BSI warnt vor massiver Quishing-Welle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer massiven Zunahme von „Quishing“. Bei dieser Betrugsmasche nutzen Kriminelle manipulierte QR-Codes, um Bankdaten und Passwörter zu stehlen. Besonders alarmierend: Künstliche Intelligenz macht die Angriffe nahezu unerkennbar. Allein in Nordrhein-Westfalen registrierten Behörden kürzlich über 382.000 Verdachtsfälle.

Die Bequemlichkeit des schnellen Smartphone-Scans wird für immer mehr Verbraucher zur Falle. Experten beobachten derzeit eine neue Qualität von Cyberangriffen. Während klassische Phishing-Mails oft durch sprachliche Fehler auffielen, setzen die Täter nun auf die visuelle Unscheinbarkeit von QR-Codes. Die Betrugsversuche nehmen sowohl online als auch an physischen Orten wie Parkautomaten massiv zu.

Da Betrüger zunehmend die Sicherheitslücken von Mobilgeräten beim Online-Banking oder PayPal-Checkouts ausnutzen, ist ein gezielter Geräteschutz unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritt-für-Schritt-Anleitungen, wie Sie Ihr Android-Smartphone effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Warum QR-Codes zur perfiden Falle werden

Das Kernproblem: Nutzer können das Ziel eines QR-Codes nicht mit bloßem Auge erkennen. Diese Intransparenz nutzen Betrüger gezielt aus, um Sicherheitsfilter zu umgehen. IT-Sicherheitsunternehmen wie Kaspersky verzeichnen seit Ende 2025 einen Anstieg der Quishing-Vorfälle um das Fünffache. Ein Schlupfloch ist die „Mobile Scanning Gap“: Da QR-Codes meist mit privaten Smartphones gescannt werden, geschieht dies oft außerhalb gesicherter Unternehmensnetzwerke.

Ein weiterer besorgniserregender Trend ist die Professionalisierung durch KI. Cyberkriminelle nutzen Modelle, um täuschend echte Phishing-Webseiten von Banken oder Bezahldiensten wie PayPal zu erstellen. Grammatikalische Fehler oder unprofessionelles Design gehören der Vergangenheit an. Die KI sorgt für fehlerfreie Kommunikation und passt Betrugsseiten in Echtzeit an. Berichten zufolge werden QR-Codes mittlerweile in fast zwei Prozent aller weltweiten Scans missbraucht.

Brennpunkt Parkplatz: Manipulationen im öffentlichen Raum

Besonders dreist agieren die Täter im öffentlichen Raum. In Städten wie München und Augsburg tauchten kürzlich manipulierte QR-Codes an Parkscheinautomaten auf. Betrüger überkleben originale Codes mit eigenen Stickern. Wer seine Parkgebühr bezahlen möchte, landet auf einer gefälschten Seite und gibt dort seine Kreditkartendaten preis. Die Polizei Bayern weist darauf hin, dass offizielle Parkvorgänge in vielen Städten nicht über QR-Codes auf Aufklebern abgewickelt werden.

Auch Besitzer von Elektrofahrzeugen stehen im Visier. An öffentlichen Ladesäulen tauchten gefälschte Codes auf, die eine einfache Bezahlung versprechen. Das Risiko ist hier besonders hoch, da Nutzer oft unter Zeitdruck stehen. Laut Branchenstatistiken ist der Energiesektor mittlerweile eines der Hauptziele. Rund 29 Prozent aller schädlichen QR-Codes werden in diesem Umfeld registriert. Opfer riskieren nicht nur den Verlust ihrer Daten, sondern auch Bußgelder.

Gezielte Angriffe auf Unternehmen und Finanzdienste

Das Quishing verlagert sich zunehmend in die geschäftliche Kommunikation. Aktuelle Warnungen betreffen Nutzer von Bezahldiensten wie SumUp. Betrüger versenden E-Mails mit dem Betreff „Dringende Maßnahme erforderlich“ und fordern zur Kontoverifizierung auf – per QR-Code. Dieser Umweg über das Bildformat soll automatisierte E-Mail-Filter überlisten, die Text-Links prüfen, Bildinhalte aber oft ignorieren. Diese Methode hat eine höhere Erfolgsquote als klassisches Phishing.

Sogar Paketbenachrichtigungen werden als Köder missbraucht. Gefälschte Nachrichten von DHL oder DPD informieren über angeblich „übergewichtige“ Sendungen oder ausstehende Zollgebühren, die per QR-Code beglichen werden sollen. Laut Branchenverbänden ist bereits jede zweite deutsche Organisation von solchen Social-Engineering-Angriffen betroffen. Die durchschnittlichen Kosten eines erfolgreichen Datenlecks werden auf rund 4,8 Millionen US-Dollar geschätzt.

Ob beim Online-Shopping oder bei Messenger-Diensten – viele Android-Nutzer übersehen entscheidende Sicherheitseinstellungen, die den Datendiebstahl verhindern könnten. Sichern Sie Ihr Gerät jetzt mit diesem kostenlosen Experten-Leitfaden inklusive praktischer Checklisten ab. Kostenloses Android-Sicherheitspaket jetzt anfordern

Wie KI und MFA-Fatigue die Abwehr aushebeln

Die aktuelle Welle markiert einen Wendepunkt. Die Kombination aus physischer Manipulation und digitalem Betrug schafft eine hybride Bedrohung. Ein Hauptproblem: Sicherheitsarchitekturen sind oft nicht auf die Echtzeit-Analyse von Bildinhalten ausgelegt. Während die Industrie Milliarden in die Erkennung bösartiger URLs investiert hat, bleibt der QR-Code ein „blinder Fleck“.

Selbst die Zwei-Faktor-Authentifizierung (2FA) bietet keinen vollständigen Schutz mehr. Moderne Quishing-Seiten agieren als „Adversary-in-the-Middle“. Sie fangen nicht nur das Passwort ab, sondern leiten den Nutzer in Echtzeit zur echten Bankseite weiter, um auch den Bestätigungscode zu stehlen. Damit wird der Schutzwall der Multi-Faktor-Authentifizierung ausgehebelt. Branchenanalysten merken an, dass Führungskräfte bis zu 42-mal häufiger Ziel solcher Angriffe sind.

Was Nutzer jetzt zum Schutz tun können

Für die nahe Zukunft ist mit einer weiteren Verschärfung der Lage zu rechnen. Das finanzielle Motiv bleibt hoch. Experten empfehlen daher eine grundlegende Skepsis gegenüber QR-Codes im öffentlichen Raum. Im Zweifel sollten manuelle Web-Adressen oder bereits installierte Apps verwendet werden. Technisch könnten spezielle Scanner-Apps helfen, die eine Vorschau der Ziel-URL anzeigen und diese gegen Sicherheitsdatenbanken abgleichen.

Langfristig wird der Schutz nur durch eine Kombination aus technischer Innovation und Nutzeraufklärung gelingen. Erste Softwarehersteller arbeiten bereits an KI-basierten Firewalls, die QR-Codes automatisch scannen. Bis diese Lösungen flächendeckend zum Einsatz kommen, bleibt die Wachsamkeit des Einzelnen der wichtigste Schutzwall. Das BSI rät: Bei jeder Aufforderung zur Dateneingabe nach einem QR-Scan innezuhalten und die Plausibilität kritisch zu prüfen.

boerse | 69033303 |