Quishing: Hinter jedem QR-Code steckt eine Entscheidung

Zusammengefasst: - Quishing verwendet gefälschte QR-Codes, um Ihre Anmeldedaten zu stehlen – es umgeht alle Anti-Spam-Filter, da ein QR-Code als harmloses Bild behandelt wird. - Die Kampagnen sind innerhalb eines Jahres um +331 % gestiegen (Cofense, 2025); Führungskräfte und Manager von KMU sind 42-mal häufiger Ziel als andere Mitarbeiter. - Drei Maßnahmen reichen aus, um die meisten Angriffe abzuwehren: Überprüfen Sie die URL vor dem Öffnen, geben Sie niemals Ihre Anmeldedaten nach einem Scan ein, aktivieren Sie 2FA. - Eine erfolgreiche Kompromittierung kann die Haftung Ihres Unternehmens gemäß dem Schweizer revDSG auslösen.

Seit der Pandemie gehören QR-Codes zum Alltag. Wir scannen sie in Restaurants, um die Speisekarte einzusehen, am Flughafen zum Einsteigen, auf Rechnungen, um auf ein Zahlungsportal zuzugreifen. Dieses kleine Quadrat aus Pixeln ist zu einem Reflex geworden, einer natürlichen Selbstverständlichkeit, die niemand in Frage stellt. Und genau das haben die Cyberkriminellen erkannt.

Quishing – eine Zusammensetzung aus QR und Phishing – ist eine Angriffstechnik, bei der eine bösartige URL in einen QR-Code integriert wird, um die Opfer zu täuschen. Sie breitet sich schnell aus: Quishing-Kampagnen sind laut Cofense (2025) um 331 % innerhalb eines Jahres gestiegen, und der QR-Code macht inzwischen 26 % aller bösartigen Links aus, die in der Geschäftskommunikation verbreitet werden. In diesem Artikel erklären wir Ihnen, wie diese Bedrohung funktioniert, warum sie insbesondere Schweizer KMU betrifft und vor allem, wie Sie sich konkret davor schützen können.

Der QR-Code, der neue blinde Fleck der Sicherheitsfilter

Für einen klassischen Anti-Phishing-Filter ist ein QR-Code ein Bild wie jedes andere: kein sichtbarer Link, kein analysierbarer Text, nichts Verdächtiges. Die Nachricht gelangt ungehindert in die Postfächer.

Seit Jahren haben Sicherheitslösungen für E-Mails gelernt, Texte und Hyperlinks in E-Mails zu analysieren. Sie erkennen verdächtige URLs, unbekannte Absender, typische Formulierungen betrügerischer E-Mails. Ein QR-Code umgeht diese Abwehrmechanismen vollständig. Sobald der Benutzer ihn mit seinem Smartphone scannt – oft ein persönliches Gerät, außerhalb jeglichen Unternehmensschutzsystems –, wird er auf eine bösartige Webseite weitergeleitet, noch bevor er merkt, was passiert. Das ist die ganze Raffinesse dieses Angriffs: Er nutzt sowohl eine technologische Lücke als auch ein automatisiertes menschliches Verhalten aus.

Warum sind Schweizer KMU besonders gefährdet?

KMU vereinen mehrere Faktoren der Anfälligkeit, die sie zu bevorzugten Zielen machen – und das wissen die Cyberkriminellen.

Sie verfügen selten über ein eigenes IT-Team. Die Verwaltung der E-Mails, die Sicherheit der Arbeitsplätze und die Schulung der Mitarbeiter liegen oft in der Verantwortung einer einzigen Person oder sogar gar keiner. In diesem Kontext dauert es, bis neue Bedrohungen wie Quishing bekannt werden und berücksichtigt werden. Ein Netzwerksicherheitsaudit ermöglicht es gerade, diese blinden Flecken zu identifizieren, bevor ein Angriff sie ausnutzt.

KMU vertrauen auch ihren Partnern und Lieferanten. Eine E-Mail, die scheinbar von einem üblichen Dienstleister stammt, mit einem QR-Code, der auffordert, eine Lieferung zu bestätigen oder eine Rechnung einzusehen, wird mit hoher Wahrscheinlichkeit ohne Argwohn gescannt. Es ist dieses Vertrauen, das die Angreifer systematisch ausnutzen.

