Aktuelles - geschrieben von dp am Donnerstag, November 6, 2025 0:51 - noch keine Kommentare
Quishing: QRC-Scans können Kiste der Pandora öffnen
Cyberkriminelle missbrauchen mit Raffinesse praktische QR-Codes für Betrug, Datendiebstahl und Verseuchung mit Malware – Alina Gedde, Digitalexpertin der ERGO Group, rät zur Überprüfung der Herkunft
[datensicherheit.de, 06.11.2025] QR-Codes (QRC) sind sicherlich praktisch, erlauben eine schnelle Reaktion – und sind längst alltäglich, ob im Restaurant, bei digitaler Außenwerbung oder auf einem Flyer. Doch was viele nicht wissen: Hinter dem scheinbar harmlosen Quadratmuster kann sich eine neue Betrugsmasche verbergen: „Quishing“ nennt sich diese cyberkriminelle Methode, bei der QRC manipuliert werden, um an persönliche Daten zu gelangen oder Schadsoftware einzuschleusen. Alina Gedde, Digitalexpertin bei ERGO, geht in ihrer aktuellen Stellungnahme auf diese Bedrohung ein, beschreibt deren Funktion und mögliche Schutzmaßnahmen:
Quelle: ERGO Group
QRC auf dem Smartphone: Bei seriöser Quelle praktisch – im Dienste Cyberkrimineller bedrohlich
Cyberkriminelle bringen gefälschte oder manipulierte QRC in Umlauf
Vermeintlich von der Bank stammende Phishing-E-Mails oder gefälschte Nachrichten seien den meisten Menschen inzwischen wohl ein Begriff. Aber Gedde warnt vor einer fortentwickelten Taktik: „Seit einiger Zeit kursiert eine neue Betrugsmasche, das sogenannte Quishing!“
- Dabei verwenden Cyberkriminelle gefälschte oder manipulierte QRC, um an sensible, persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Dieser Begriff ist ein sogenanntes Kofferwort aus „QRC“ (Quick Response Code) und „Phishing“ und beschreibt somit eine Form des Phishing-Angriffs eben per QRC
„Das perfide am Quishing ist, dass im Gegensatz zu schädlichen Links wie in einer E-Mail, QR-Codes nicht automatisch von Antiviren-Software geprüft werden können“, warnt die ERGO-Expertin.
Foto: ERGO Group
Alina Gedde: Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren…
Wer gefährlichen Code scannt, gelangt auf eine täuschend echt gestaltete Fake-Webseite
Quishing beginne immer mit einem scheinbar harmlosen QRC. Betrüger platzierten diesen z.B. auf Plakaten, in E-Mails, in Briefen oder an öffentlichen Orten. „Wer den Code scannt, gelangt nicht auf eine seriöse Webseite, sondern auf eine täuschend echt gestaltete Fälschung!“
- Dort fordere die heimtückische Webseite zur Eingabe von Passwörtern, Zahlungsinformationen oder persönlichen Angaben auf. „In manchen Fällen startet nach dem Scan sogar sofort ein schädlicher Download, der das Smartphone infiziert.“
Besonders begehrt seien Zugangsdaten zum Online-Banking oder zu E-Mail-Konten, Kreditkarteninformationen, Bankverbindungen oder persönliche Daten wie Name, Adresse, Geburtsdatum oder Telefonnummer. „Gefälschte QR-Codes versprechen zum Beispiel den Zugang zu einer Paketverfolgung, das Abhören einer Sprachnachricht oder schnelles Bezahlen, etwa an einem Parkautomaten“, so Gedde.
Quishing-Alarmsignal: Abfrage von Passwörtern, Zahlungsinformationen oder persönlichen Daten
Unerwartete QR-Codes auf Aufklebern, Zetteln oder Plakaten, besonders an ungewöhnlichen Orten oder über bereits vorhandene Codes geklebt, sollten sofort misstrauisch machen.
