Die Gefahr lauert im schwarzen Quadrat: Cyberkriminelle nutzen immer raffiniertere QR-Codes, um Unternehmensnetze zu infiltrieren. Nach einer Warnung des FBI vor staatlich geförderten Angriffen reagiert die IT-Branche mit Notfall-Updates. Besonders tückisch: sogenannte „bildlose“ Codes, die herkömmliche Filter umgehen.
FBI warnt vor nordkoreanischen Hackern
Die aktuelle Bedrohungslage spitzt sich seit einer Flash-Warnung des FBI vom 8. Januar zu. Die US-Behörde macht die nordkoreanische Hackergruppe „Kimsuky“ (auch APT43) für gezielte Angriffe mit bösartigen QR-Codes verantwortlich. Im Visier stehen Nichtregierungsorganisationen, Forschungseinrichtungen und vor allem der Energiesektor.
Der Trick der Angreifer nutzt die „Mobile Gap“: Scannt ein Mitarbeiter einen QR-Code auf seinem Büro-Bildschirm mit dem privaten Smartphone, verlässt der Datenverkehr das geschützte Firmennetzwerk. Auf dem ungesicherten Handel landet der Nutzer dann auf gefälschten Login-Seiten für Microsoft 365 oder Okta – und gibt bereitwillig seine Zugangsdaten preis. Die firmeneigene Sicherheitssoftware greift hier nicht mehr.
Viele Unternehmen unterschätzen das Risiko von QR‑Code‑Phishing – besonders dann, wenn Mitarbeiter private Smartphones zum Scannen verwenden. Ein kostenloser Cyber‑Security‑Report erklärt, wie Sie verschleierte HTML‑QR‑Codes erkennen, Mitarbeitende gezielt sensibilisieren und technische sowie organisatorische Maßnahmen sofort umsetzen können. Der Leitfaden bietet praxisnahe Checklisten und Vorlagen für Awareness‑Trainings sowie konkrete Kontrollschritte für E‑Mail‑Gateways. Jetzt kostenlosen Cyber-Security-Report herunterladen
„Bildlose“ Codes umgehen E-Mail-Filter
Während das FBI die Urheber benennt, analysieren Sicherheitsfirmen wie Abnormal Security die Methodik. Ihre Erkenntnis: Die neue Angriffswelle setzt auf „imageless“ QR-Codes. Bislang wurden QR-Codes als Bilddatei (PNG/JPEG) in E-Mails eingebettet. Moderne Filter können diese Bilder scannen und blockieren.
Die neue Generation der Codes wird jedoch aus Hunderten farbiger HTML-Tabellenzellen zusammengesetzt. Für das menschliche Auge ist es ein normaler QR-Code. Für einen E-Mail-Sicherheitsgateway, der nach Bild-Anhängen sucht, ist es nur harmloser HTML-Code. Diese Technik ermöglicht es Phishing-Mails, veraltete Filter problemlos zu passieren.
Microsoft aktualisiert Defender in Eiltempo
Als Reaktion auf diese Entwicklung hat Microsoft sein Abwehrsystem Defender for Office 365 in einer Dringlichkeitsaktualisierung nachgerüstet. Das Update vom 8. Januar bringt erweiterte Erkennungsfunktionen speziell für QR-Code-Phishing mit.
Das System kann nun auch verschleierte QR-Codes im E-Mail-Körper identifizieren und analysieren. Zudem wurden die Schutzmaßnahmen auf Microsoft Teams ausgeweitet. Administratoren können bösartige Domains und Adressen jetzt direkt im Defender-Portal blockieren, um zu verhindern, dass Angreifer von der E-Mail auf den Chat-Kanal ausweichen.
„Quishing as a Service“ demokratisiert die Kriminalität
Die Professionalisierung der Angriffe deutet auf einen reifen Schwarzmarkt hin. Analysten sprechen von „Quishing as a Service“ (QaaS). Auf dunklen Web-Märkten werden Phishing-Kits angeboten, die Werkzeuge zur Erstellung tarnfähiger QR-Codes enthalten – inklusive der HTML-Varianten.
Diese Angriffe zielen nicht auf einfache Mitarbeiter ab. Im Fokus stehen Führungskräfte, die über privilegierte Zugänge verfügen und unter Zeitdruck oft „dringende“ MFA-Zurücksetzungen ungeprüft bestätigen. Besonders betroffen sind derzeit die Energie- und Finanzbranche.
Wie sich Unternehmen schützen können
Da technische Kontrollen mit der Entwicklung der Tarn-Techniken kaum Schritt halten, liegt ein großer Teil der Verteidigung beim Nutzerverhalten. Die einhellige Empfehlung der Sicherheitsexperten für 2026 lautet: Auf FIDO2-konforme physische Sicherheitsschlüssel setzen.
Diese Schlüssel sind an die legitime Domain gebunden und lassen sich durch eine gefälschte QR-Code-Seite nicht austricksen – im Gegensatz zu mobilen Push-Benachrichtigungen oder Einmal-Passwörtern. Wo der Einsatz physischer Schlüssel nicht möglich ist, helfen drei Strategien:
- Mobile Geräte einbeziehen: Sicherheitsrichtlinien müssen auch für private Smartphones gelten, die zum Scannen genutzt werden.
- QR-Codes hinterfragen: Codes in E-Mails sollten mit demselben Misstrauen behandelt werden wie unerwünschte Anhänge. Bei „dringenden“ Aufforderungen immer einen separaten Verifikationskanal nutzen.
- Automatisches Laden blockieren: E-Mail-Clients sollten so konfiguriert werden, dass sie keine externen Bilder und HTML-Inhalte automatisch laden.
Der Wettlauf zwischen Angreifern und Verteidigern wird sich im ersten Quartal 2026 voraussichtlich weiter verschärfen. Die Botschaft von FBI und Cybersicherheitsbranche ist klar: Der QR-Code ist kein harmloses Werkzeug mehr, sondern ein potenzielles Einfallsttor. Vorsicht ist geboten.
PS: Sie möchten Ihr Unternehmen gezielt gegen QR‑Phishing und ähnliche Angriffe schützen? Der Gratis‑Leitfaden „Cyber Security Awareness Trends“ fasst die wichtigsten Schutzmaßnahmen zusammen – von technischen Gateways über Mitarbeiterschulungen bis hin zu Empfehlungen für FIDO2‑Schlüssel bei kritischen Zugängen. Ideal für IT‑Verantwortliche und Entscheider in mittelständischen Firmen, die ohne großes Budget schnell handeln müssen. Kostenlosen Cyber-Security-Leitfaden jetzt anfordern