Es gibt schließlich ein statistisches Detail, das Aufmerksamkeit verdient: Führungskräfte und Manager sind 42-mal häufiger von Angriffen per QR-Code betroffen als normale Mitarbeiter (WatchGuard, 2024). Mit anderen Worten: Die Personen, die Zugriff auf die sensibelsten Informationen haben – Buchhaltung, Kundendaten, Zugriff auf Systeme –, sind genau diejenigen, die die Angreifer vorrangig ins Visier nehmen. In einem KMU ist dies oft der Geschäftsführer selbst, der mehrere kritische Zugänge vereint.

Hinzu kommt die Frage der Konformität mit dem revDSG: Eine Kompromittierung von Kunden- oder Mitarbeiterdaten durch einen Quishing-Angriff kann die Haftung des Unternehmens auslösen und eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erforderlich machen, mit den rechtlichen und rufschädigenden Folgen, die dies mit sich bringt.

Die häufigsten Formen von Quishing-Angriffen

In der Geschäftskommunikation

Dies ist der häufigste Vektor. Sie erhalten eine E-Mail, die wie eine Benachrichtigung von Ihrem Cloud-Speicher-Tool, Ihrem HR-Dienstleister oder Ihrem Zahlungsdienst aussieht. Der Text der Nachricht ist schlicht, beruhigend und enthält einen QR-Code mit einer einfachen Anweisung: „Scannen Sie, um auf Ihr Dokument zuzugreifen“ oder „Bestätigen Sie Ihre Identität, um fortzufahren“. Die Seite, die nach dem Scan angezeigt wird, ist eine nahezu perfekte Kopie des Anmeldeportals von Microsoft 365, Google Workspace oder Ihrem E-Banking. Sie geben Ihre Anmeldedaten ein, und diese werden sofort erfasst. Fast 90 % dieser Angriffe zielen darauf ab, berufliche Anmeldedaten zu stehlen – eine Zahl, die von Barracuda Networks für alle im Jahr 2025 analysierten Kampagnen bestätigt wurde.

In gedruckten Dokumenten und physischen Räumen

Die Angriffe beschränken sich nicht auf die digitale Welt. Gefälschte Papierrechnungen mit betrügerischem QR-Code wurden in Pakete von Unternehmen gelegt. Bösartige Aufkleber wurden über legitime QR-Codes in Restaurants, Hotels oder Konferenzräumen geklebt. In diesen Fällen kann selbst ein wachsamer Mitarbeiter getäuscht werden, da nichts in der physischen Umgebung den Betrug verrät.

In SMS und Lieferbenachrichtigungen

Die Benachrichtigung über ein nicht zugestelltes Paket mit einem QR-Code zum Scannen, um „die Lieferung neu zu planen“, ist zu einem weit verbreiteten Betrug geworden. Sie zielt wahllos auf persönliche und berufliche Smartphones ab und funktioniert umso besser, als Lieferungen für viele Teams zur täglichen Realität geworden sind.

Ein Szenario, das Ihr KMU betreffen könnte

Nehmen wir an, Sophie, die Finanzverantwortliche in einem KMU mit zwanzig Mitarbeitern, erhält eines Morgens eine E-Mail, die scheinbar von ihrer Buchhaltungssoftware stammt. Betreff: „Ihr Monatsbericht ist verfügbar.“ Die Nachricht enthält einen QR-Code, den sie während ihrer Kaffeepause mit ihrem Telefon scannt. Sie gibt ihre Anmeldedaten auf der angezeigten Seite ein und glaubt, auf ihre üblichen Daten zuzugreifen.

Zwei Stunden später verwenden die Angreifer diese Anmeldedaten, um sich in die E-Mails des Unternehmens einzuloggen, die Bankdaten der Kunden zu extrahieren und gefälschte Rechnungen unter Vortäuschung der Identität des Unternehmens zu versenden.

Dieses Szenario ist keine Fiktion. Ähnliche Situationen werden jede Woche in Europa dokumentiert. Und in den meisten Fällen hat das Opfer keinen groben Fehler begangen: Es hat einfach einer E-Mail vertraut, die völlig normal aussah. Das eigentliche Problem ist, dass niemand ihr erklärt hat, was Quishing ist.

