QR-Code-Betrug: Neue Phishing-Welle alarmiert Behörden

Deutsche Unternehmen und Verbraucher stehen vor einer neuen Welle raffinierter QR-Code-Angriffe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bankenverbände warnen eindringlich vor den als „Quishing“ bekannten Betrugsmethoden. Sie stellen Firmen vor massive Datenschutz-Herausforderungen unter der DSGVO.

„Quishing“: Der tückische Mix aus Brief und Code

Die Gefahr ist so einfach wie tückisch. Kriminelle versenden offiziell wirkende Schreiben – etwa von vermeintlichen Banken. Darin wird unter einem Vorwand wie neuen Zahlungsvorschriften zum Scannen eines beigefügten QR-Codes aufgefordert. Dieser führt jedoch auf gefälschte Webseiten, die Online-Banking-Daten abgreifen. Die Verbindung aus physischem Medium und digitalem Angriffsvektor umgeht oft herkömmliche E-Mail-Filter. Verbraucherzentralen melden eine hohe Fallzahl. Für Unternehmen bedeutet dies: Jeder ausgegebene QR-Code kann Ziel von Manipulation werden. Die Sicherheit des gesamten Kundenprozesses rückt in den Fokus der Compliance.

BSI-Warnung: „Ghost Pairing“ kapert Messenger-Konten

Mitte Januar 2026 warnte das BSI speziell vor der „Ghost Pairing“-Methode. Sie zielt auf die „Verbundene Geräte“-Funktion in Messengern wie WhatsApp ab. Nutzer werden durch betrügerische Nachrichten – manchmal von bereits gekaperten Kontakten – dazu verleitet, einen QR-Code auf einer Fake-Website zu scannen. Das Ergebnis: Das eigene Konto wird mit einem Gerät der Angreifer verknüpft. Diese erhalten so unbemerkt langfristigen Zugriff auf Nachrichten, Kontakte und Medien. Da eine legitime App-Funktion ausgenutzt wird, bleibt der Angriff oft unentdeckt. Diese raffinierte Technik stellt ein erhebliches Risiko für Unternehmen dar, in denen solche Messenger genutzt werden.

QR‑Code- und Ghost‑Pairing‑Angriffe nutzen genau die Tricks, die Unternehmen und Mitarbeiter oft unterschätzen. Unser kostenloses Anti-Phishing‑Paket bietet eine 4‑Schritte-Anleitung zur Abwehr: Mitarbeiter sensibilisieren, gefälschte QR‑Links erkennen, technische Schutzmaßnahmen einführen und Prüfprozesse etablieren. Mit praxisnahen Fallbeispielen für Banken, Handel und Behörden sowie sofort einsetzbaren Checklisten. Der Guide erklärt auch, wie Sie QR‑Codes sicher einsetzen und welche Kontrollen bei Drittanbietern erforderlich sind — ein praktischer Leitfaden für Compliance‑Verantwortliche und IT‑Teams. Anti-Phishing-Paket jetzt kostenlos herunterladen

DSGVO-Compliance in der QR-Code-Falle

Die Angriffswelle erschafft ein komplexes Compliance-Umfeld. QR-Codes sind ein effizientes Kundentool, gelten nun aber als kritischer Sicherheits-Endpunkt. Wer keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der darüber verarbeiteten personenbezogenen Daten ergreift, riskiert DSGVO-Verstöße und hohe Bußgelder. Firmen müssen die Risiken ihrer berührungslosen Systeme neu bewerten. Die Ironie: Während die Angriffe zunehmen, diskutierte die EU im November 2025 im „Digital-Omnibus“-Paket eigentlich, QR-Codes zur vereinfachten Bereitstellung von Datenschutzerklärungen zuzulassen. Ein Werkzeug zur Compliance-Erleichterung wird so gleichzeitig zum Einfallstor für Datendiebe – wenn es nicht abgesichert ist.

Proaktive Sicherheit wird zur Pflicht

Die jüngsten Warnungen markieren eine Zeitenwende. Eine passive Nutzung der QR-Code-Technologie ist nicht länger vertretbar. Unternehmen müssen ihre berührungslose Infrastruktur proaktiv absichern. Dazu gehören Kundenaufklärung über betrügerische Codes, Zwei-Faktor-Authentifizierung für QR-initiiere Transaktionen und regelmäßige Sicherheitsaudits der verlinkten Seiten. Datenschutzbehörden werden die Sicherheit QR-basierter Systeme bei Prüfungen künftig schärfer ins Visier nehmen. Umfassende Risikoanalysen und Schutzstrategien werden zum entscheidenden Nachweis der DSGVO-Konformität. „Quishing“ und „Ghost Pairing“ zeigen: Die Angriffsmethoden entwickeln sich mit der Technologie weiter. Die Wachsamkeit der Unternehmen muss Schritt halten.