QR-Code-Phishing: Neue Angriffswelle trifft deutsche Unternehmen

Quishing-Attacken umgehen Sicherheitsbarrieren und nutzen Smartphones als Einfallstor. Nordkoreanische Hacker zielen gezielt auf sensible Daten.

Eine raffinierte Cyber-Bedrohung landet in E-Mail-Postfächern weltweit und umgeht dabei traditionelle Sicherheitsvorkehrungen. Die als „Quishing“ bekannte Methode – eine Kombination aus QR-Code und Phishing – nutzt die beliebten Strichcodes, um Nutzer auf betrügerische Webseiten zu locken. Besorgniserregend: Auch staatlich unterstützte Hacker aus Nordkorea setzen diese Technik ein, wie eine aktuelle Warnung des US-Bundeskriminalamts FBI zeigt. Der Trend markiert eine gefährliche Verschiebung im Cyberkrieg, bei der Angreifer die allgegenwärtige Nutzung privater Smartphones im Berufsleben ausnutzen.

So funktioniert der QR-Code-Betrug

Der Erfolg von Quishing-Angriffen liegt in ihrer Einfachheit und der Umgehung gängiger Sicherheitsscanner. Statt verdächtiger Links, die von Software erkannt werden, enthalten die Betrugs-E-Mails den schädlichen URL versteckt in einem Bild – dem QR-Code selbst. Oft kommen diese als PDF- oder PNG-Anhang, was automatisierte Prüfungen zusätzlich erschwert.

Das Muster ist meist gleich: Ein Mitarbeiter erhält eine dringende Nachricht, die vermeintlich von Microsoft, der Personalabteilung oder einem vertrauenswürdigen Partner stammt. Darin wird er aufgefordert, einen angehängten QR-Code mit dem Smartphone zu scannen, etwa zur „Sicherheitsüberprüfung“. Damit wechselt der Nutzer vom besser geschützten Firmennetzwerk auf sein privates Mobilgerät. Der Code leitet ihn dann auf eine täuschend echte, für Mobilgeräte optimierte Login-Seite, die Zugangsdaten für Dienste wie Microsoft 365 oder Okta abgreift.

Passend zum Thema Mobilangriffe: Viele Angestellte scannen QR-Codes auf dem privaten Smartphone und geben damit unabsichtlich Kontozugänge frei. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt Schritt für Schritt, wie Sie WhatsApp, Banking-Apps und E-Mail-Clients vor Datendieben schützen – ohne teure Zusatz-Apps. Ideal für Mitarbeiter und IT-Verantwortliche, die mobile Risiken sofort minimieren wollen. Jetzt Gratis-Schutzpaket für Android herunterladen

Nordkoreanische Hacker nutzen die Technik

Die Gefahr wurde durch eine FBI-Warnung vom 8. Januar 2026 konkret. Die Behörde warnt vor der nordkoreanischen Hackergruppe Kimsuky (auch APT43), die Quishing-Kampagnen gegen strategische Ziele einsetzt. Dazu zählen Denkfabriken, akademische Einrichtungen sowie Regierungsstellen in den USA und anderen Ländern.

Laut FBI nutzte die Gruppe im Mai und Juni 2025 ausgeklügelte Social-Engineering-Taktiken. Die Angreifer gaben sich als Diplomaten oder Berater aus, um Opfer zum Scannen von QR-Codes zu bewegen – angeblich für Umfragen oder Konferenzanmeldungen. Kimsuky, das dem nordkoreanischen Geheimdienst Reconnaissance General Bureau zugerechnet wird, ist für gezielte Spionageangriffe bekannt. Die Adoption von Quishing zeigt, wie auch hochspezialisierte staatliche Akteure auf Methoden setzen, die menschliches Verhalten und Geräteschwachstellen ausnutzen.

Warum auch Zwei-Faktor-Authentifizierung versagt

Besonders tückisch: Moderne Quishing-Angriffe können die Multi-Faktor-Authentifizierung (MFA) aushebeln, lange ein Goldstandard der Kontosicherung. Die Angreifer stehlen nicht nur Passwörter, sondern zielen auf Sitzungstokens. Nachdem ein Nutzer sich auf der Fake-Seite eingeloggt hat, kapern sie diesen Token. Damit können sie sich Zugang zu Cloud-Identitäten und Firmennetzwerken verschaffen, ohne dass eine „gescheiterte MFA“-Warnung ausgelöst wird.

Dies ermöglicht es Angreifern, sich dauerhaft im Netzwerk einer Organisation einzunisten. Da der kritische Scan-Vorgang auf dem Smartphone stattfindet, entgeht er oft der Überwachung durch firmeneigene Sicherheitstools. Die QR-Codes, versteckt in Anhängen oder aufgeteilt in mehrere Bilder, entziehen sich zudem automatischen Scannern. Eine massive Schwachstelle für IT-Sicherheitsteams.

Hintergrund: Cyber-Betrug überholt Ransomware als größte Sorge

Der Aufstieg von Quishing spiegelt einen globalen Trend wider. Laut dem „Global Cybersecurity Outlook 2026“ des Weltwirtschaftsforums hat cyber-gestützter Betrug Ransomware als Top-Sorge von CEOs abgelöst. Fast drei Viertel der Führungskräfte gaben an, im vergangenen Jahr persönlich Betrugsversuche erlebt zu haben.

Der Bericht betont zudem die Rolle Künstlicher Intelligenz (KI) als Treiber von Cyber-Risiken. 94 Prozent der Führungskräfte erwarten, dass KI in diesem Jahr die größten Auswirkungen auf die Cybersicherheit haben wird. Quishing selbst wird zwar nicht von KI angetrieben, profitiert aber von derselben Dynamik des schnellen technologischen Wandels. Es ist eine Form des Social Engineering, die menschliches Vertrauen und technologische Bequemlichkeit ausnutzt – eine Taktik, die durch KI-gestützte Personalisierung von Phishing-Nachrichten noch gefährlicher wird.

Wie sich Unternehmen schützen können

Experten gehen davon aus, dass Quishing und andere mobile Phishing-Angriffe weiter zunehmen werden. Die Gegenstrategie muss mehrgleisig sein:

• Nutzer sensibilisieren: Die wichtigste Verteidigungslinie ist aufgeklärtes Personal. Mitarbeiter müssen lernen, unaufgeforderte QR-Codes in E-Mails grundsätzlich zu misstrauen.
• Kultur der Nachfrage etablieren: Unternehmen sollten eine Atmosphäre schaffen, in der Mitarbeiter verdächtige Aufforderungen per E-Mail – etwa durch einen Rückruf – verifizieren, bevor sie handeln.
• Mobile Geräte schützen: Die Implementierung von Mobile Threat Defense-Lösungen ist entscheidend, um Sichtbarkeit und Schutz auf privaten und firmeneigenen Smartphones zu gewährleisten. Die Absicherung der mobilen Umgebung wird vom „Nice-to-have“ zur Pflicht.

Der Kampf gegen Quishing zeigt: Cybersicherheit endet nicht am Firmen-Laptop. Sie muss das Smartphone in der Hosentasche jedes Mitarbeiters mit einbeziehen.

PS: Quishing nutzt genau die Lücke, wenn Mitarbeitende vom Firmennetz auf das private Handy wechseln. Dieses kostenlose Praxis‑Paket erklärt die fünf wirksamen Maßnahmen – von App‑Prüfung über automatische Updates bis zu Empfehlungen für Mobile Threat Defense‑Tools in Unternehmen – und liefert sofort anwendbare Checklisten für den Sofortschutz. Jetzt Android‑Sicherheitspaket anfordern