Was Sie konkret tun können, um Ihr KMU zu schützen

Um sich vor Quishing zu schützen, sind weder astronomische Budgets noch fortgeschrittene technische Kenntnisse erforderlich. Bei Bexxo beobachten wir regelmäßig in der Praxis: Die KMU, die am besten widerstehen, sind nicht diejenigen mit den besten Tools, sondern diejenigen, deren Mitarbeiter sensibilisiert wurden. Technologie allein reicht nicht aus – und diese Überzeugung steht im Mittelpunkt unseres Ansatzes.

Sensibilisieren Sie Ihre Teams – das ist die wirksamste Maßnahme

Ein Mitarbeiter, der weiß, dass QR-Codes betrügerisch sein können, wird sich vor dem Scannen Zeit nehmen, um nachzudenken. Diese Sensibilisierung kann im Rahmen einer Teamsitzung, über einen internen Newsletter oder durch Angriffssimulationen erfolgen. Ziel ist es nicht, ein allgemeines Misstrauen zu erzeugen, sondern einen Reflex zu entwickeln: „Woher kommt dieser QR-Code? Habe ich diese Nachricht erwartet?“

Bexxo bietet Phishing- und Quishing-Simulationen mit PhishTrainer an, die für Schweizer KMU konzipiert sind. In zehn Minuten lernen Ihre Mitarbeiter, diese Angriffe unter realen Bedingungen ohne Risiko zu erkennen.

Überprüfen Sie die URL vor dem Öffnen

Die meisten modernen Smartphones zeigen eine Vorschau der Ziel-URL an, wenn man einen QR-Code scannt, bevor der Browser geöffnet wird. Dieser Schritt dauert zwei Sekunden und kann viele Missgeschicke verhindern. Bringen Sie Ihren Mitarbeitern bei, diese URL zu lesen: Ist sie mit dem mutmaßlichen Absender kohärent? Enthält sie verdächtige Zeichen, Rechtschreibfehler? Wenn Zweifel bestehen, ist es besser, sie nicht zu öffnen.

Geben Sie niemals Ihre Anmeldedaten nach einem Scan ein

Diese Regel ist einfach und absolut: Wenn eine Seite nach dem Scannen eines per E-Mail oder SMS erhaltenen QR-Codes einen Benutzernamen und ein Passwort verlangt, hören Sie auf. Öffnen Sie Ihren Browser und greifen Sie direkt auf den Dienst zu, indem Sie die Ihnen bekannte Adresse eingeben. Dies ist der einzige Weg, um sicherzustellen, dass Sie sich auf der echten Website befinden.

Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA)

Selbst wenn Anmeldedaten gestohlen werden, stellt die Zwei-Faktor-Authentifizierung ein wertvolles Sicherheitsnetz dar. Ohne den zweiten Faktor – Code, der über eine Authentifizierungs-App gesendet wird, physischer Schlüssel – kann der Cyberkriminelle nicht auf das Konto zugreifen. Dies ist ein unverzichtbarer Schutz für alle kritischen Dienste Ihres KMU: E-Mail, Buchhaltung, CRM, Cloud-Speicher.

Wählen Sie E-Mail-Tools mit erweiterter Filterung

Professionelle E-Mail-Dienste mit Sitz in der Schweiz wie Infomaniak Mail oder Proton Mail integrieren robuste Sicherheitsmechanismen: SPF-, DKIM- und DMARC-Authentifizierung, automatische Kennzeichnung verdächtiger externer E-Mails und Erkennung bösartiger Links. Indem Sie sich für diese revDSG-konformen und in der Schweiz gehosteten Lösungen entscheiden, profitieren Sie von einer soliden ersten Verteidigungslinie – ohne von ausländischen Infrastrukturen abhängig zu sein.

Definieren Sie eine klare Richtlinie für persönliche Geräte

Wenn Ihre Mitarbeiter ihr persönliches Smartphone zum Scannen von QR-Codes im Zusammenhang mit der Arbeit verwenden – was häufig vorkommt –, definieren Sie einfache Regeln: Geben Sie niemals berufliche Anmeldedaten auf einem ungesicherten Gerät ein, melden Sie verdächtiges Verhalten sofort der für die IT zuständigen Person. Eine klare BYOD-Richtlinie ist eine unverzichtbare Ergänzung zu jeder Cybersicherheitsstrategie.

Fazit

Quishing veranschaulicht perfekt eine Realität, die KMU berücksichtigen müssen: Die Cyberangriffe entwickeln sich ständig weiter, um bestehende Abwehrmechanismen zu umgehen. Wo Anti-Spam-Filter verdächtige Links blockieren, verwenden Angreifer Bilder. Wo Mitarbeiter Anhängen misstrauen, greifen Betrüger auf physische QR-Codes zurück.

