Kaspersky warnt vor explosionsartigem Anstieg von QR-Code-Phishing

Cyberkriminelle verlagern ihre Angriffe auf mobile Geräte und nutzen die Allgegenwart von QR-Codes für betrügerische Kampagnen. Die Fallzahlen sind binnen drei Monaten um das Fünffache gestiegen.

Die Bedrohung durch sogenanntes „Quishing“ – Phishing-Angriffe über manipulierte QR-Codes – hat sich zu Jahresbeginn 2026 dramatisch verschärft. Neue Daten des Cybersicherheitsunternehmens Kaspersky zeigen einen explosionsartigen Anstieg dieser Angriffsform, der einen strategischen Wechsel der Kriminellen markiert. Sie umgehen damit gezielt die Sicherheitsfilter in Unternehmensnetzwerken und nutzen das oft schwächer geschützte Smartphone als Einfallstor.

Die Zahlen sind alarmierend: Laut einem Bericht von Kaspersky stieg die Zahl entdeckter bösartiger QR-Codes von 46.969 im August 2025 auf 249.723 im November – ein Zuwachs um mehr als 400 Prozent in nur einem Quartal. Dieser aggressive Sprung zeigt, dass Cyberkriminelle die Technik nicht mehr nur testen, sondern in großem Maßstab einsetzen.

Passend zum Thema QR-Code-Angriffe: Viele Android-Nutzer übersehen diese 5 grundlegenden Schutzmaßnahmen, die Quishing-Angriffe abwehren – von eingeschränkten App-Rechten über sichere Kamera-/Scanner-Einstellungen bis hin zu einfachen Prüfregeln, bevor Sie einen Code scannen. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Smartphone gegen Datenklau und Schadsoftware härten und Phishing-Webseiten erkennen. Praktische Checklisten helfen Ihnen, im Ernstfall schnell zu reagieren. Jetzt das Gratis-Sicherheitspaket für Android herunterladen

Die Angriffe häuften sich besonders gegen Jahresende, als viele Mitarbeiter mit Benachrichtigungen überhäuft wurden und Codes oft ungeprüft scannten. Der Erfolg der Methode liegt in ihrer Umgehung klassischer E-Mail-Sicherheitssysteme. Während Text-Links von Filtern leicht erkannt und blockiert werden, behandeln viele Gateways QR-Codes in E-Mails oder PDF-Anhängen als harmlose Bilder. So gelangen sie direkt in Postfächer.

So funktionieren die getarnten Angriffe

Die Angreifer setzen auf raffinierte Täuschung. Sie platzieren die schädlichen Codes in PDF-Anhängen oder direkt in E-Mails, die offizielle Geschäftskommunikation imitieren. Typische Fallen sind:

• Zwei-Faktor-Authentifizierungs-Aufforderungen: Gefälschte Mails von „Microsoft“ oder der IT, die zum Scannen „aus Sicherheitsgründen“ auffordern.
• Personal- und Gehaltsmitteilungen: Falsche Infos zu Gehaltsanpassungen, Steuerdokumenten oder Unternehmensbenefits.
• Dokumenten-Unterzeichnungen: Gefälschte Anfragen von DocuSign oder Adobe Acrobat, die einen Scan für ein „sicheres“ Dokument verlangen.

Scannt das Opfer den Code, landet es mit seinem Smartphone auf einer präparierten Phishing-Website, die Login-Daten abgreift. Da der Angriff auf dem mobilen Gerät – oft außerhalb der Firmen-IT – stattfindet, bemerken Sicherheitsteams die Kompromittierung meist zu spät.

Branche warnt vor neuem Standard

Die Meldungen lösten in der Sicherheitsbranche sofort Reaktionen aus. Der Analytics-Anbieter QR Tiger betonte in seinem aktuellen Trendreport zwar das weiter wachsende legitime Nutzungspotenzial von QR-Codes, verwies aber parallel auf deren zunehmende „Bewaffnung“.

Sicherheitsexperten sehen in dem fünffachen Anstieg mehr als eine vorübergehende Welle. „Der Sprung signalisiert einen neuen Standard beim Phishing“, analysieren Branchenbeobachter diese Woche. „Angreifer haben erkannt, dass die Lücke zwischen geschütztem Desktop und verwundbarem Mobilgerät ihr lukrativster Einstiegspunkt ist.“

Hersteller arbeiten nun unter Hochdruck daran, ihre Systeme mit besserer Bilderkennung und KI-Analyse nachzurüsten, um die Codes in Anhängen zu identifizieren.

Das droht Unternehmen 2026

Für das laufende Jahr prognostizieren Experten, dass „Quishing“ in einigen Branchen wie Finanzen oder Logistik sogar das klassische Link-Phishing überholen könnte. Erwartet werden:

• KI-unterstützte Täuschung: Generative KI erstellt täuschend echte, personalisierte QR-Code-Umgebungen wie gefälschte Rechnungen oder interne Memos.
• Physisch-digitale Kreuzangriffe: Kriminelle platzieren Codes an echten Orten wie Parkautomaten oder Konferenzzentren, um gezielt Mitarbeiter bestimmter Firmen zu treffen.
• Verschärfte Regulierung: Compliance-Behörden könnten strengere Mobile-Device-Management (MDM)-Richtlinien fordern, um die Schwachstelle privater Geräte (BYOD) zu schließen.

Unternehmen sollten ihre IT-Sicherheitsschulungen umgehend um Module zur QR-Code-Sicherheit erweitern. Die klare Botschaft für 2026 lautet: Wer per E-Mail zum Scannen aufgefordert wird, sollte die Aufforderung immer erst über einen zweiten Kanal verifizieren – bevor das Smartphone gezückt wird.

PS: So sichern Sie Ihr Android ohne teure Zusatz-Apps: Dieser kostenlose Ratgeber erklärt die 5 wichtigsten Maßnahmen, mit denen Sie Ihr Smartphone gegen Quishing, Phishing-Links und bösartige Downloads schützen. Mit klaren Schritt-für-Schritt-Anleitungen, Checklisten und praxisnahen Tipps für BYOD im Unternehmen. Holen Sie sich das kompakte Sicherheitspaket und reduzieren Sie das Risiko bei QR-Code-Scans sofort. Gratis-Ratgeber jetzt anfordern