BSI warnt vor neuer Welle gefährlicher QR-Code-Betrügereien

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor einer massiven Welle von Cyberangriffen auf Mobilgeräte. Im Fokus steht die neue Masche „Quishing“ – eine Kombination aus QR-Code und Phishing. Kriminelle überkleben dabei echte Codes oder versenden gefälschte Briefe, um an sensible Daten zu gelangen. Angetrieben durch Künstliche Intelligenz sind die Betrugsversuche kaum noch von echten Nachrichten zu unterscheiden.

So funktioniert der QR-Code-Betrug im Alltag

Die Täter gehen zunehmend analog vor, um digitale Sicherheitsbarrieren zu umgehen. Sicherheitsbehörden registrieren bundesweit Vorfälle im öffentlichen Raum: Kriminelle überkleben legitime QR-Codes an Parkscheinautomaten oder E-Ladesäulen mit ihren eigenen, manipulierten Varianten. Wer den Code scannt, um zu bezahlen, landet auf einer täuschend echten Fake-Seite. Dort eingegebene Kreditkartendaten landen direkt bei den Betrügern.

Ob beim Online-Banking oder beim Scannen von QR-Codes – unsere Smartphones sind ständig im Visier von Datendieben. Dieser kostenlose Ratgeber zeigt Ihnen, mit welchen fünf einfachen Handgriffen Sie Ihr Android-Gerät effektiv vor Schadsoftware und Hackerangriffen schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Masche dringt auch in Privathaushalte ein. Verbraucherzentralen berichten von gefälschten Benachrichtigungskarten bekannter Paketdienste in Briefkästen. Diese fordern zum Scannen eines QR-Codes auf, um angebliche Zollgebühren zu begleichen oder Zustelltermine neu zu vereinbaren. Auch täuschend echte Briefe im Namen von Banken kursieren, die Sicherheitsupdates vortäuschen. In Wirklichkeit geht es um den Abgriff von Zugangsdaten.

KI macht Betrugsmaschen fast perfekt

Dass Quishing-Angriffe derart erfolgreich sind, liegt maßgeblich am Einsatz generativer Künstlicher Intelligenz. Das BSI ordnet Quishing in eine neue, gefährliche Angriffs-Triade ein, zu der auch Betrug per SMS (Smishing) und Telefon (Voice Cloning) gehören. Während Phishing-Mails früher oft durch schlechte Grammatik auffielen, generieren KI-Modelle heute fehlerfreie, persönlich wirkende Texte in Sekunden.

Die Technologie ermöglicht zudem die massenhafte Erstellung perfekter Kopien legitimer Webseiten. Die Login-Maske, die nach dem Scan erscheint, ist optisch nicht mehr vom Original zu unterscheiden. Cybersicherheitsunternehmen verzeichnen einen explosionsartigen Anstieg: Die Zahl schädlicher QR-Codes in abgefangener Kommunikation stieg binnen weniger Monate auf Hunderttausende Fälle. KI variiert jeden Code minimal, sodass er für Spam-Filter immer wie eine neue, unbekannte Kommunikation aussieht.

Neue Gesetze bringen Unternehmen in die Pflicht

Die Bedrohung trifft längst auch die Wirtschaft. Scannen Mitarbeiter einen manipulierten Code auf dem Diensthandy, können Kriminelle Zugang zu Unternehmensnetzwerken erlangen. Der Scan erfolgt direkt über Kamera und Browser – die klassischen Firmen-Firewalls werden so umgangen.

Da herkömmliche Sicherheitsfilter bei KI-generierten Angriffen oft versagen, rückt die Eigenverantwortung der Nutzer in den Fokus. Wie Sie eine häufig unterschätzte Sicherheitslücke auf Ihrem Smartphone schließen und WhatsApp sowie Banking-Apps absichern, erfahren Sie in diesem Gratis-Leitfaden. Kostenlosen Android-Sicherheits-Guide anfordern

Zusätzliche Brisanz erhält das Thema durch verschärfte Gesetze. Das Ende 2025 in Kraft getretene NIS-2-Umsetzungsgesetz verschärft die Cybersicherheitspflichten für tausende Betriebe. Erfolgreiche Quishing-Angriffe, die zu einem Datenleck führen, unterliegen strengen Meldepflichten. Verstöße können Bußgelder von bis zu zehn Millionen Euro nach sich ziehen. Geschäftsführer können bei grober Fahrlässigkeit in der IT-Sicherheit nun persönlich haften. Der Druck auf Führungsetagen, mobile Sicherheitskonzepte und Schulungen umzusetzen, ist enorm.

So können Sie sich schützen

Gegen die Quishing-Gefahr empfehlen Behörden eine Mischung aus Wachsamkeit und technischen Maßnahmen. Der wichtigste Grundsatz: Scannen Sie QR-Codes niemals blind oder unter Zeitdruck. Prüfen Sie im öffentlichen Raum, ob ein Code als Aufkleber über ein Original geklebt wurde.

Bei Briefen von Banken oder Paketdiensten ist Vorsicht geboten, wenn Sie nur mit unpersönlichen Floskeln wie „Sehr geehrte Kontoinhaberin“ angesprochen werden. Gehen Sie sicherer den direkten Weg: Tippen Sie die Webadresse des Dienstleisters manuell ein oder öffnen Sie dessen offizielle App.

Technisch hilft es, die Smartphone-Kamera so einzustellen, dass sich Links nicht automatisch öffnen. Moderne Betriebssysteme zeigen die Zieladresse zunächst als Textvorschau an. So sehen Sie, ob die Domain verdächtig aussieht. Die konsequente Nutzung der Zwei-Faktor-Authentifizierung (2FA) stellt einen entscheidenden Schutzwall dar. Selbst wenn Betrüger das Passwort erbeuten, fehlt ihnen der zweite Faktor für den Kontozugriff. Unternehmen sollten ihre Belegschaft schulen und spezielle Mobile-Threat-Defense-Lösungen auf Dienstgeräten installieren.