 Schritten stoppen. Kostenloses Anti-Phishing-Paket für Firmen anfordern

Der Ausblick: Dynamische Codes und erhöhte Wachsamkeit

Die Cybersicherheitslandschaft in Deutschland entwickelt sich 2026 hin zu einer proaktiveren Verwaltung von QR-Infrastrukturen. Die Branche bewegt sich weg von statischen Codes, die nach dem Drucken nicht mehr geändert werden können, hin zu dynamischen QR-Codes als Unternehmensstandard.

Dynamische Codes ermöglichen es Unternehmen, Scan-Analysen in Echtzeit zu überwachen und einen Code sofort zu deaktivieren oder umzuleiten, wenn er kompromittiert wurde. Im Unternehmenssektor wird ein zentralisiertes QR-Code-Management zunehmend zur Standardanforderung für Compliance und Markenschutz.

Sicherheitsexperten empfehlen Verbrauchern und Unternehmen gleichermaßen eine „scan-wachsame“ Haltung. Dazu gehört: URLs in der Smartphone-Vorschaufunktion zu prüfen, bevor man sie öffnet; einzelne QR-Code-Aufkleber an öffentlichen Orten zu meiden; und für Zahlungen offizielle Apps direkt zu nutzen statt externe Links zu scannen. Da die Phishing-Zahlen bis Ende 2026 voraussichtlich bei fünf Millionen Angriffen pro Jahr oder mehr bleiben werden, bleibt der Kampf gegen Quishing ein Eckpfeiler der deutschen Digitalstrategie.

de | boerse | 69129885 |