Die Bedrohung durch QR-Code-Phishing hat sich 2025 explosionsartig ausgeweitet. Führende Sicherheitsunternehmen melden einen Anstieg der Attacken um 500 Prozent – ein klarer Beleg dafür, dass die Methode vom Nischenphänomen zur Hauptwaffe von Cyberkriminellen aufgestiegen ist. Die Gefahr verbindet geschickt die physische und digitale Welt und nutzt das Vertrauen der Nutzer in die allgegenwärtigen Codes aus.
Explosionsartiges Wachstum: 500 Prozent mehr Angriffe
Die Zahlen sind alarmierend. Laut einem Bericht von Kaspersky vom 29. Dezember 2025 hat sich die Anzahl entdeckter Phishing-E-Mails mit schädlichen QR-Codes von August bis November mehr als verfünffacht – von rund 47.000 auf fast 250.000 blockierte Nachrichten. Der Grund für diesen Erfolg ist simpel, aber wirkungsvoll: Die in einem Bild versteckte schädliche URL umgeht mühelos die textbasierten Analysetools gängiger E-Mail-Sicherheitssysteme.
Die Angreifer verlagern die Attacke gezielt auf das Smartphone. Immer häufiger stecken die Codes in PDF-Anhängen, die der Nutzer mit seinem privaten Handy scannen muss. So springt das Angriffsziel vom oft besser geschützten Arbeitsrechner auf das persönliche Mobilgerät, das selten eine gleichwertige Sicherheitssoftware besitzt.
Unternehmen sind massiv durch QR‑Code‑Phishing gefährdet. Kampagnen wie die beschriebene „Payroll Trap“ führen Mitarbeiter gezielt auf gefälschte Microsoft‑365‑Loginseiten und umgehen klassische E‑Mail‑Filter. Das kostenlose Anti‑Phishing‑Paket liefert eine praxisnahe 4‑Schritte‑Anleitung, erprobte Checklisten für Mitarbeiterschulungen, Erkennungsregeln für bildbasierte Angriffe und konkrete Maßnahmen für mobile Geräte – ideal für IT‑Verantwortliche, die sofort Schutz implementieren wollen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Spyware und der „Payroll Trap“: Ziele werden vielfältiger
Die Bedrohung ist längst über simplen Identitätsdiebstahl hinausgewachsen. Ende Dezember warnte die US-Cybersicherheitsbehörde CISA vor hochkomplexen Spyware-Angriffen. Kriminelle nutzen QR-Codes in verschlüsselten Messengern, um „Zero-Click“-Exploits zu starten und sichere Kommunikationsplattformen von Behörden und Unternehmen zu kompromittieren. Ein gescannter Code kann kommerzielle Spionagesoftware installieren, die sensible Gespräche abhört.
Parallel flutet eine gezielte Kampagne namens „The Payroll Trap“ die Unternehmenswelt. Mitarbeiter erhalten gefälschte Mails zu Gehaltsanpassungen oder Weihnachtsboni mit dem dringenden Hinweis, per QR-Code ihre Bankdaten zu „verifizieren“. Der Code führt zu einer betrügerischen Microsoft-365-Login-Seite. Laut SQ Magazine sind Microsoft-Konten das primäre Ziel und für 60 Prozent der Account-Übernahmen verantwortlich. Der QR-Code isoliert das Opfer hier geschickt von den Monitoring-Tools der IT-Abteilung.
Der mobile Sicherheitsgraben und die deutsche Perspektive
Experten sehen den Grund für den Erfolg im „mobilen Sicherheitsgraben“. Während Desktop-Umgebungen mit komplexen EDR-Systemen geschützt sind, sind Smartphones oft weniger restriktiv abgesichert. Scannt ein Nutzer einen Code, öffnet sich standardmäßig der Browser, wo eine URL-Überprüfung schwerer fällt und der kleine Bildschirm die vollständige Webadresse verbirgt.
Diese Entwicklung ist für Deutschland und die EU besonders relevant. QR-Codes sind hier für Bezahlvorgänge, Tickets und Authentifizierung allgegenwärtig. Die vertraute Technologie senkt die natürliche Skepsis der Nutzer und schafft ein perfektes Umfeld für Betrug. Die Legacy-Sicherheitsinfrastruktur vieler Unternehmen steht vor einer großen Herausforderung, da sie nicht für die Analyse bildbasierter Bedrohungen im großen Stil ausgelegt ist.
Ausblick 2026: KI und Automatisierung befeuern die Krise
Für das Jahr 2026 prognostizieren Sicherheitsexperten eine weitere Eskalation. Künstliche Intelligenz wird genutzt, um noch perfektere Köder zu erstellen – personalisierte HR-Dokumente oder täuschend echte Einladungen, die den bösartigen QR-Code enthalten.
Gleichzeitig sinkt die Einstiegshürde für Angreifer weiter. „Phishing-as-a-Service“-Kits aus dem Darknet bieten bereits automatisierte QR-Code-Generierung und mobile Landingpages an. Die Branche erwartet daher einen starken Push hin zu „visueller Analyse“ in Sicherheitstools. KI-gestützte Abwehr wird nötig sein, um schädliche Bilder zu entschlüsseln und zu blockieren, bevor sie den Posteingang erreichen. Bis diese Technologien flächendeckend zum Einsatz kommen, bleibt die Wachsamkeit des Nutzers die wichtigste Verteidigungslinie.
PS: Wenn KI künftig täuschend echte QR‑Köder erstellt, sollte Ihre Verteidigung nicht warten. Das kostenlose Anti‑Phishing‑Paket zeigt in vier klaren Schritten, wie Sie psychologische Köder erkennen, mobile Landingpages absichern und CEO‑Fraud verhindern. Enthalten sind praxiserprobte Vorlagen für Awareness‑Trainings, eine Checkliste für IT‑Teams und ein sofort umsetzbarer Maßnahmenplan für die Mitarbeitersicherheit. Jetzt kostenloses Anti-Phishing‑Paket anfordern
