QR-Code-Phishing: Microsoft warnt vor 146 Prozent mehr Angriffen

Die Zahl der QR-Code-Phishing-Angriffe ist im ersten Quartal 2026 explosionsartig gestiegen. Microsofts Sicherheitsexperten schlagen Alarm.

Der neue Report von Microsoft Threat Intelligence zeigt eine dramatische Entwicklung: Zwischen Januar und März dieses Jahres verzeichneten die Sicherheitsforscher einen Anstieg von 146 Prozent bei sogenannten „Quishing"-Angriffen. Die Analyse von 8,3 Milliarden E-Mail-Bedrohungen offenbart einen strategischen Wandel der Cyberkriminellen. Sie setzen zunehmend auf bildbasierte Schadsoftware, um traditionelle Sicherheitsfilter zu umgehen und die wachsende Abhängigkeit von mobilen Geräten in Unternehmen auszunutzen.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket jetzt gratis herunterladen

Die Architektur des Quishing

Die rasche Verbreitung von Quishing hat handfeste technische Gründe. Herkömmliche E-Mail-Sicherheitsgateways sind darauf ausgelegt, Text zu analysieren und schädliche URLs im Nachrichteninhalt zu identifizieren. Doch Quishing versteckt den bösartigen Link in einem Bild – einem QR-Code – den diese Scanner oft nicht entschlüsseln können. Das schafft eine strukturelle Sicherheitslücke.

Besonders tückisch: Der Angriff verlagert die Bedrohung vom geschützten Firmen-Desktop auf das ungeschützte mobile Endgerät. Scannt ein Mitarbeiter einen QR-Code vom Bildschirm seines Arbeitsrechners mit dem privaten Smartphone, umgeht er damit die Sicherheitskontrollen des Unternehmensnetzwerks. Aktuelle Daten zeigen, dass rund 73 Prozent der Nutzer QR-Codes scannen, ohne die Ziel-URL zu überprüfen.

Die Taktiken werden raffinierter. Die Sicherheitsforscher dokumentierten den Einsatz von Logos in QR-Codes, Manipulationen von MIME-Formaten und die Nutzung gefälschter CAPTCHA-Prüfungen. Allein im März registrierte Microsoft 11,9 Millionen Angriffe über CAPTCHA-geschützte Phishing-Seiten. Fast 90 Prozent der schädlichen Scans führen zu Seiten, die Zugangsdaten für Microsoft 365, Gmail oder Finanzportale stehlen sollen.

Smishing und die Jagd auf Messenger-Dienste

Neben Quishing bleibt auch Smishing – Phishing per SMS – eine ernste Bedrohung. Die Zahl der SMS-basierten Angriffe stieg im Jahresvergleich um über 2500 Prozent. Ermöglicht wird diese Explosion durch „Smishing-as-a-Service"-Kits im Darknet, mit denen selbst unerfahrene Täter großangelegte Kampagnen starten können.

Im März 2026 schlugen FBI und die US-Cybersicherheitsbehörde CISA Alarm: Eine raffinierte Phishing-Kampagne zielte auf den Messenger-Dienst Signal ab. Russische Geheimdienstakteure verschickten betrügerische Nachrichten, die als automatisierte Support-Konten getarnt waren. Ziel war der unbefugte Zugriff auf tausende Nutzerkonten – mit verheerenden Folgen für die Sicherheit von Regierungs- und Unternehmenskommunikation.

Künstliche Intelligenz treibt diese Entwicklung massiv voran. Zwischen 40 und 56 Prozent der beobachteten Phishing-Nachrichten in Spitzenzeiten sind mittlerweile KI-generiert. Die KI produziert fehlerfreie, hyper-personalisierte Nachrichten, die den Schreibstil vertrauter Kontakte oder Führungskräfte perfekt imitieren. Das macht die Erkennung für den Menschen nahezu unmöglich.

Datenschutz und finanzielle Risiken

Die Kosten solcher Angriffe sind enorm. Der IBM Data Breach Report 2025 beziffert die durchschnittlichen Kosten eines Phishing-Vorfalls auf umgerechnet rund 4,5 Millionen Euro. In den USA liegen die Kosten mit umgerechnet etwa 9,4 Millionen Euro pro Vorfall noch deutlich höher – der höchste je gemessene Wert.

Auch die Regulierungsbehörden verschärfen den Kurs. Die kumulierten Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) haben mittlerweile die Marke von 7,1 Milliarden Euro überschritten. Europäische Datenschutzbehörden erhalten täglich durchschnittlich 443 Meldungen über Datenschutzverletzungen – ein Anstieg von 22 Prozent im Jahresvergleich.

Die Aufsichtsbehörden legen zunehmend Wert auf das „Sicherheitsprinzip". Wer neue Angriffsvektoren wie Quishing nicht berücksichtigt, dem drohen empfindliche Strafen. Ab dem 2. August 2026 kommt mit dem EU AI Act eine weitere Hürde hinzu. Unternehmen, die auf KI-gesteuerte Phishing-Angriffe hereinfallen, könnten dann gleich doppelt belangt werden – nach DSGVO und EU AI Act.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen auf den AI Act vorbereitet? Dieser kostenlose Umsetzungsleitfaden zeigt Ihnen die wichtigsten Risikoklassen und Fristen auf einen Blick. Kostenloses E-Book zur KI-Verordnung sichern

Strategische Verteidigung für Unternehmen

Die Experten sind sich einig: Herkömmliche Abwehrmechanismen reichen nicht mehr aus. Gefragt ist ein mehrschichtiger Ansatz aus Technologie und Verhaltensänderung. Moderne Bedrohungserkennungssysteme müssen QR-Codes in Echtzeit analysieren und schädliche Indikatoren erkennen können, die textbasierte Systeme übersehen.

Zusätzlich setzen Unternehmen verstärkt auf phishing-resistente Multi-Faktor-Authentifizierung wie FIDO2-konforme Hardware-Schlüssel. Der durchschnittliche „Time-to-Click" – die Zeitspanne, bis ein Nutzer auf einen Phishing-Link klickt – liegt derzeit bei gerade einmal 21 Sekunden. Die Zeit für technische und menschliche Intervention ist also extrem knapp.

Für den Rest des Jahres 2026 zeichnet sich ab: Die Konvergenz von KI, mobilen Arbeitsabläufen und verschärfter Regulierung wird die Cybersicherheitsagenda bestimmen. Unternehmen are gut beraten, über gelegentliche Phishing-Simulationen hinauszugehen und auf personalisierte Schulungen zu setzen, die tatsächliches Verhalten ändern. Datenschutz ist längst nicht mehr nur IT-Hygiene – er ist zur existenziellen Geschäftsanforderung geworden.

de | wirtschaft | 69295711 |