Quishing - Social Engineering
2025-08-13

Überblick

Quishing (QR Code Phishing) ist eine Social-Engineering-Technik, bei der Angreifer manipulierte QR-Codes verwenden,
um Benutzer auf gefälschte Webseiten zu leiten oder Schadsoftware zu verbreiten.
Die Methode nutzt das Vertrauen in QR-Codes und die schnelle, bequeme Nutzung mobiler Geräte aus.

Häufig werden gefälschte QR-Codes über legitime Codes geklebt oder in manipulierte Dokumente, Plakate oder Werbematerialien integriert.

Typischer Ablauf

Ein Angreifer platziert einen präparierten QR-Code an einer Stelle, an der ein legitimer Code erwartet wird,
beispielsweise auf einem Paketlabel, einem Flyer oder einer Restaurant-Speisekarte.
Nach dem Scannen öffnet sich eine gefälschte Webseite, die wie das Original aussieht, jedoch
zur Eingabe sensibler Daten oder zur Installation von Schadsoftware auffordert.

Beispiel:

Ein Kunde scannt den QR-Code auf einer „Parkgebühren“-Tafel, um schnell zu bezahlen.
Der Code führt jedoch nicht zur offiziellen Zahlungsseite, sondern zu einer Phishing-Seite,
auf der Kreditkartendaten abgefragt werden.

Risiken und Auswirkungen

Ein erfolgreicher Quishing-Angriff kann zu folgenden Konsequenzen führen:

  • Diebstahl von Zugangsdaten oder Zahlungsinformationen
  • Installation von Schadsoftware auf Mobilgeräten
  • Identitätsdiebstahl
  • Finanzielle Verluste
  • Weitergabe sensibler Daten an Dritte

Präventionsmaßnahmen

  1. Physische Prüfung – Überprüfen, ob der QR-Code überklebt oder manipuliert wurde.
  2. URL-Kontrolle – Vor dem Öffnen die gescannte Adresse mit der auf dem Dokument angegebenen URL vergleichen.
  3. Technische Schutzmaßnahmen – Einsatz von QR-Scanner-Apps mit integrierter URL-Überprüfung.
  4. Sensibilisierung – Aufklärung der Mitarbeitenden und Öffentlichkeit über die Risiken von Quishing.
  5. Vermeidung unsicherer Netzwerke – Keine sensiblen Daten über offene WLAN-Verbindungen eingeben.

Standards und Best Practices

  • ISO/IEC 27001 – Annex A.12 & A.13: Communications Security
  • NIST SP 800-53 – Awareness and Training (AT), System and Communications Protection (SC)
  • BSI IT-Grundschutz – Baustein CON.1 „E-Mail- und Messaging-Nutzung“ (übertragbar auf QR-Code-Nutzung)

Fazit

Quishing ist eine wachsende Bedrohung im Bereich Social Engineering,
die durch die zunehmende Nutzung von QR-Codes begünstigt wird.
Ein wirksamer Schutz basiert auf der Kombination von technischer Überprüfung,
kritischer Prüfung durch den Nutzer und gezielter Sensibilisierung.