Powered by Smartsupp

Ankerplatz IT – Ihr sicherer Hafen in der digitalen Welt.

Blog

Quishing-Betrug: So schützen Sie Ihr Unternehmen in Willich vor QR-Code-Phishing

David Simon | 21.08.2025

IT-Sicherheit. Quishing-Betrug. So schützen Sie sich vor den Betrügern.

QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Sie bezahlen damit am Parkautomaten, öffnen die digitale Speisekarte im Restaurant oder scannen Codes aus E-Mails. Genau diese Gewohnheit machen sich Cyberkriminelle mit einer perfiden Betrugsmasche zunutze: dem sogenannten „Quishing“ – einer Kombination aus QR-Code und Phishing.

Die Methode ist so einfach wie gefährlich: Betrüger platzieren manipulierte QR-Codes, die nicht zu den versprochenen Seiten führen, sondern zu täuschend echten Fälschungen. Dort geben ahnungslose Nutzer ihre Login-Daten oder Zahlungsinformationen ein – und schon ist der Schaden entstanden. Gerade in Niedersachsen wurden 2025 erneut Fälle an Parkautomaten gemeldet, bei denen Kriminelle echte Codes einfach überklebten.

Für kleine und mittlere Unternehmen in Willich, Krefeld und dem gesamten Rhein-Kreis Neuss stellt Quishing eine besondere Bedrohung dar. Warum? Sie arbeiten oft mobil, nutzen private Geräte für geschäftliche Zwecke und haben selten formale Sicherheitsrichtlinien für den Umgang mit QR-Codes.

Was genau ist Quishing und wie funktioniert es?

Quishing ist eine Form des Phishings, bei der Kriminelle QR-Codes als Köder einsetzen. Sie platzieren diese manipulierten Codes auf Aufklebern, Postern oder versenden sie per E-Mail. Nach dem Scannen landen Nutzer auf gefälschten Websites, die Daten abgreifen oder sogar Schadsoftware herunterladen.

Die perfide Strategie dahinter: QR-Codes lassen sich nicht auf den ersten Blick als gefälscht erkennen. Im Gegensatz zu verdächtigen Links in E-Mails sehen alle QR-Codes gleich aus – ein schwarzweißes Pixelmuster, das Vertrauen erweckt.

Typischer Ablauf eines Quishing-Angriffs

  1. Der Köder: Sie erhalten eine E-Mail mit einem QR-Code, finden einen Aufkleber am Parkautomaten oder bekommen einen Brief vermeintlich von Ihrer Bank.
  2. Der Scan: Ihr Smartphone öffnet automatisch die verlinkte Website – oft ohne dass Sie genau auf die Webadresse achten.
  3. Die Täuschung: Die gefälschte Seite sieht professionell und vertrauenswürdig aus. Sie werden aufgefordert, sich anzumelden oder Zahlungsdaten einzugeben.
  4. Der Schaden: Ihre Daten landen bei Kriminellen, die diese für Betrug, Identitätsdiebstahl oder weitere Cyberattacken nutzen.

Warum sind kleine Unternehmen besonders gefährdet?

Kleine Unternehmen in Willich und Umgebung stehen vor besonderen Herausforderungen beim Schutz vor Quishing:

Mobile Arbeitsweise: Mitarbeiter sind viel unterwegs, scannen QR-Codes am Parkautomaten, an Ladesäulen oder in Restaurants.

BYOD-Problematik: Private Smartphones werden geschäftlich genutzt, oft ohne entsprechende Sicherheitsmaßnahmen.

Fehlende Prozesse: Es gibt selten klare Regelungen dafür, wann und wo QR-Codes gescannt werden dürfen.

Zeitdruck: Unter Stress achten Mitarbeiter weniger auf Sicherheit – besonders wenn vermeintlich dringende E-Mails mit QR-Codes eintreffen.

Begrenzte IT-Ressourcen: Kleine Betriebe haben oft keine eigene IT-Abteilung, die vor neuen Bedrohungen warnen könnte.

Erkennungszeichen: So entlarven Sie Quishing-Versuche

Mit geschultem Blick lassen sich die meisten Quishing-Angriffe schnell erkennen. Achten Sie auf diese sieben Warnzeichen:

1. Verdächtige Webadressen

Die Ziel-URL weicht vom Original ab: „sparkase.de“ statt „sparkasse.de“ oder „amazon-sicherheit.com“ statt der echten Amazon-Seite.

2. Künstlicher Zeitdruck

Nachrichten mit Formulierungen wie „sofort handeln erforderlich“ oder „Frist läuft heute ab“ sind typische Betrugsversuche.

3. Fehlende Impressum und Kontaktdaten

Seriöse Unternehmen haben vollständige Kontaktinformationen. Fehlen diese oder sind sie vage, ist Vorsicht geboten.