- „Auch E-Mails oder SMS mit QR-Codes, die einen fragwürdigen Absender haben oder dringendes Handeln verlangen, gehören zu den typischen Warnzeichen“, hebt Gedde hervor.
Nach dem Scan seien eine fehlende HTTPS-Verschlüsselung oder eine ungewöhnliche Internetadresse mit Tippfehlern oder unbekannten Domains Indizien für einen Betrug. Spätestens dann, wenn eine Webseite direkt nach Passwörtern, Zahlungsinformationen oder persönlichen Daten fragt, bestehe „akute Gefahr“.
Scan nur von QRC aus vertrauenswürdigen Quellen empfohlen
Am sichersten bleibe der Scan von QR-Codes aus vertrauenswürdigen Quellen wie offiziellen Webseiten oder bekannten Unternehmen. „Viele Scanner bieten eine Vorschau der Zieladresse an. Sieht sie ungewöhnlich aus, sollten Betroffene vorsichtig sein.“
- Vor jeder Eingabe lohne sich ein genauer Blick auf die Adresse im Browser: Nur eine korrekte Domain mit HTTPS-Verschlüsselung sei vertrauenswürdig. Persönliche Daten wie Logins oder Zahlungsangaben gehörten niemals auf Seiten, bei denen Zweifel bestehen.
„Wer zusätzlich aktuelle Sicherheitssoftware auf dem Smartphone nutzt und wichtige Webseiten lieber manuell eingibt, reduziert das Risiko deutlich“, gibt Gedde zu bedenken.
ERGO-Tipps zum richtigen Verhalten im Verdachtsfall beim QRC-Scan
Taucht beim Scannen ein ungutes Gefühl auf, gelte sofort: Stoppen und keine Daten mehr eingeben!
- „Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren. Auch eine Meldung bei Polizei oder Verbraucherzentrale bietet Schutz vor weiterem Schaden“, rät Gedde.
Im Anschluss lohne sich ein gründlicher Check des Smartphones, um Schadsoftware oder unerwünschte Apps zu finden und zu entfernen.
Weitere Informationen zum Thema:
ERGO A Munich Re company
Portrait ERGO Group / Wir sind ERGO.
ERGO A Munich Re company
Alina Gedde
Linkedin
Alina Gedde
datensicherheit.de, 08.11.2024
Sophos X-Ops analysieren Cyber-Attacken per Quishing / „Quishing“ (Phishing mit QR-Codes) offensichtlich ein Cybercrime-Trend mit zunehmender Bedeutung
datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten
datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt
datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten, Studien - Nov. 5, 2025 0:30 - noch keine Kommentare
Verbraucherreport 2025: Mehrheit moniert mangelnden Schutz vor unseriösen Anbietern beim Online-Shopping
weitere Beiträge in Experten
- Halbleiter made in Europa: Verfügbarkeit geht vor Billigkeit
- Stärkere politische Förderung der Halbleiter-Produktion, -Forschung und -Entwicklung in Deutschland gefordert
- Augmented Reality: Bereits die Hälfte der Deutschen nutzt AR-Anwendungen
- Verpflichtende Chat-Kontrolle in der EU vorerst abgewehrt
- Vermeintliche Behörden als Köder: SANS Institute warnt vor Zunahme überzeugender Betrugsfälle und erläutert -taktiken
Aktuelles, Branche, Studien - Nov. 6, 2025 0:20 - noch keine Kommentare
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit
weitere Beiträge in Branche
- Telematik-Infrastruktur: Kaspersky-Warnung vor Schwachstellen in vernetzten Fahrzeugen
- Darknet: NordVPN-Studie zeigt Preiszunahme für gestohlene Zahlungskarten um bis zu 444 Prozent
- Webformulare als Phishing-Einfallstor: KnowBe4 Threat Lab warnt vor Complete Business Compromise
- Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern
- Meilenstein für KnowBe4 Student Edition: Eine Million junge Menschen absolvierten Cybersicherheitstrainings
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren