Quishing: Neue Cyberangriffswelle trifft Deutschland

Eine neue Welle von Cyberangriffen versetzt Sicherheitsbehörden und Unternehmen in Alarmbereitschaft. Die Methode: „Quishing“, eine Kombination aus QR-Code und Phishing. Kriminelle verstecken schädliche Links in scheinbar harmlosen Codes und umgehen so klassische Sicherheitsbarrieren. Aktuelle Fälle zeigen, wie alltäglich die Bedrohung geworden ist.

Gefälschte Bankbriefe und manipulierte Parkscheinautomaten

In Trier warnt die Polizei aktuell vor massenhaft verteilten gefälschten Bankbriefen. Die Schreiben tragen das Logo der Volksbanken Raiffeisenbanken und fordern Kunden auf, ihre Daten über einen abgedruckten QR-Code zu „aktualisieren“. Der Code leitet auf gefälschte Webseiten, die Login-Daten abgreifen.

Da Betrüger immer raffiniertere Methoden wie manipulierte QR-Codes nutzen, ist ein Basis-Schutz für das Mobilgerät unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Smartphone mit fünf einfachen Schritten effektiv gegen Datenklau und Hacker absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Ein ähnlicher Fall sorgte kürzlich in Immenstadt für Aufsehen. Eine Autofahrerin scannte an einem Parkscheinautomaten einen QR-Code zur Bezahlung. Das Geld wurde abgebucht, dennoch erhielt sie einen Strafzettel. Die Ermittlungen ergaben: Unbekannte hatten den originalen Code mit einem täuschend echten Aufkleber überklebt. Auch an Elektroauto-Ladesäulen wurden bereits manipulierte Codes entdeckt.

Warum Quishing für Unternehmen so gefährlich ist

Laut einer aktuellen Analyse des Sicherheitsunternehmens ANY.RUN gehört Quishing 2026 zu den erfolgreichsten Angriffsmethoden. Der Trick: Wird ein QR-Code in einer Firmen-E-Mail – etwa einer Gehaltsabrechnung – auf dem PC angezeigt und mit dem privaten Smartphone gescannt, verlässt der Datenverkehr das geschützte Firmennetzwerk.

Herkömmliche E-Mail-Filter laufen dabei ins Leere. Der schädliche Link steckt in einer Bilddatei, die Scanner nicht lesen können. Auf dem weniger gesicherten Privathandy landen die Nutzer dann auf gefälschten Login-Seiten für Microsoft 365 oder Google Workspace. Die eingegebenen Zugangsdaten fallen den Angreifern sofort in die Hände.

KI und dynamische Codes befeuern die Krise

Die Angriffe werden immer raffinierter. Künstliche Intelligenz generiert heute sprachlich fehlerfreie und persönlich wirkende Texte, die den Tonfall von Vorgesetzten perfekt imitieren. Das baut Druck auf, den Code schnell zu scannen.

Eine weitere Gefahr sind dynamische QR-Codes. Deren Zieladresse lässt sich nachträglich ändern. Angreifer leiten den Code zunächst auf eine harmlose Seite, um Sicherheitsprüfungen zu passieren. Später wird die Adresse auf einen bösartigen Server umgeleitet. Diese Technik macht Vorabkontrollen nahezu unmöglich.

Besonders perfide Phishing-Angriffe zielen zunehmend auf die psychologischen Schwachstellen von Mitarbeitern ab, um Sicherheitsbarrieren zu umgehen. Erfahren Sie in diesem Experten-Guide, wie Sie Ihr Unternehmen in vier Schritten vor modernen Hacker-Methoden und CEO-Fraud schützen können. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Der psychologische Trick hinter dem Code

Der Erfolg von Quishing basiert auf Gewohnheit und Bequemlichkeit. QR-Codes sind aus dem Alltag nicht mehr wegzudenken – für Speisekarten, Check-Ins oder Bezahlvorgänge. Dies hat das Misstrauen schwinden lassen. Ein Code wird als praktisches Bild und nicht als potenzielle Gefahr wahrgenommen.

Hinzu kommt das kleine Display des Smartphones. Die vollständige Ziel-Webadresse ist oft abgeschnitten oder verschleiert. Steht das Opfer unter Zeitdruck – am Parkautomaten oder bei einer angeblichen Dringlichkeit im Büro – entfällt die kritische Prüfung meist komplett. Diese Mischung aus technischer Tarnung und psychologischem Druck macht Quishing so effektiv.

Wie können sich Nutzer schützen?

IT-Experten raten zu grundlegenden Verhaltensänderungen. Die automatische Link-Öffnung nach dem Scannen sollte in den Smartphone-Einstellungen deaktiviert werden. Das erzwingt eine manuelle Prüfung der Adresse. Bei Codes im öffentlichen Raum gilt: Immer prüfen, ob Aufkleber sichtbar überklebt sind.

Bei unerwarteten Briefen oder Mails mit QR-Codes von Banken oder Behörden ist Vorsicht geboten. Sicherer ist es, die Webseite manuell im Browser einzutippen oder die offizielle App zu nutzen. Nur mit geschärftem Bewusstsein und Skepsis lässt sich diese mobile Bedrohung aktuell wirksam abwehren.