Quishing-Alarm: Cyberkriminelle zocken HR-Abteilungen mit QR-Codes ab

Die Methode, bekannt als Quishing, nutzt das Vertrauen der Mitarbeiter in interne Prozesse aus.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Die Masche im Detail

Die Angreifer tarnen sich als Personalabteilung. In gefälschten Nachrichten fordern sie Beschäftigte auf, einen QR-Code zu scannen – angeblich für interne Dokumente, Umfragen oder HR-Prozesse. Doch der Code führt auf gefälschte Login-Seiten, die Zugangsdaten abgreifen.

Der Trend ist besorgniserregend: Laut Kaspersky stieg der Anteil von Malware-Logs mit Unternehmensdaten von 6 auf 14 Prozent zwischen Anfang 2024 und Ende 2025.

FBI warnt vor Milliardenverlusten

Noch perfider: Spezialisierte Plattformen wie Kali365 bieten Phishing als Service an. Seit April 2026 zielt der Dienst auf Microsoft-365-Konten – und umgeht sogar die Zwei-Faktor-Authentifizierung. Die Methode: Manipulation des Device-Code-Flow und Diebstahl von OAuth-Token.

Die Bilanz ist erschreckend. Das Internet Crime Complaint Center (IC3) meldet Verluste von über 262 Millionen Euro seit Januar 2025. Betroffen sind Gesundheitswesen, Bildung, Fertigung und Finanzindustrie in Europa, Nordamerika und dem Nahen Osten. Eine einzige Kampagne traf über 340 Organisationen gleichzeitig.

KI macht Angriffe effektiver

Künstliche Intelligenz treibt die Bedrohungslage weiter an. CrowdStrike verzeichnete einen Anstieg KI-gestützter Cyberangriffe um 89 Prozent im Jahresvergleich. Sogar iranische und russische Gruppierungen nutzen westliche KI-Modelle für Schadsoftware und Phishing.

Die Zahlen von Check Point sprechen Bände: 78 Prozent der Unternehmen meldeten KI-Sicherheitsvorfälle. Doch nur 26 Prozent haben die nötige Infrastruktur zur Abwehr. Besonders kritisch: In Deutschland messen 72 Prozent der Entscheider KI-Sicherheit nur geringe Priorität bei.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu Cyber Security Trends herunterladen

Messenger-Betrug: Doppelt so teuer in Deutschland

Auch klassischer Social-Engineering-Betrug floriert. Laut Kaspersky liegt der durchschnittliche Schaden pro Fall in Deutschland bei 1.180 Euro – fast doppelt so viel wie der globale Schnitt von 630 Euro.

Die Täter arbeiten schnell: 44 Prozent der Opfer geben Daten oder Geld innerhalb von 30 Minuten preis. In 65 Prozent der Fälle wechseln Angreifer zwischen Kanälen – etwa von SMS zu Messenger-Diensten –, um ihre Täuschung glaubwürdiger zu machen.

Experten raten zu Conditional-Access-Richtlinien, die riskante Anmeldeverfahren wie den Device-Code-Flow blockieren. Nur so lässt sich die Angriffsfläche für Quishing und automatisierte Account-Übernahmen effektiv verkleinern.

de | wissenschaft | 69471001 |