QR-Codes sind im Arbeitsalltag allgegenwärtig: auf Tickets, in Formularen, auf Kundenkarten oder in internen Dokumenten. Sie erleichtern Prozesse, weil ein kurzer Scan sofort zu Websites, digitalen Formularen oder Bezahlvorgängen führt. Doch nicht jeder QR-Code ist sicher. Quishing ist eine moderne Cyberbedrohung, bei der genau diese Codes als Angriffsvektor genutzt werden.
Wenn du bisher noch nicht mit Quishing in Berührung gekommen bist, erfährst du hier, was Quishing ist, welche Risiken es für Unternehmen birgt und welche Maßnahmen nötig sind, um Mitarbeiter zu schützen.
Was ist Quishing?
Quishing ist eine spezielle Form des Phishings, bei der QR-Codes verwendet werden, um Mitarbeiter auf gefälschte Websites zu leiten. Dort werden Zahlungsinformationen, Login-Daten oder andere sensible Unternehmensinformationen abgefragt oder automatisch Schadsoftware auf Endgeräten installiert.
Der Begriff „Quishing“ setzt sich aus QR-Code und Phishing zusammen. Während klassisches Phishing oft per E-Mail oder SMS erfolgt, nutzen Angreifer beim Quishing QR-Codes als Köder – oft an öffentlichen Orten, in Dokumenten oder Marketingmaterialien.
Ursprung von Quishing
Mit der zunehmenden Nutzung von QR-Codes, insbesondere während der Corona-Pandemie, stieg auch deren Missbrauch. Restaurants, Behörden und Unternehmen setzten QR-Codes für Speisekarten, Formulare und Tickets ein. Cyberkriminelle nutzten diese Alltagsgewohnheit gezielt aus. Seit 2021/2022 ist ein deutlicher Anstieg von Quishing-Angriffen zu beobachten.
Wie funktioniert ein QR-Code?
QR-Codes speichern Informationen in einem visuellen Muster. Beim Scan mit einem Smartphone oder einer App wird der gespeicherte Link oder die enthaltene Information sofort geöffnet. Genau diese Automatik macht QR-Codes für Angreifer attraktiv.
Wie funktioniert Quishing in der Praxis?
Risiken für Unternehmen
- Finanzieller Schaden: unautorisierte Zahlungen, Betrug oder Diebstahl von Unternehmenswerten
- Datenverlust: vertrauliche Informationen von Kunden oder Mitarbeitern werden kompromittiert
- Betriebsstörungen: Schadsoftware oder Ransomware können Systeme lahmlegen
- Reputationsschaden: Vertrauen von Kunden, Partnern und Mitarbeitern leidet
- Rechtliche Konsequenzen: Datenschutzverstöße, z. B. Bußgelder nach DSGVO
Ein einziger Scan kann also erhebliche Folgen für ein Unternehmen haben.
Sofort umsetzbare Schutzmaßnahmen für Mitarbeiter
- QR-Codes nur aus sicheren, vertrauenswürdigen Quellen scannen
- Auf Manipulation prüfen, z. B. überklebte Codes
- Keine Zahlungsaufforderungen oder Formulare öffnen, die unerwartet erscheinen
- Nur offizielle Apps oder Webseiten für Zahlungen nutzen
- QR-Code-Scanner mit Sicherheitsprüfungen verwenden
- Verdächtige Codes sofort an IT-Security oder Vorgesetzte melden
- Bei Unsicherheit: QR-Code nicht scannen und Rücksprache mit der IT halten
Lade dir jetzt unseren Leitfaden herunter mit der passenden Checkliste zum Ausdrucken.
Jetzt herunterladen
Sensibilisierung von Mitarbeitern
Ohne Wissen kann man nicht handeln. Regelmäßige Schulungsimpulse sind entscheidend, damit Mitarbeiter bewusst mit Cybersecurity umgehen. E-Learning-Module, Kurzvideos im Intranet oder zielgruppenspezifische Serienmailings vermitteln genau das Wissen, das Mitarbeiter benötigen.
Remote-Mitarbeiter benötigen andere Inhalte als Außendienstmitarbeiter. Während Remote-Mitarbeiter vor allem auf digitale Dokumente achten müssen, stehen Außendienstmitarbeiter täglich vor einer Vielzahl von QR-Codes in der Außenwelt.
Auszug unserer Schulungen
Ein gezielter Mix aus eTrainings, Kurzunterweisungen, Videos, Games oder moderierten Praxis-Checks sorgt dafür, dass Mitarbeiter langfristig sensibilisiert werden.








FAQ: Häufige Fragen zu Quishing
Quishing ist eine spezielle Form des Phishings, bei der QR-Codes als Köder genutzt werden. Ziel ist es, Mitarbeiter auf gefälschte Websites zu leiten, um sensible Daten wie Login- oder Zahlungsinformationen zu stehlen oder Schadsoftware zu installieren. Achte auf Manipulationen wie überklebte Codes, ungewöhnliche URLs, Druck oder Dringlichkeit auf der Seite, fehlende Sicherheitsmerkmale wie HTTPS oder offizielle Logos. Bei Unsicherheit niemals scannen und die IT informieren. Ein einziger Scan kann zu finanziellen Schäden, Datenverlust, Betriebsstörungen, Reputationsschäden oder rechtlichen Konsequenzen führen, insbesondere bei Verstößen gegen die DSGVO. Alle Mitarbeiter, die QR-Codes im Arbeitsalltag nutzen, sind potenziell gefährdet. Außendienstmitarbeiter oder Mitarbeiter im Kundenkontakt sind besonders exponiert, aber auch Remote-Mitarbeiter, die digitale Dokumente nutzen, müssen sensibilisiert werden. Regelmäßige, gezielte Impulse sind entscheidend. E-Learning-Module, Kurzvideos, Games und moderierte Praxis-Checks vermitteln praxisnah Wissen. Inhalte sollten an die spezifischen Anforderungen der jeweiligen Mitarbeitergruppen angepasst werden. Ja, es gibt Scanner und Apps, die Links prüfen und vor verdächtigen Websites warnen. Unternehmen sollten diese Tools bereitstellen und deren Nutzung schulen.Was ist Quishing genau?
Wie erkenne ich einen gefährlichen QR-Code?
Welche Risiken bestehen für mein Unternehmen?
Welche Mitarbeiter sind besonders gefährdet?
Welche Maßnahmen kann ein Unternehmen ergreifen?
Wie kann ich meine Mitarbeiter effektiv sensibilisieren?
Gibt es Tools, die QR-Codes vor dem Scan prüfen?
Was soll ich tun, wenn ein Mitarbeiter einen verdächtigen QR-Code gescannt hat?