Quishing-Angriffe: Manipulierte QR-Codes treffen 18 Millionen

Sicherheitsanalysten beziffern den Schaden für das laufende Jahr auf rund 442 Milliarden Euro. Besonders rasant wächst das sogenannte Quishing – eine Phishing-Variante, die manipulierte QR-Codes nutzt.

Banking, PayPal und Online-Shopping machen das Smartphone zum Hauptziel für Kriminelle – wer hier auf die falschen QR-Codes oder Links klickt, riskiert sein Konto. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Android-Gerät effektiv vor Hackern und Viren zu schützen. Gratis-Sicherheitspaket für Android-Smartphones jetzt sichern

KI treibt die Professionalisierung der Angreifer

Die Zahl der Quishing-Fälle stieg in vier Jahren um 150 Prozent auf etwa 18 Millionen weltweit. Die Tücke liegt in der Unscheinbarkeit: Kriminelle kleben manipulierte Codes einfach über legitime QR-Codes an Parkautomaten oder in Restaurants. Die Klickrate bei mobilen Phishing-Angriffen liegt neunmal höher als bei klassischen E-Mail-Versuchen.

Ein Fall aus Köln zeigt die Gefahr: Eine Betroffene verlor 300 Euro, nachdem sie einen manipulierten Code an einer Park-App scannte. Weil die Zahlung per TAN autorisiert wurde, verweigerten Banken die Erstattung – die Zahlung gilt als legitimiert.

Haupttreiber der Entwicklung ist Künstliche Intelligenz. Rund 86 Prozent aller Phishing-Kampagnen laufen mittlerweile KI-gesteuert. Kriminelle verbreiten täglich etwa 3,4 Milliarden schädliche Nachrichten, die in Design und Sprachstil kaum von echten Mitteilungen zu unterscheiden sind. Die Deutsche Rentenversicherung warnte vor E-Mails, die unter dem Vorwand von Sicherheitsupdates persönliche Daten abgreifen wollen.

Auch klassische mobile Bedrohungen erreichen neue Höchststände. Im ersten Quartal 2026 stiegen Infektionen mit Banking-Trojanern um 196 Prozent auf 1,24 Millionen Fälle. Der Trojaner „Mamont“ ist für über 70 Prozent der Angriffe auf Android-Geräte verantwortlich. Parallel dazu entdeckten Sicherheitsforscher die „Trapdoor“-Kampagne: 455 manipulierte Apps im Play Store wurden 24 Millionen Mal heruntergeladen.

Android 17 und iOS 26.5: Neue Schutzmechanismen

Google und Apple reagieren mit tiefgreifenden Änderungen. Android 17 (Codename „Cinnamon Bun“) erhält eine Diebstahlerkennungssperre (Theft Detection Lock) und verbesserte Betrugserkennungs-Algorithmen.

Apple schloss mit iOS 26.5 insgesamt 52 Sicherheitslücken. Neu ist die Post-Quanten-Kryptografie PQ3 für TLS, VPN und SSH – sie schützt gegen künftige Angriffe mit Quantencomputern. Für iOS 27 im September plant Apple „Visual Intelligence“. Die KI-Funktion soll Informationen aus Bildern direkt verarbeiten. Sicherheitsforscher warnen jedoch vor neuen Angriffsvektoren durch automatisierte QR-Verarbeitung.

Viele iPhone-Nutzer wiegen sich nach einem System-Update in falscher Sicherheit und übersehen dabei oft kritische Privatsphäre-Einstellungen. Apple-Experte Detlef Meyer erklärt in seinem kostenlosen Leitfaden für Einsteiger, wie Sie Updates ohne Stress installieren und Ihre persönlichen Daten wirksam abschirmen. Kostenlosen iPhone-Ratgeber für sichere Updates herunterladen

Doch Software allein reicht nicht. Eine Schwachstelle im BootROM von Qualcomm-Chips (CVE-2026-25262) gilt als nicht patchbar. Microsoft kündigte an, die SMS-Authentifizierung einzustellen und auf biometrische Passkeys zu setzen – weltweit sind bereits über fünf Milliarden aktiviert.

Unternehmen im Visier: Identitätsdiebstahl kostet Millionen

Die Bedrohung trifft auch Unternehmen. Laut Sophos-Report waren 71 Prozent der Firmen weltweit von identitätsbezogenen Sicherheitsvorfällen betroffen. In Deutschland liegt der Wert bei 62 Prozent. Die durchschnittlichen Wiederherstellungskosten: 1,64 Millionen US-Dollar.

Kritisch ist das Management nicht-menschlicher Identitäten (NHIs) wie API-Schlüssel oder Dienstkonten. In 41 Prozent der Fälle verursachte schwaches NHI-Management Sicherheitsbrüche. Nur 24 Prozent der Unternehmen setzen auf kontinuierliche Überwachung – sie tragen ein um 22 Prozent höheres Risiko für finanziellen Diebstahl. Menschliches Versagen spielt in 43 Prozent der Vorfälle eine Rolle.

Neues Gesetz: Digitale Identität für Deutschland

Der deutsche Gesetzgeber verabschiedete in der zweiten Maihälfte das Digital-Identitäts-Gesetz (DIdG). Es schafft die Grundlage für die EUDI-Wallet (European Digital Identity Wallet), die am 2. Januar 2027 starten soll. Die App fungiert als amtlich beglaubigter Tresor für Ausweise, Führerscheine und Zeugnisse. Kernstück ist „Selective Disclosure“: Nutzer geben nur die absolut notwendigen Daten frei – etwa die Volljährigkeit ohne das exakte Geburtsdatum.

Schutz vor Quishing: Was Experten raten

Vor dem Scannen eines QR-Codes sollte die Link-Vorschau geprüft werden. Experten empfehlen ausschließlich die Standard-Kamera-App des Betriebssystems – Drittanbieter-Apps haben oft weniger Sicherheitsprüfungen. Bei physischen Codes auf Werbeplakaten oder Parkuhren lohnt der Blick auf mögliche Aufkleber über dem Original.

Die internationale Zusammenarbeit zeigt Erfolge: Bei der Interpol-Operation „FRONTIER+ III“ gab es über 3.000 Festnahmen und rund 752 Millionen US-Dollar eingefrorene Gelder. Dennoch bleibt die Lage dynamisch. Angreifergruppen wie „Fox Tempest“ agieren hochgradig arbeitsteilig und versorgen Ransomware-Banden mit gefälschten Zertifikaten.

Mit der WWDC im Juni und neuen Betriebssystemversionen im Herbst dürften weitere Betrugserkennungs-Funktionen folgen. Doch der Faktor Mensch bleibt die entscheidende Schwachstelle. Solange die Klickraten bei mobilen Angriffen so deutlich über denen klassischer Methoden liegen, wird Quishing eine der bevorzugten Methoden für Identitätsdiebstahl und Finanzbetrug bleiben.

de | wissenschaft | 69418993 |