4. Auffällige QR-Code-Platzierung

Der Code klebt schief über einem anderen, sieht nachträglich angebracht aus oder befindet sich an ungewöhnlichen Stellen.

5. Unbegründete Zahlungsaufforderungen

Sie sollen für Dienste bezahlen, die normalerweise kostenlos sind, oder sich ohne ersichtlichen Grund neu anmelden.

6. App-Downloads abseits der Stores

Die Website fordert Sie auf, Apps direkt herunterzuladen statt über Google Play Store oder Apple App Store.

7. E-Mails nur mit QR-Code

Nachrichten enthalten ausschließlich ein QR-Code-Bild ohne weitere Links – eine bekannte Methode, um E-Mail-Sicherheitsfilter zu umgehen.

Sofortschutz: Fünf Maßnahmen, die Sie heute umsetzen können

1. Der 5-Sekunden-Sicherheitscheck

Bevor Sie einen QR-Code scannen, nehmen Sie sich kurz Zeit für diese Fragen:

  • Wirkt der Code überklebt oder nachträglich angebracht?
  • Gibt es eine Alternative ohne QR-Code (offizielle App, Website)?
  • Erwarte ich diesen Code oder kommt er überraschend?
  • Kann ich den Absender/die Quelle als vertrauenswürdig einschätzen?

Im Zweifel: Nicht scannen. Lieber den sicheren Weg über bekannte Kanäle wählen.

2. QR-Vorschau nutzen und Browser optimieren

Die meisten modernen Smartphones zeigen eine Vorschau der Ziel-URL an, bevor die Seite geöffnet wird. Nutzen Sie diese Funktion konsequent und prüfen Sie jede Webadresse.

Definieren Sie auf Geschäftshandys einen Standard-Browser mit aktivierten Sicherheitsfeatures:

  • Passwort-Manager
  • Anti-Phishing-Schutz
  • Automatische Updates
  • Schutz vor unsicheren Downloads

3. Lesezeichen-Strategie statt QR-Codes

Erstellen Sie für häufig genutzte Dienste feste Lesezeichen im Browser:

  • Online-Banking Ihrer Hausbank
  • Parkplatz-Apps für Willich und Krefeld
  • Ladesäulen-Betreiber
  • Geschäftspartner-Portale
  • Behörden-Websites

So müssen Sie nie einen unbekannten QR-Code scannen, um zu wichtigen Seiten zu gelangen.

4. E-Mail-Sicherheit verstärken

Viele Quishing-Angriffe kommen per E-Mail. Wenn Sie Microsoft 365 nutzen, aktivieren Sie diese Schutzfunktionen:

  • Safe Links (überprüft URLs vor dem Öffnen)
  • Safe Attachments (scannt Anhänge auf Schadsoftware)
  • Anti-Phishing-Richtlinien
  • Erweiterte Bildanalyse (erkennt auch QR-Codes in E-Mails)

Bei anderen E-Mail-Anbietern sollten Sie entsprechende Sicherheitsoptionen aktivieren und verdächtige E-Mails konsequent in den Spam-Ordner verschieben.

5. Team-Schulung in 30 Minuten

Organisieren Sie eine kurze Schulung für alle Mitarbeiter:

  • Zeigen Sie echte Beispiele von Quishing-Versuchen
  • Üben Sie gemeinsam den 5-Sekunden-Check
  • Definieren Sie klare Ansprechpartner bei Verdachtsfällen
  • Versenden Sie Test-E-Mails (harmlose Variante) zum Üben

Studien zeigen: Bereits kurze Awareness-Trainings reduzieren das Risiko von Phishing-Erfolgen erheblich.

Praktische Checkliste für Ihr Team

Drucken Sie diese Checkliste aus und hängen Sie sie in Ihrem Büro auf:

✓ Nie blind scannen – Erst URL-Vorschau lesen, dann entscheiden

✓ Keine Logins oder Zahlungen über unbekannte QR-Codes

✓ Apps nur aus offiziellen Stores – nie über verlinkte Drittseiten

✓ Feste Lesezeichen nutzen für Banking, Parken, Geschäftspartner

✓ Auffällige Codes melden – überklebt, schief oder an ungewöhnlichen Orten

✓ Im Zweifel abbrechen – lieber einmal zu vorsichtig als einmal zu wenig

Aktuelle Fälle aus Deutschland als Warnung

Die Bedrohung durch Quishing ist real und aktuell. In Niedersachsen wurden 2025 erneut Fälle an Parkautomaten gemeldet, bei denen Betrüger echte QR-Codes überklebten. Die Schäden bewegten sich im vierstelligen Bereich pro Betroffenem.

Die Verbraucherzentrale NRW warnt regelmäßig vor neuen Quishing-Varianten, die über E-Mails, WhatsApp-Nachrichten oder gefälschte Rechnungen verbreitet werden. Auch die Polizei in Nordrhein-Westfalen sieht einen deutlichen Anstieg entsprechender Fälle.

