Die meisten erfolgreichen QR-gestützten Angriffe nutzen keine technische Schwachstelle aus — sie nutzen eine Person aus, die nicht weiß, worauf sie achten soll. Phishing via QR-Code (oft „Quishing" genannt) nimmt deutlich zu, weil es E-Mail-Filter umgeht und vertrauenswürdiger wirkt als ein verdächtiger Link. Wenn du ein kleines Unternehmen leitest oder ein Team führst, das mit Druckmaterialien, Point-of-Sale-Systemen oder Lieferantenkommunikation umgeht, ist eine 30-minütige Schulungssitzung eine der günstigsten Sicherheitsinvestitionen, die du machen kannst.
Hier ist ein praktisches, sechsteiliges Framework, das du deinem Team sofort vermitteln kannst.
1. Erkläre, was ein QR-Code eigentlich tut
Bevor du Bedrohungen trainierst, stelle sicher, dass jeder das Funktionsprinzip versteht. Ein QR-Code ist nur eine maschinenlesbare Anweisung — am häufigsten eine URL, manchmal aber auch Zugangsdaten für WLAN, eine Telefonnummer oder eine Zahlungsanforderung. Wenn man einen scannt, übergibt man die Kontrolle an den Ort, auf den der Code verweist — genau das nutzen Angreifer aus.
Verwies dein Team auf eine verständliche Ressource wie unseren kompletten Guide zu QR-Codes, damit alle eine Grundlage haben. Menschen, die das Werkzeug verstehen, lassen sich damit schwerer täuschen.
2. Trainiere die Gewohnheit „Vorschau checken, bevor du fortfährst"
Jedes große Mobil-Betriebssystem (iOS 16+, Android 13+) zeigt eine URL-Vorschau an, bevor ein Browser-Tab geöffnet wird, wenn mit der nativen Kamera-App ein QR-Code gescannt wird. Trainiere dein Team, folgendes zu tun:
- Bei dem Vorschaubildschirm stoppen — niemals sofort tippen.
- Die komplette Domain lesen, nicht nur den Anfang der URL. Angreifer nutzen Subdomains wie
deine-bank.com.verify-login.net, wo die echte Domainverify-login.netist. - Auf HTTPS achten, aber nicht als Garantie betrachten. Phishing-Seiten haben routinemäßig gültige TLS-Zertifikate.
Diese einzelne Gewohnheit blockiert einen großen Teil opportunistischer Quishing-Versuche. Unser separates Stück über warum URL-Vorschau Scanner schützt enthält mehr Details, die es wert sind, mit deinem Team geteilt zu werden.
3. Rote-Flaggen-Liste für physische QR-Codes
Mitarbeiter im Einzelhandel, in der Gastronomie oder auf Events sehen regelmäßig gedruckte QR-Codes von Dritten — Speisekarten, Rechnungen, Konferenzmaterialien, Lieferscheine. Gib ihnen eine konkrete Rote-Flaggen-Liste:
| Signal | Warum es wichtig ist |
|---|---|
| Aufkleber über einem bestehenden Code | Klassische Manipulationsmethode |
| Code auf Papier ohne Branding gedruckt | Geringe Hürde für eine Fälschung |
URL-Vorschau führt zu einer IP-Adresse (z.B. http://192.168.1.1/…) |
Seriöse Business-Seiten machen das nicht |
| Ziel stimmt nicht mit der versprochenen Aktion überein | „Scan zur Rechnungseinsicht" → landet auf einer Login-Seite |
| Code auf unaufgeforderten Mails oder Paketen | Hohes Risiko-Lieferkanal |
Für einen detaillierteren Blick auf physische Manipulation speziell ist der Guide zur Erkennung von QR-Code-Manipulation eine praktische Beglektüre.
4. Behandle Zahlungs- und Zugangs-QR-Codes separat
Zahlungs-QR-Codes (verwendet in Rechnungen, an Kassen, auf Parkuhren) sind ein Ziel mit hohem Wert. Zugangs-QR-Codes — diejenigen, die automatisch ein WLAN-Passwort ausfüllen oder jemanden in eine App einloggen — sind eine zweite, unterschiedliche Kategorie, die dein Team anders als einen Marketing-Scan behandeln sollte.
Wichtigste Regel: Scanne einen Zahlungs-QR-Code aus einer unverifizierten Quelle niemals, ohne den Zahlungsempfänger über einen separaten Kanal zu bestätigen. Wenn ein Lieferant eine Rechnung mit QR-Code per Mail versendet, ruf die bekannte Nummer des Lieferanten an, bevor du den Code scannst. Das ist keine Paranoia — Rechnungsbetrug via QR ist gut dokumentiert.
Bei WLAN-QR-Codes: Frag denjenigen, der dein Netzwerk verwaltet, bevor du einen „Gast-WLAN"-Code in einem freigegebenen Bereich scannst, den du nicht kontrollierst.
5. Lege einen internen QR-Code-Standard für deine eigenen Materialien fest
Ein verwirrter oder inkonsistenter interner Ansatz macht Mitarbeiter anfälliger. Wenn dein Unternehmen QR-Codes auf Quittungen, Verpackungen oder Marketingmaterialien nutzt, lege einen Standard fest und kommuniziere ihn:
- Nutze immer deine registrierte Domain als Ziel (z.B.
dein-unternehmen.de/…), niemals eine rohe Kurz-URL oder Weiterleitungsservice ohne Branding. - Sag deinem Team, wie deine QR-Codes aussehen — Farbe, Logo-Platzierung, die Domain, auf die sie verweisen — damit sie eine Imitation erkennen können.
- Nutze dynamische Codes wo möglich, damit du Scan-Logs auditieren und eine kompromittierte URL killen kannst ohne nachzudrucken. Die Kompromisse zwischen statischen und dynamischen Formaten solltest du verstehen, bevor du dich entscheidest — dieser Vergleich von statischen vs. dynamischen QR-Codes zeigt dir die Details.
Wenn Mitarbeiter genau wissen, wie deine echten Codes aussehen sollten, sind sie viel besser darin, Fälschungen zu erkennen.
6. Führe eine einfache Tabletop-Übung durch
Wissen verfällt ohne Übung. Einmal pro Quartal druckst du zwei oder drei QR-Codes — einen, der auf deine echte Website führt, einen, der auf ein offensichtliches Platzhalter-Ziel verweist („DIES IST EIN TEST"), und einen, der plausibel aussieht aber irgendwohin Unerwartetes führt. Bitte Mitarbeiter, jeden zu scannen und zu erklären, was sie tun würden, bevor sie fortfahren.
Du kannst diese Übung in unter zehn Minuten mit einem QR-Code-Generator erstellen. Das Ziel ist nicht, Leute zu überraschen — sondern die Gewohnheit des Vorschauens und Pausierens ins Muskelgedächtnis einzuprogrammieren.
Wichtige Erkenntnisse
- QR-Angriffe funktionieren gegen Menschen, nicht gegen Systeme — Training ist eine direkte Gegenmaßnahme.
- Der URL-Vorschau-Bildschirm ist deine zuverlässigste erste Verteidigungslinie; lehre alle, ihn zu nutzen.
- Physische Manipulationen (Aufkleber über echten Codes) sind der häufigste persönliche Angriffsvektor.
- Zahlungs- und Zugangs-QR-Codes haben höhere Einsätze und verdienen ein separates, strengeres Protokoll.
- Definiere und kommuniziere, wie deine eigenen echten QR-Codes aussehen, damit Mitarbeiter Betrüger identifizieren können.
- Eine vierteljährliche praktische Übung verfestigt Gewohnheiten besser als eine einmalige Präsentation.
