QR-Code-Phishing-Attacken explodieren zum Jahresende

Sicherheitsexperten verzeichnen einen massiven Anstieg von Phishing-Angriffen via QR-Codes. Die sogenannten „Quishing“-Attacken haben sich in der zweiten Jahreshälfte 2025 vervielfacht. Cyberkriminelle nutzen gezielt aus, dass herkömmliche E-Mail-Filter die schädlichen Codes in Bildern oft übersehen.

Fünffacher Anstieg binnen weniger Monate

Die Zahlen sind alarmierend: Laut einem aktuellen Bericht von Kaspersky schnellten die registrierten Angriffe von rund 47.000 im August auf fast 250.000 Fälle im November 2025 hoch – ein Anstieg um das Fünffache. Diese Explosion zeigt, wie stark Kriminelle auf diese Methode setzen.

„Quishing“ kombiniert QR-Code und Phishing. Die Taktik lockt Nutzer von geschützten Desktop-Umgebungen auf oft weniger gesicherte Smartphones. Der Code selbst ist für Menschen nicht lesbar und wird von Scannern als harmloses Bild eingestuft. Erst der Scan mit dem Handy offenbart die bösartige URL.

Phishing per QR‑Code ist schwer zu erkennen — besonders, wenn Mitarbeiter mit dem Smartphone scannen. Das kostenlose Anti‑Phishing‑Paket bietet eine 4‑Schritte‑Anleitung, wie Sie Quishing‑Angriffe identifizieren, CEO‑Fraud verhindern und Mitarbeiter für mobile Gefahren schulen. Mit konkreten Checklisten, psychologischen Angriffsmustern und praxisnahen Maßnahmen zur sofortigen Umsetzung. Holen Sie sich jetzt die Anleitung, bevor Angreifer Ihre Firmenprozesse ausnutzen. Anti-Phishing-Paket: Jetzt Gratis-Guide anfordern

So umgehen Kriminelle die Abwehr

Die Angriffe werden immer raffinierter. Statt die Codes direkt in E-Mails einzubetten, verstecken Hacker sie nun in täuschend echten PDF-Anhängen oder Bilddateien. Typische Köder sind gefälschte Warnungen zu:
* ablaufenden Microsoft-365-Passwörtern,
* angeblichen 2FA-Updates oder
* dringenden HR-Dokumenten wie Gehaltsabrechnungen.

Der entscheidende Schwachpunkt ist der Medienbruch: Scant der Empfänger den Code mit seinem Smartphone, verlässt er den geschützten Unternehmensperimeter. Auf dem Mobilgerät fehlen häufig die strengen URL-Filter des Firmen-PCs. Viele mobile Browser zeigen die volle Zieladresse zudem nicht an – eine Überprüfung wird so fast unmöglich.

Warum Führungskräfte 42-mal häufiger betroffen sind

Die Angriffe sind gezielt. Analysen zeigen, dass Führungskräfte (C-Level) bis zu 42-mal häufiger ins Visier geraten als durchschnittliche Mitarbeiter. Dieses „Whaling“ zielt auf deren weitreichende Zugriffsrechte ab.

Bestimmte Branchen sind besonders betroffen:
* Finanzwesen und Energiesektor: Hier nutzen Angreifer die Dringlichkeit von vermeintlichen Rechnungen oder Wartungsprotokollen.
* Einzelhandel und Logistik: Immer öfter werden QR-Codes zur Sendungsverfolgung missbraucht.

Die logische Evolution der Cyberkriminalität

Experten sehen in Quishing den nächsten Schritt. Da KI-gestützte Filter textbasiertes Phishing immer besser erkennen, weichen Kriminelle auf visuelle Angriffsvektoren aus. Die hohe Alltagsakzeptanz von QR-Codes spielt ihnen dabei in die Hände.

Die BYOD-Politik („Bring Your Own Device“) vieler Unternehmen vergrößert das Problem zusätzlich. Wenn private Geräte für die Arbeit genutzt werden, wird Mobile Security zur kritischen Infrastrukturfrage.

Was 2026 droht: Quishing-as-a-Service

Für das kommende Jahr erwarten Experten keine Entspannung, sondern eine weitere Professionalisierung. Prognostiziert werden:
* „Quishing-as-a-Service“-Plattformen im Darknet, die die Angriffsmethode auch für technische Laien öffnen.
* Die Kombination mit KI-generierten Inhalten (Deepfakes), um die Köder noch glaubwürdiger zu machen.

Unternehmen müssen reagieren. Die reine E-Mail-Filterung reicht nicht mehr. Nötig sind Sicherheitslösungen, die auch Bildinhalte analysieren und mobile Geräte stärker einbinden. Für Nutzer gilt: Ein gesundes Misstrauen gegenüber unaufgeforderten QR-Codes ist der beste Schutz.

PS: Quishing wird 2026 noch professioneller — bevor Ihre Organisation zum Ziel wird, sollten Sie Maßnahmen einführen, die auch mobile Geräte absichern. Das Anti‑Phishing‑Paket zeigt praxisnah, wie Sie Bildinhalte automatisch überprüfen, Mitarbeiter-Workflows anpassen und klare Verteidigungsregeln etablieren. Im Gratis-Download finden Sie Vorlagen für Schulungen und einen sofort einsetzbaren Vier‑Schritte‑Plan. Jetzt Anti‑Phishing‑Paket herunterladen