International zeigen Studien über einer Million Phishing-Vorfälle pro Quartal, wobei QR-Code-basierte Angriffe stark zunehmen. Das unterstreicht: Auch kleine Unternehmen in Willich sollten sich gegen diese Bedrohung wappnen.

30-Tage-Plan: Schritt für Schritt zum besseren Schutz

Woche 1: Sofortmaßnahmen (2-3 Stunden Aufwand)

  • Informieren Sie Ihr Team per E-Mail oder Chat über die Quishing-Gefahr
  • Erstellen Sie Lesezeichen für häufig genutzte Websites
  • Testen Sie die QR-Vorschau-Funktion auf allen Geschäftshandys
  • Hängen Sie die Sicherheits-Checkliste im Büro auf

Woche 2: Technische Absicherung

  • Prüfen Sie Ihre Microsoft 365-Sicherheitseinstellungen
  • Aktivieren Sie Safe Links und Safe Attachments
  • Kontrollieren Sie Mobilgeräte-Grundlagen: Bildschirmsperre, Updates, App-Store-Beschränkungen
  • Implementieren Sie Mehr-Faktor-Authentifizierung für kritische Systeme

Woche 3: Team-Training

  • Führen Sie eine 30-minütige Schulung durch
  • Versenden Sie harmlose Test-E-Mails mit QR-Codes
  • Definieren Sie klare Ansprechpartner für Sicherheitsvorfälle
  • Sammeln Sie Feedback und Fragen aus dem Team

Woche 4: Kontrolle und Verstetigung

  • Bewerten Sie, was gut funktioniert hat und wo Nachbesserungen nötig sind
  • Integrieren Sie Quishing-Awareness in das Onboarding neuer Mitarbeiter
  • Planen Sie jährliche Auffrischungsschulungen
  • Erstellen Sie Vorlagen für den Ernstfall

Häufige Fragen schnell beantwortet

Darf ich QR-Codes gar nicht mehr nutzen? Selbstverständlich dürfen Sie QR-Codes weiter nutzen. Wichtig ist nur, dass Sie dabei vorsichtig und bewusst handeln. Nutzen Sie bevorzugt eigene Lesezeichen oder offizielle Apps und scannen Sie keine Codes von unbekannten Quellen.

Woran erkenne ich eine echte Bank-Website? Achten Sie auf die korrekte Domain (z.B. sparkasse.de oder volksbank.de) und öffnen Sie Banking-Seiten niemals über QR-Codes, sondern ausschließlich über gespeicherte Lesezeichen oder die offizielle App.

Hilft Antivirus-Software auf dem Smartphone? Antivirus-Apps sind ein sinnvoller Baustein, aber kein Allheilmittel. Wichtiger sind ein geschulter Blick, das Prüfen von URLs und die Nutzung offizieller App-Stores. Die meisten Quishing-Angriffe zielen auf das Vertrauen der Nutzer ab, nicht auf technische Sicherheitslücken.

Was mache ich, wenn ich bereits einen verdächtigen QR-Code gescannt habe?

  • Schließen Sie den Browser sofort
  • Ändern Sie betroffene Passwörter
  • Kontaktieren Sie Ihre Bank, falls Finanzdaten eingegeben wurden
  • Informieren Sie Ihre IT-Betreuung oder einen Experten
  • Erstatten Sie bei Schäden Anzeige bei der örtlichen Polizei

Fazit: Sicherheit durch bewusstes Handeln

Quishing ist keine hochtechnische Hackerattacke, sondern setzt auf menschliche Gewohnheiten und Vertrauen. Mit einfachen Verhaltensregeln, technischen Grundlagen und einer kurzen Team-Schulung können Sie Ihr Unternehmen in Willich effektiv schützen.

Die Investition in präventive Maßnahmen ist minimal im Vergleich zu möglichen Schäden durch erfolgreiche Angriffe. Ein kompromittiertes Geschäftskonto oder gestohlene Kundendaten können schnell existenzbedrohend werden.

Der Schlüssel liegt in der Kombination aus technischen Schutzmaßnahmen, klaren Prozessen und einem bewussten Umgang mit QR-Codes. So können Sie die praktischen Vorteile dieser Technologie weiter nutzen, ohne unnötige Risiken einzugehen.

Als Ihr IT-Dienstleister in Willich unterstütze ich Sie gerne bei der Umsetzung dieser Schutzmaßnahmen. In einem kurzen Termin richten wir gemeinsam die wichtigsten Sicherheitsfeatures ein und erstellen individuelle Leitfäden für Ihr Team – ganz pragmatisch und ohne Fachchinesisch.

Wir machen IT für Sie einfach, sicher und umgänglich.