PhiShark Logo
Zurück zum Blog
Industry Insights5. Juni 20266 Min. LesezeitPhiShark Team

Quishing: Warum QR-Code-Phishing die Hintertür an deinen E-Mail-Abwehr vorbei ist

QR-Code-Phishing (Quishing) umgeht E-Mail-Scanner und Link-Vorschauen komplett. So funktioniert es 2026, warum es in Unternehmensumgebungen explodiert und wie Verteidiger die letzte Lücke schließen.

QuishingQR-Code-PhishingBedrohungslandschaftCybersicherheitstrends2026

Die E-Mail-Sicherheit hat ein Jahrzehnt damit verbracht, in einer Sache gut zu werden: Links zu scannen, bevor ein Mensch klickt. Quarantäne, URL-Umschreibung, Anhänge in Sandboxes detonieren lassen, riskante Weiterleitungen entfernen. Quishing - Phishing über QR-Codes geliefert - umgeht die gesamte Pipeline. Die bösartige Nutzdaten sind nie ein E-Mail-Link. Es ist ein Bild, und der Scanner sieht nur Pixel.

2026 ist Quishing einer der am schnellsten wachsenden Angriffsvektoren, gerade weil es die Annahme ausnutzt, auf die jedes E-Mail-Gateway noch angewiesen ist: dass die Bedrohung als Text ankommt.

Warum QR-Codes herkömmliche Abwehr umgehen

Ein QR-Code ist kein Link im herkömmlichen Sinne. Es ist ein binäres Bild, das eine URL codiert, und die Decodierung passiert auf einem völlig anderen Gerät - der Handykamera - als dem, das den E-Mail-Scanner ausführt. Das erzeugt einen blinden Fleck, den Verteidiger verstehen müssen, bevor sie ihn schließen können.

Der Scanner sieht nie das Ziel

Sichere E-Mail-Gateways tokenisieren und schreiben URLs im Nachrichtentext um, damit sie geprüft, protokolliert und widerrufen werden können. Ein als PNG eingebetteter QR-Code passiert unangetastet, weil es keine URL zum Umschreiben gibt. Das Ziel löst sich erst zum Scan-Zeitpunkt auf, auf dem Handy des Nututzers, in einer Umgebung, die das Gateway nicht kontrolliert.

PDF- und Bildeinbettung verbirgt die Nutzdaten

Angreifer haben gelernt, dass ein QR-Code in einem PDF-Anhang, einem Word-Dokument oder einem Inline-Bild die meisten Inhaltsfilter besiegt. Der Filter prüft den Container, sieht ein Bild, das er nicht lesen kann, und lässt es durch. Der Nutzer, der die Datei gutgläubig öffnet, scannt den Code mit demselben Handy, das seine Firmenmailbox und seine MFA-App enthält.

Die Überschneidung mit der physischen Welt ist unverteidigt

Quishing beschränkt sich nicht auf E-Mails. Codes tauchen auf gedruckten Flyern im Büro auf, aufklebbaren Aufklebern auf Parkuhren, gefälschten Versorgungsschein-Hinweisen und sogar Postern, die über legitime Schilder an Flughäfen geklebt werden. Keine dieser Oberflächen wird von einem Sicherheits-Stack überwacht. Der Browser, in dem der Angriff letztlich landet, ist der einzige gemeinsame Engpass.

Wie ein moderner Quishing-Angriff abläuft

Die schädlichsten Kampagnen 2026 folgen einem erkennbaren Muster. Jeden Schritt zu verstehen macht die Verteidigung möglich.

  1. Zustellung: Eine Nachricht erreicht das Ziel über einen beliebigen Kanal - E-Mail, Teams, Slack, SMS oder ein gedrucktes Blatt. Die einzige Nutzlast ist ein QR-Code.
  2. Decodierung: Der Nutzer scannt mit seiner Handykamera und vertraut der Oberfläche, auf der der Code stand. Das Handy-Routing öffnet den Browser, oft den Standardbrowser des Privatgeräts, und umgeht die Richtlinien eines gemanagten Firmen-Browsers komplett.
  3. Landung: Das Ziel ist eine geklonte Login-Seite, häufig eine KI-generierte Replikation von Microsoft 365, einem HR-Portal oder einem MFA-Neu-Anmeldefluss.
  4. Ernte: Anmeldedaten und manchmal der zweite Faktor werden erfasst. Ist die Seite Teil eines AiTM-Kits (Adversary-in-the-Middle), wird das Session-Cookie in Echtzeit gestohlen und beim legitimen Dienst abgespielt.
  5. Persistenz: Der Angreifer operiert nun von innerhalb des Kontos als gültige Session, oft bevor ein Alarm auslöst.

Der gefährliche Teil ist Schritt vier. Wenn ein E-Mail-Gateway bemerkt, dass die Domain vor zwei Stunden registriert wurde, ist das Session-Cookie längst weitergezogen.

Warum Unternehmensumgebungen das Hauptziel sind

Quishing gedeiht, wo Mitarbeiter darauf trainiert wurden, Links zu misstrauen, aber nicht Bildern. Das Firmen-Schulungshandbuch hat Jahre damit verbracht, Menschen beizubringen, über URLs zu hovern und die Schreibweise der Domain zu prüfen. Kein dieser Reflexe überträgt sich auf einen QR-Code, weil ein Mensch einen visuell nicht decodieren kann. Die Vertrauensentscheidung schrumpft auf "wirkt die Oberfläche, auf der dieser Code steht, seriös?"

