BSI warnt vor neuer Welle gefährlicher QR-Code-Angriffe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt dringend vor einer aggressiven neuen Welle von Cyberangriffen per QR-Code. Kriminelle nutzen dabei sogenanntes „Quishing“ – eine Kombination aus manipulierten QR-Codes und Künstlicher Intelligenz. Die Angriffe zielen direkt auf Smartphones ab und umgehen klassische Sicherheitsfilter. Die Bedrohung erreicht eine neue Dimension: Gefälschte Codes tauchen nicht nur in E-Mails, sondern auch als Aufkleber im öffentlichen Raum und sogar in Briefen auf.

So funktioniert die unsichtbare Gefahr im Quadrat

Der Begriff „Quishing“ setzt sich aus „QR-Code“ und „Phishing“ zusammen. Die Angreifer verstecken schädliche Links nicht mehr als Text, sondern in den quadratischen Bildcodes. Gängige Sicherheitsprogramme können diese Bilddateien oft nicht prüfen und blockieren. Die Gefahr verlagert sich so auf das in der Regel schlechter geschützte Smartphone.

Scannt ein Nutzer den Code, landet er auf einer gefälschten Webseite, die einer echten Login-Maske etwa einer Bank täuschend ähnlich sieht. Auf dem kleinen Handy-Display sind verdächtige Details in der Webadresse schwerer zu erkennen – ein klarer Vorteil für die Betrüger.

Dreiste Maschen: Vom Parkautomaten bis zum Bankbrief

Die Kreativität der Kriminellen kennt kaum Grenzen. Das BSI und Polizeibehörden warnen vor diesen gängigen Methoden:

• Manipulierte Aufkleber im öffentlichen Raum: In mehreren Städten klebten Betrüger gefälschte QR-Codes über die echten Codes an Parkscheinautomaten oder E-Auto-Ladesäulen. Wer sie scannt, wird auf eine Betrugsseite zur Eingabe von Kreditkartendaten geleitet.
• Gefälschte Briefpost: Eine besonders perfide Masche sind Briefe, die angeblich von Banken oder Behörden stammen. Die Polizei Stendal warnte kürzlich vor professionellen Schreiben im Namen der Volksbanken Raiffeisenbanken, die funktionsfähige QR-Codes zu Phishing-Seiten enthielten.
• E-Mails mit PDF-Anhang: Auch in E-Mails tauchen die Codes vermehrt auf, oft in PDF-Dateien, die als Rechnungen oder dringende Personal-Dokumente getarnt sind. Sie fordern zum Beispiel zum Login auf einer gefälschten Microsoft-365-Seite auf.

KI befeuert explosionsartigen Anstieg

Sicherheitsexperten verzeichnen einen alarmierenden Trend: Die Anzahl der Quishing-Angriffe hat sich in der zweiten Hälfte des Jahres 2025 verfünffacht. Ein Hauptgrund ist der Einsatz von Künstlicher Intelligenz (KI).

Während frühere Phishing-Versuche oft an holpriger Sprache oder schlechtem Design scheiterten, erstellen KI-Systeme heute fehlerfreie Texte und täuschend echte Webseiten. Diese neue Qualität macht es für Durchschnittsnutzer extrem schwer, den Betrug zu erkennen. Das BSI stuft Quishing daher als akute und weiter wachsende Bedrohung ein.

So schützen Sie sich vor der QR-Code-Falle

Angesichts der professionellen Angriffe ist die eigene Wachsamkeit der wichtigste Schutz. Polizei und BSI geben diese konkreten Tipps:

• Quelle prüfen: Scannen Sie nur Codes von absolut vertrauenswürdigen Quellen. Ist ein Aufkleber auf einem Parkscheinautomaten vielleicht über den originalen Code geklebt?
• URL checken: Viele Smartphone-Kameras zeigen vor dem Öffnen eine Vorschau der versteckten Webadresse an. Prüfen Sie diese genau auf verdächtige Schreibweisen.
• Druck ignorieren: Seien Sie misstrauisch, wenn eine Nachricht Sie unter Druck setzt, sofort einen Code zu scannen.
• Daten nie direkt eingeben: Geben Sie nach einem Scan niemals Passwörter oder Bankdaten ein, ohne die Aufforderung über einen offiziellen, bekannten Kanal (z.B. die Website Ihrer Bank) zu verifizieren.
• Zweiten Faktor aktivieren: Nutzen Sie wo immer möglich eine Multi-Faktor-Authentifizierung (MFA). Selbst mit gestohlenen Zugangsdaten fehlt Kriminellen dann der zweite Sicherheitsschritt.

Übrigens — wer sich gezielt gegen QR‑Code‑Betrug und ähnliche Phishing‑Tricks schützen will, findet mit dem kostenlosen Anti‑Phishing‑Paket eine praxisnahe 4‑Schritte‑Anleitung: Erkennen gefälschter Login‑Seiten, sichere Verhaltensregeln beim Scannen und einfache Checklisten für Smartphone‑Nutzer und Unternehmen. Jetzt kostenlosen Anti‑Phishing‑Guide herunterladen

Sollten Sie Opfer eines Angriffs geworden sein, sperren Sie umgehend betroffene Konten und erstatten Sie Anzeige bei der Polizei.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.