QRishing (Quishing): Wenn QR-Codes zur Phishing-Falle werden

28 novembre 2025 Per conto nostro Sicherheitsrisiken, Cybersecurity, Tipps

QR-Codes sind überall: auf Paketen, Parkautomaten, Plakaten, Rechnungen, Zugangskarten. Genau das macht sie attraktiv für Angreifer. QRishing (auch Quishing genannt) ist Phishing über QR-Codes: Ein Scan führt zu einer gefälschten Website, App oder Zahlungsseite – mit dem Ziel, Zugangsdaten, MFA-Codes oder Bezahldaten zu stehlen. Die gute Nachricht: Mit klaren Regeln, kurzer Prüfung und ein paar technischen Leitplanken lassen sich die meisten Fälle zuverlässig ausbremsen.

Was ist QRishing – in 20 Sekunden

Ein QR-Code verweist auf eine URL (oder App/Aktion).
Der Code wird manipuliert (Sticker-Overlay, Austausch) oder neu platziert (Plakat, Aushang, E-Mail, Paket).
Nach dem Scan öffnet sich eine täuschend echte Login-, Zahlungs- oder Download-Seite.
Ziele: Kontenübernahme, Malware-Installation, Zahlungsumleitung, MFA-Abgriff.

Warum nimmt QRishing zu?

Vertrauensvorschuss: „Gedruckt = echt“ – viele prüfen den Ziel-Link auf dem Smartphone nicht.
Mobile by default: Auf dem Handy sind URL-Vorschau, Zertifikatsdetails und Erweiterungen schwerer sichtbar.
PhyGital: Mischung aus physischer Welt (Sticker) und digitalem Ziel (Phish-Seite) umgeht E-Mail-Filter.

Typische Szenarien aus der Praxis

Parkticket/Spenden/Restaurant: QR am Tisch oder Automaten führt auf Fake-Bezahlseite.
Paketbenachrichtigung: Zettel oder Karte mit QR „zur Zustellfreigabe“ → Login/Bezahlung gefälscht.
Besucher-/WLAN-QR: Aushang im Empfang → führt auf „Wi-Fi-Portal“, das M365/Google-Login abfragt.
Plakat/Poster: Überklebte Original-QRs verweisen auf kompromittierte Domains.
Interne Prozesse: QR auf Lieferscheinen/Rechnungen → Update der Bankdaten auf Fraud-Seite.

Der 10-Sekunden-Check vor jedem Scan

Quelle prüfen: Ist der QR offiziell (Firma/Ort/Medium)? Aufgeklebter Sticker? Beschädigt?
URL lesen: Öffnet das Handy eine Vorschau? Stimmt die Domain (keine Schreibfehler/Homoglyphen, richtige TLD)?
Kein Login & keine Zahlung direkt über unbekannte QR-Links. Stattdessen: Domain manuell eintippen oder Favorit nutzen.
MFA niemals im Browser eingeben, den ein QR geöffnet hat – lieber App/App-Deep-Link aus dem offiziellen Store.

So stoppen Unternehmen QRishing – Mensch + Prozess + Technik

1) Policies & Awareness (kurz, konkret)

„Stopp – Check – Rückruf“: Erst Quelle prüfen, URL lesen, im Zweifel manuell öffnen oder bekannte Hotline anrufen.
Keine QR-Logins für Lohn/Gehalt, M365/Google, Banking, Reisebuchungen. Immer über Bookmarks gehen.
Interne QR-Hygiene: Eigene QR-Aushänge mit kurzer Klartext-URL und Signatur/Version versehen (Manipulation fällt auf).

2) Technische Leitplanken

Mobile Schutzkette: MDM/MAM + Mobile Threat Defense (Browser-Isolation/Phishing-Schutz, „Time-of-Click“-Prüfung).
DNS-/Web-Filter: NRD-Blocking (neu registrierte Domains), Kategoriefilter, IDN/Homoglyphen-Erkennung.
E-Mail-Security für QR in Mails/Newsletter: Link-Umschreibung, Sandbox, SPF/DKIM/DMARC.
Browser-Policies: Adressleiste sichtbar erzwingen, Warnbanner für externe Seiten, Dateityp-Blockaden (APK/EXE).
Zahlungs-Controls: Firmenkarten mit Limits & MCC-Sperren, Freigaben mit Vier-Augen-Prinzip.

3) Reaktion & Wiederherstellung

Sofortmaßnahmen nach Fehlscan: Passwort ändern, Active Sessions beenden, Tokens widerrufen, Gerät mit EDR/XDR prüfen, Zahlung sperren.
Playbooks: Vorlagen für „Kontoübernahme“, „Zahlungsbetrug“, „Malware-Download“ – inkl. Kontaktliste (Bank, Provider, IT).
Beweise sichern: Foto vom QR/Aushang, URL, Zeit, Ort; Ticket ins SIEM/IR-Tool.

FAQ – kurz & praxisnah

Ist QR-Scannen grundsätzlich unsicher?
Nein. Unsicher wird es, wenn der Code auf unbekannte Domains/Logins/Zahlungen führt. Offizielle Codes mit klarer Ziel-Domain sind unkritisch – trotzdem: prüfen.

Woran erkenne ich manipulierte QR-Aushänge?
Sticker auf bestehendem Druck, unterschiedliche Papierqualitäten, abgeschnittene Logos, „zu gute“ Angebote, fehlende Klartext-URL/Quelle.

Was tun, wenn ich gescannt und Zugangsdaten eingetippt habe?
Sofort Passwort ändern, aktive Sitzungen beenden, MFA neu ausstellen, IT/Bank informieren, Gerät prüfen lassen, Vorfall melden.

Sind QR-Codes für internes WLAN/Apps ok?
Ja, wenn sie von Ihnen stammen, klar beschriftet sind und auf Ihre Domain/Stores zeigen. Aushänge regelmäßig prüfen (Manipulation).

Fazit

QRishing nutzt Gewohnheit und Tempo aus – nicht Technikfehler. Wer das Scan-Tempo durch einen 10-Sekunden-Check bremst und DNS-/Web-Filter, E-Mail-Security und Mobile-Policies kombiniert, neutralisiert die meisten Angriffe, bevor sie teuer werden. Kurz: prüfen, nicht hetzen – und schlaue Leitplanken setzen.