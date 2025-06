Bovermann IT Solutions GmbH

QR-Code-Phishing und seine Folgen – so schützen sich Unternehmen und Nutzer

Ob im Restaurant, auf Rechnungen oder an der Haustür – QR-Codes sind längst Teil unseres Alltags. Doch genau das macht sie zur idealen Angriffsfläche für Cyberkriminelle. Immer häufiger tarnen sich Phishing-Angriffe als scheinbar harmlose QR-Codes – mit gefährlichen Folgen für Nutzer und Unternehmen.

Viele Menschen scannen blind, ohne zu prüfen, wo der Code hinführt – genau das nutzen Angreifer aus, um Zugangsdaten, Zahlungsinformationen oder ganze Geräte zu kompromittieren. Dieser Beitrag verrät, wie QR-Code-Phishing funktioniert und mit welchen Schutzmaßnahmen Sie sich und Ihr Unternehmen absichern können.

Wo wird das QR-Code-Phishing vornehmlich eingesetzt?

QR-Code-Phishing bezeichnet eine Methode, bei der Kriminelle gezielt manipulierte QR-Codes einsetzen, um an persönliche Daten zu gelangen oder Geräte zu infizieren. Die Opfer werden dabei auf gefälschte Webseiten umgeleitet – etwa auf nachgemachte Log-in-Seiten fürs Online-Banking, für das Microsoft-Konto oder auf betrügerische Online-Shops. Dadurch verschaffen sich die Angreifer Zugriff auf sensible Informationen wie Kreditkarten- oder Bankdaten, übernehmen unter Umständen das Gerät oder schleusen Schadsoftware ein.

Da QR-Codes nur mithilfe eines Endgeräts gelesen werden können, ist auf den ersten Blick nicht ersichtlich, wohin sie führen. Der Scan-Vorgang ist schnell, einfach und bequem – genau das macht QR-Codes so attraktiv für Cyberkriminelle. Sie nutzen diese Eigenschaften als Tarnung für ihre betrügerischen Absichten. Manipulierte Codes tauchen mittlerweile an den verschiedensten Orten auf: an Parkautomaten, auf Rechnungen oder auch in digitalen Speisekarten im Restaurant.

Welche typischen Szenarien gibt es?

Zu den gängigsten Formen des QR-Code-Phishings gehört es, falsche Rechnungen zu versenden, die auf Fake-Bezahlsysteme leiten. Auch gefälschte Sicherheits-Mails oder Haustürkampagnen werden genutzt, um Daten auszuspionieren. Mitunter werden echte QR-Codes einfach überklebt, beispielsweise auf Plakaten oder Parkuhren, um arglose Nutzer auf die Fake-Seiten zu führen. Im Unternehmenskontext nimmt die Gefahr ebenfalls zu. Mitarbeitende scannen vermeintlich harmlose QR-Codes für angebliche Support-Zugänge oder mobile Bezahlvorgänge – und geben dabei unwissentlich sensible Unternehmensdaten preis.

Welche häufigen Risiken gibt es?

Das Phishing per QR-Code kann zahlreiche Probleme nach sich ziehen. In erster Linie gehört der Diebstahl von sensiblen Daten zu den Risiken, die damit einhergehen. Ob Passwörter für Online- und Shopping-Plattformen, Zugangsdaten zu E-Mail-Konten oder Bankdaten: Gelangen sie in die falschen Hände, können Sie viel Schaden anrichten und mit hohen Verlusten einhergehen. Auch der Identitätsdiebstahl oder Betrugszahlungen über gefälschte Webseiten sind häufige Probleme, die durch falsche QR-Codes verursacht werden.

Des Weiteren besteht die Gefahr, dass über sogenannte Drive-by-Downloads unbemerkt Schadsoftware auf das Gerät gelangt. Dadurch können Unbefugte Zugriff auf persönliche Dateien, Passwörter oder sogar die Kamera des Smartphones erhalten. Für Unternehmen bedeutet ein solcher Vorfall nicht nur ein IT-Sicherheitsrisiko, sondern auch einen Imageschaden: Wird bekannt, dass Mitarbeiter oder Kunden betroffen sind, kann das Vertrauen in die Marke dauerhaft leiden.

Tipps und Hinweise für Verbraucher und Unternehmen

Um sich vor dem QR-Code-Phishing zu schützen, sollten Nutzer ihre mobilen Geräte immer mit aktuellen Betriebssystemen und Sicherheitssoftware ausstatten. Es ist außerdem ratsam, einen QR-Code-Scanner mit einer Linkvorschau oder Sicherheitsfeatures zu verwenden. Auch Firewalls, Proxy-Filtersysteme sowie restriktive Berechtigungen und das mobile Device-Management sind Maßnahmen, die sich vor allem für Firmengeräte empfehlen.

In Unternehmen sollte zudem das Bewusstsein für die Gefahren geschaffen werden, etwa durch die Sensibilisierung von Mitarbeitern über Security-Awareness-Trainings. Es hilft auch, QR-Codes in offiziellen Dokumenten abzusichern und regelmäßig Phishing-Simulationen durchzuführen. Optimal ist es, wenn interne Richtlinien für die Nutzung von QR-Codes existieren und sensible Log-ins sowie Bezahlvorgänge ausschließlich per QR-Code gar nicht möglich sind. Verdächtige Funde, etwa Sticker im Büro, sind am besten direkt an die IT weiterzuleiten. Für die eigene QR-Nutzung ist die Absicherung mit eigener Domain, Kurz-URLs, Markenbezug oder HTTPS sinnvoll.