Dieses Vertrauenssignal ist trivial fälschbar. Ein PDF, das wie eine interne IT-Mitteilung aussieht, ein Schild am Parkplatz, das offiziell wirkt, eine Slack-Nachricht von einem kompromittierten Kollegen, der dich einlädt, "für das Büro-WLAN-Update zu scannen" - jeder stellt Vertrauen im Moment der Entscheidung her.

Die Verlagerung auf Mobile-First-Arbeit verschärft das Problem. Ein QR-Code, der auf einem Privat-Handy gescannt wird, landet oft in einem Browser, den die Organisation nicht instrumentieren kann, was bedeutet, dass der Schutz der letzten Meile in diesem Browser leben muss, nicht in einem Gateway, das der Nutzer nie erreicht.

Wie Verteidiger die Lücke schließen

Es gibt keine E-Mail-Kontrolle, die Quishing verschwinden lässt, denn Quishing ist kein E-Mail-Problem. Die Lösung ist, die eine Oberfläche zu schützen, die jeder Quishing-Angriff letztlich trifft: den Browser.

Hör auf, dem Zustellungskanal zu vertrauen

Die Prämisse des Quishing ist, dass Vertrauen vom Kanal auf das Bild übertragen wird. Verteidiger sollten annehmen, dass der Kanal keine Rolle spielt. Ist der Browser, in dem die Landing-Page öffnet, nicht geschützt, ist der Nutzer exponiert, egal wie sorgfältig das Gateway wachte.

Analysiere die Landing-Page, nicht nur den Link

Statische Reputationsprüfungen scheitern hier, weil Domains frisch registriert und ständig rotieren. Die Verteidigung muss prüfen, was die Seite beim Laden tut - Struktur, Markentäuschungs-Marker, Verhalten der Datensammlung und Weiterleitungsketten. Genau diese Analyse führt ein agentiver KI-Phishing-Analyst in Echtzeit auf jeder Seite durch, die ein Nutzer erreicht.

Schütze den Browser als letzte Verteidigungslinie

Welcher Kanal den QR-Code auch bringt und welches Gerät ihn scannt, der Angriff gelingt oder scheitert im Browser. Die PhiShark Browser-Erweiterung prüft Landing-Pages beim Laden und blockiert bösartige Ziele, bevor Anmeldedaten eingegeben werden, und schließt den blinden Fleck, den E-Mail-Gateways strukturell nicht erreichen.

Behandle QR-Codes in Nachrichten standardmäßig als riskant

Als Hygiene-Schicht behandle eingebettete QR-Codes in E-Mail und Chat wie eine ausführbare Datei - markieren, in die Sandbox, prüfen. Die technischen Kontrollen existieren; die Lücke ist Richtlinie. Die meisten Teams haben ihre Anhangsbehandlung schlicht nicht auf Bilder ausgeweitet, die URLs codieren.

Was das für Sicherheitsteams bedeutet

Quishing wird E-Mail-Phishing nicht ersetzen. Es wird daneben sitzen und den blinden Fleck füllen, den reife E-Mail-Abwehr geschaffen hat. Die Teams, die vorn bleiben, sind jene, die aufhören, den Posteingang als Frontlinie zu behandeln, und den Browser als Perimeter begreifen.

  • Die Angriffsfläche ist der Browser, nicht das Postfach. Endet deine Kontrolle am Gateway, läuft Quishing direkt daran vorbei.
  • Statische Reputation ist zu langsam. Frisch registrierte Domains bedeuten einem Reputations-Feed, der sie nie gesehen hat, nichts.
  • Beweisbasierte Analyse schlägt einen Risiko-Score. Zu wissen, warum ein Ziel gefährlich ist - was es töscht, was es sammelt, wohin es umleitet - macht eine verteidigbare Entscheidung möglich.
  • Geräteübergreifende Reichweite ist nicht verhandelbar. Ein Code, der auf einem privaten Handy gescannt wird, landet wo gemanagte Kontrollen nicht laufen. Browser-native Protection ist die einzige Schicht, die dem Nutzer folgt.

QR-Codes sind nicht gefährlicher geworden. Die Abwehr um sie herum hat sich nicht angepasst.

Die zugrunde liegende Technologie hat sich jahrelang nicht geändert. Was sich 2026 änderte, war, dass Angreifer die Lücke zwischen reifem E-Mail-Scannen und ungeschützten Bild-Oberflächen bemerkten - und Volumen hindurchleiteten. Die Antwort ist kein neuer Scanner. Es ist Schutz auf der einen Oberfläche, die alle Varianten teilen: der Browser, in dem die Seite landet.

Sieh, wie PhiShark den blinden Fleck des Quishing schließt - erkunde die Plattform und lege browser-native, beweisbasierte Phishing-Abwehr auf jedes Gerät, von dem deine Nutzer scannen.

Tiefer einsteigen? Durchstöbere unseren Blog für weitere Analysen der Bedrohungslandschaft, oder besuche das Glossar für Definitionen zentraler Phishing- und Cybersicherheits-Begriffe.