Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Welle von QR-Code-Phishing-Angriffen. Cyberkriminelle nutzen manipulierte Codes und KI, um Smartphone-Nutzer gezielt zu attackieren. Die Zahlen sind alarmierend.
QR-Codes als perfides Einfallstor
Die sogenannten „Quishing“-Attacken umgehen klassische Sicherheitsbarrieren. Da der schädliche Link als Bild kodiert ist, erkennen E-Mail-Filter ihn oft nicht. Das BSI sieht Deutschland als eines der Hauptziele dieser Angriffe.
Die Täter werden immer dreister: Sie kleben gefälschte Codes auf Parkscheinautomaten oder Ladesäulen. Wer scannt, landet nicht auf der echten Seite, sondern auf einer täuschend echten Phishing-Plattform. Das Smartphone wird so zur Achillesferse – hier fehlen oft die sichtbaren Warnungen des Desktop-PCs.
Explosionsartiger Anstieg im Jahr 2025
Die aktuelle Warnung wird durch dramatische Zahlen untermauert. Berichten zufolge hat sich die Anzahl der Quishing-Angriffe in der zweiten Jahreshälfte 2025 verfünffacht.
- Rund 12 Prozent aller Phishing-Angriffe im letzten Jahr enthielten einen QR-Code.
- 68 Prozent der Opfer waren mobile Nutzer.
- Allein im ersten Quartal 2025 wurden über eine Million Phishing-Attacken registriert.
Die Angreifer setzen zunehmend auf KI, um ihre Betrugsseiten und Texte zu perfektionieren. Rechtschreibfehler oder schlechte Grafiken – früher klare Warnsignale – gehören der Vergangenheit an.
Neue Masche: QR-Codes im PDF-Anhang
Eine besonders hinterhältige Taktik ist derzeit im Umlauf. Nutzer erhalten E-Mails, die vorgeben, vom Personal oder IT-Support zu stammen. Im Anhang: ein PDF mit der Aufforderung, einen QR-Code zu scannen, um „dringende Dokumente“ zu signieren.
Der Scan führt auf eine gefälschte Microsoft 365-Login-Seite. Gibt das Opfer dort seine Zugangsdaten ein, haben die Kriminellen gewonnen. In manchen Fällen kapern sie so sogar Konten, die mit einer Zwei-Faktor-Authentifizierung gesichert sind.
Warum die Gefahr jetzt so groß ist
Experten sehen eine klare Entwicklung: Da die Sicherheitsfilter für Text-Links in E-Mails besser werden, weichen Kriminelle auf Bilder aus. Der QR-Code wird zur Brücke vom geschützten Arbeits-PC zum privaten Smartphone.
Hinzu kommt die Gewöhnung. Seit der Pandemie scannen wir QR-Codes für Speisekarten oder Tickets völlig selbstverständlich. Diese Routine senkt die natürliche Skepsis – und macht uns angreifbar.
Quishing und andere Phishing-Tricks werden immer raffinierter – ein kostenloser Cyber-Security-Guide fasst aktuelle Bedrohungen zusammen und zeigt einfache, sofort umsetzbare Maßnahmen für Smartphone-Nutzer und kleine Unternehmen. Praktische Checklisten erklären, wie Sie gefälschte Login-Seiten erkennen, verdächtige QR-Codes prüfen und alltägliche Schutzmaßnahmen richtig einrichten. Jetzt kostenlosen Cyber-Security-Guide sichern
Wie können sich Nutzer schützen?
Das BSI und Sicherheitsexperten geben klare Ratschläge:
- Scannen Sie nie QR-Codes aus unerwarteten E-Mails oder Nachrichten.
- Prüfen Sie physische Codes im öffentlichen Raum genau: Wirkt er aufgeklebt oder manipuliert?
- Seien Sie misstrauisch, wenn Sie nach dem Scan sofort Login-Daten eingeben sollen.
Die Branche steht unter Druck, Schutzmechanismen direkt in die Kamera-Apps zu integrieren. Bis dahin gilt: Ein kurzer Moment der Vorsicht kann vor großen finanziellen Schäden bewahren. Der harmlose Helfer im Alltag ist zu einem der gefährlichsten Werkzeuge von Cyberkriminellen geworden.
