QR-Codes sind in der Office-Welt unauffällig geworden. Sie hängen an Druckern, in Aufzügen, an Whiteboards in Meetingräumen — sogar in offiziellen Onboarding-Mails. Genau diese Selbstverständlichkeit macht sie zu einer ernstzunehmenden Phishing-Schwachstelle. Quishing — Phishing über QR-Codes — hat sich zu einer eigenen Disziplin entwickelt.
Das Tückische: Quishing umgeht klassische Sicherheitskontrollen, weil es technisch und psychologisch an mehreren Stellen den Standardpfad verlässt.
Warum klassische Mail-Filter bei Quishing versagen
Mail-Gateways erkennen Phishing typischerweise über URL-Reputation: Sie prüfen die Links in der Mail gegen Threat-Intelligence-Quellen und Blacklists. QR-Codes liegen jedoch als Bild in der Mail — der Filter sieht keine URL und lässt die Mail durch.
Geöffnet wird der QR-Code dann meistens mit dem privaten Smartphone — also außerhalb der Unternehmens-Sicherheitslinie. Auf diesem Gerät greift weder die Endpoint-Protection des Unternehmens noch eine zentral verwaltete Browser-Extension. Die Phishing-Seite wird in einem Kontext geöffnet, der außerhalb der Reichweite der IT liegt.
Die häufigsten Quishing-Vektoren im Geschäftsalltag
- Angebliche Microsoft-365-Reauth-Aufforderung mit QR-Code: „Bitte erneut authentifizieren — scannen Sie den QR-Code mit Ihrem Smartphone, um die Sitzung fortzusetzen.“
- HR-Rundmails zu Schulungen, Boni oder Teamevents: „Bitte registrieren Sie sich für die verpflichtende Schulung über den QR-Code.“
- Lieferanten-Portal-Updates: „Aufgrund eines IT-Updates ist der direkte Login deaktiviert. Bitte nutzen Sie temporär den QR-Code.“
- Physische QR-Sticker an Druckern, Konferenzraum-Wänden oder Parkscheinautomaten: Der Angreifer klebt einen eigenen Sticker über den echten Code.
Was Unternehmen konkret tun können
1. Awareness gezielt auf Quishing erweitern
Mitarbeitende sollten lernen: Ein QR-Code, der zu einer Login-Aktion führt, ist immer verdächtig — auch wenn er „nur kurz“ gescannt wird. Die Faustregel: Login-Vorgänge gehören in den vertrauten Browser, nicht hinter einen QR-Code.
2. Mobile-Strategie überdenken
Wer Firmen-Mails am privaten Smartphone liest, sollte überlegen, ob die Phishgate-Warnschicht auch dort sinnvoll ist — etwa über mobile Browser mit Extensions oder eine entsprechende MDM-Policy auf dienstlich genutzten Smartphones. Damit landet der Login-Versuch im Browser-Kontext, in dem Phishgate prüft.
3. Physikalische Kontrolle
QR-Codes in öffentlich zugänglichen Bereichen sollten regelmäßig daraufhin geprüft werden, ob sie überklebt wurden. Eine kurze Sichtkontrolle bei der Begehung reicht oft aus, um manipulierte Codes zu identifizieren.
4. Verzicht auf Login-QR-Codes in der eigenen Kommunikation
Etablieren Sie unternehmensintern die Regel: Wir versenden niemals QR-Codes, die zu Login-Vorgängen führen. Wenn jeder Mitarbeitende weiß, dass das nicht zur internen Praxis gehört, wird ein angeblich interner QR-Code-Login automatisch verdächtig.
Wie Phishgate hilft
Sobald der QR-Code im Desktop-Browser geöffnet wird — etwa weil Mitarbeitende den Link auf ihren Arbeitsrechner spiegeln — prüft Phishgate die Domain. Bei nicht freigegebenen Login-Aufforderungen warnt die Extension vor der Passworteingabe; im FULL Mode wird der Zugriff im Browser stärker eingeschränkt.
Damit verschiebt sich der Schutz zumindest dann zurück in den kontrollierten Bereich, wenn Mitarbeitende den Login auf dem Firmenrechner durchführen — was im Geschäftsumfeld der mit Abstand häufigere Fall ist.
Awareness-Schulungen für mobile Bedrohungen
Quishing ist ein gutes Beispiel dafür, warum Awareness-Schulungen regelmäßig aktualisiert werden müssen. Wir bieten gezielte Schulungs-Module zu mobilen Phishing-Vektoren an — direkt in Ihrem Unternehmen, mit aktuellen Beispielen aus den letzten Wochen.
Fazit
Quishing umgeht klassische Mail-Filter, weil der Angriff vom Bild zum mobilen Browser springt. Die Antwort heißt: Awareness erweitern, mobile Geräte einbeziehen, physische Codes kontrollieren — und im Desktop-Browser eine Warnschicht wie Phishgate aktiv halten, damit zumindest dort der Login-Moment geschützt bleibt.