Angesichts dieser Entwicklung bleiben zwei Dinge wahr: Die Sensibilisierung der Teams ist immer die rentabelste Investition, und einfache Maßnahmen – Überprüfen der URL, keine Eingabe von Anmeldedaten nach einem Scan, Aktivierung von 2FA – reichen aus, um die meisten Versuche abzuwehren.

Möchten Sie die Widerstandsfähigkeit Ihrer Mitarbeiter gegenüber diesen neuen Formen von Angriffen konkret bewerten? Kontaktieren Sie Bexxo, um unsere auf Schweizer KMU zugeschnittenen Simulationen zu entdecken. Sie können auch mit einem Sicherheitsaudit beginnen, um Ihre Schwachstellen schnell zu identifizieren.

Häufig gestellte Fragen

Was ist Quishing und wie unterscheidet es sich vom klassischen Phishing? Quishing ist eine Form des Phishing, die anstelle eines anklickbaren Links einen QR-Code verwendet. Seine Besonderheit: Wo ein Anti-Spam-Filter einen verdächtigen Link analysieren und blockieren kann, wird ein QR-Code als einfaches Bild behandelt. Er gelangt daher ohne jegliche Kontrolle in die E-Mails, was die automatische Erkennung erheblich erschwert.

Wie erkenne ich einen potenziell betrügerischen QR-Code, bevor ich ihn scanne? Die wichtigste Vorsichtsmaßnahme ist, sich zu fragen, woher dieser QR-Code stammt. Wenn er Ihnen per E-Mail oder SMS gesendet wird, ohne dass Sie ihn angefordert haben, seien Sie misstrauisch. Überprüfen Sie nach dem Scannen immer die von Ihrem Smartphone angezeigte URL, bevor Sie die Seite öffnen: Eine legitime URL eines bekannten Dienstes enthält keine seltsamen Zeichen oder eine ungewöhnliche Domain.

Was tun, wenn ein Mitarbeiter einen verdächtigen QR-Code gescannt und seine Anmeldedaten eingegeben hat? Handeln Sie sofort: Ändern Sie das Passwort des betroffenen Kontos von einem sicheren Gerät aus, aktivieren Sie 2FA, falls dies noch nicht geschehen ist, und benachrichtigen Sie die für die IT zuständige Person. Wenn persönliche Daten von Kunden oder Mitarbeitern offengelegt wurden, prüfen Sie mit Ihrem Juristen, ob eine Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäß revDSG erforderlich ist.

Kann sich ein Schweizer KMU ohne eigenes IT-Team wirklich vor Quishing schützen? Ja, und dies ist sogar eine der Bedrohungen, bei denen der menschliche Schutz wirksamer ist als der technische Schutz. Ihre Mitarbeiter darin zu schulen, diesen Angriff zu erkennen – in einer Stunde Sensibilisierung – reduziert das Risiko drastisch. Tools wie PhishTrainer von Bexxo sind speziell für KMU ohne IT-Abteilung konzipiert.

Kann Quishing unser Unternehmen Sanktionen im Zusammenhang mit dem revDSG aussetzen? Wenn ein Angriff erfolgreich ist und persönliche Daten von Kunden oder Mitarbeitern kompromittiert werden, ja. Das Schweizer revDSG verpflichtet Unternehmen, den EDÖB im Falle einer Datenschutzverletzung mit hohem Risiko zu benachrichtigen. Ein KMU, das keine angemessenen Schutzmaßnahmen ergriffen hat, kann zivil- und strafrechtlich zur Verantwortung gezogen werden.

Sind unsere beruflichen Mobilgeräte besser geschützt als persönliche Smartphones? Im Prinzip ja – wenn Ihr Unternehmen eine Lösung für die Verwaltung mobiler Geräte (MDM) und ein professionelles VPN eingerichtet hat. In der Realität vieler Schweizer KMU verwenden die Mitarbeiter ihr persönliches Smartphone, das keiner Sicherheitsrichtlinie unterliegt. Genau deshalb ist eine klare BYOD-Richtlinie genauso wichtig wie technische Tools.

Quellen: Cofense, 2025 · Barracuda Networks, 2025 · QR Code Tiger, 2025 · WatchGuard