Quishing-Attacken: 2.400% Anstieg bei QR-Code-Betrug
29.06.2026 - 16:58:53 | boerse-global.de
Cyberkriminelle nutzen zunehmend manipulierte QR-Codes, um an persönliche Daten und Bankinformationen zu gelangen. Sicherheitsexperten schlagen Alarm.
Die Masche ist perfide und einfach zugleich: Ein harmlos aussehender QR-Code führt auf eine gefälschte Webseite, die Passwörter, Kreditkartendaten oder Zahlungsinformationen abgreift. Fachleute nennen diese Form des Betrugs „Quishing" – eine Mischung aus QR-Code und Phishing. Googles Sicherheitsteam hat die Methode als wachsende Bedrohung eingestuft. Besonders tückisch: Die Angreifer setzen auf dynamische QR-Codes, die herkömmliche E-Mail-Filter umgehen können.
Warum das Handy zur Falle wird
Das Hauptproblem liegt im Gerätewechsel. Scannen Nutzer einen QR-Code mit dem Smartphone, verlassen sie die geschützte Umgebung ihres Computers. Während Desktop-Rechner oft mit mehreren Sicherheitsschichten ausgestattet sind, fehlen diese auf mobilen Geräten häufig. Die schädlichen Links bleiben so unerkannt.
Die Zahlen sind alarmierend: Zwischen Mai und August 2023 verzeichnete der Sicherheitsdienstleister Malwarebytes einen Anstieg von 2.400 Prozent bei QR-Code-Phishing-Kampagnen. Besonders in stark frequentierten Bereichen wie Hotels, Restaurants oder Flughäfen nutzen Betrüger die Allgegenwart der Codes aus. Wer dort etwa ein digitales Menü scannt, könnte schnell auf einer gefälschten Seite landen.
Gefälschte Aufkleber und Behörden-Post
Die Angriffe zielen auf Privatpersonen und Unternehmen gleichermaßen. In Restaurants kleben Kriminelle gefälschte QR-Codes über die echten, um Zahlungsdaten abzufangen. Auch die US-Steuerbehörde IRS warnte kürzlich vor gefälschten Schreiben mit manipulierten Codes. Zwar verwendet die Behörde QR-Codes auf bestimmten offiziellen Formularen, doch sie betont: Kontaktaufnahmen per SMS oder Social Media erfolgen nie auf diesem Weg.
Sicherheitsexperten raten: Scannen Sie niemals Codes auf unerwarteten Dokumenten. Stattdessen direkt die offizielle Webseite aufrufen.
Der 2.400-Prozent-Anstieg bei QR-Code-Phishing zeigt: Quishing ist keine Randerscheinung mehr. Dieser Leitfaden liefert eine konkrete Checkliste für Unternehmen und einfache Regeln für den Alltag – inklusive MFA-Richtlinie für mobile Geräte. Jetzt kostenlosen Schutz-Leitfaden anfordern
So schützen sich Unternehmen und Verbraucher
Firmen sollten auf Multi-Faktor-Authentifizierung (MFA) setzen und mobile Geräte ihrer Mitarbeiter zentral verwalten. Sicherheitsschulungen gehören aktualisiert – inklusive Übungen zur Erkennung verdächtiger QR-Codes.
Für Privatnutzer gilt eine einfache Regel: Nicht blind scannen. Statt einen unbekannten Code für Login oder Bezahlung zu nutzen, lieber die offizielle App öffnen oder die Adresse manuell eingeben. Das dauert zwar ein paar Sekunden länger, schützt aber vor Datenklau.
Aktuelle Bedrohungslage im Juni 2026
Die Warnung vor Quishing kommt nicht isoliert. Erst am 25. Juni warnte das indische Computer-Notfallteam CERT-In vor einer groß angelegten Malware-Kampagne gegen WhatsApp-Web- und Desktop-Nutzer. Zudem meldete der Passwort-Manager LastPass am 12. Juni einen Sicherheitsvorfall: Durch eine Schwachstelle bei einem Drittanbieter gelangten Angreifer an Kundenkontaktdaten.
Dynamische QR-Codes umgehen E-Mail-Filter – Ihr Smartphone wird zur Einfallstür. Erfahren Sie in drei Schritten, wie Sie Ihr Unternehmen und sich selbst schützen: von der Erkennung gefälschter Aufkleber bis zur zentralen Verwaltung mobiler Geräte. QR-Code-Sicherheits-Checkliste jetzt sichern
Parallel dazu stufte die US-Cybersicherheitsbehörde CISA eine Sicherheitslücke in SolarWinds Serv-U (CVE-2026-28318) als aktiv ausgenutzt ein. Die Verwundbarkeit ermöglicht Denial-of-Service-Angriffe.
Die Botschaft der Experten ist eindeutig: QR-Codes sind praktisch, aber kein Freifahrtschein für blindes Vertrauen. Ein genauer Blick vor dem Scan kann den Unterschied zwischen Sicherheit und Datenverlust ausmachen.
