Gerade zur Weihnachtszeit steigen die Bedrohungen durch Cyberkriminelle deutlich an. Eine dieser Angriffsformen ist Quishing – ein noch recht neuer, aber zunehmend populärer Trick. Was hinter dieser Technik steckt, wie sie sich von klassischen Phishing-Formen unterscheidet und wie Sie sich optimal schützen können, erfahren Sie in dieser umfassenden Sicherheitsanalyse.
Phishing 2025: Die Evolution der digitalen Täuschung
Phishing ist seit Jahrzehnten ein Dauerbrenner unter den Cyberbedrohungen. Ursprünglich handelte es sich dabei um gefälschte E-Mails, die Empfänger zur Preisgabe vertraulicher Informationen verleiten sollten – etwa Bankdaten oder Zugangsdaten zu Onlinekonten. Inzwischen hat sich dieses Feld stark diversifiziert: Die Angriffe sind raffinierter, individueller und allgegenwärtiger geworden.
Der Branchenverband Bitkom schätzt, dass mehr als 9 von 10 Unternehmen (94 %) in Deutschland 2023 von Cyberangriffen betroffen waren – fast immer auch durch Social-Engineering-Strategien wie Phishing. Der Schaden durch digitale Angriffe belief sich allein in Deutschland 2023 auf 206 Milliarden Euro (Quelle: Bitkom, IT-Sicherheitslage 2023).
Ein aktueller Trend innerhalb dieser Bedrohungen ist Quishing – eine Phishing-Variante, die QR-Codes als zentrale Eintrittspforte verwendet. Doch auch andere Spielarten wie Spear Phishing, Smishing und Vishing gewinnen kontinuierlich an Relevanz.
Was ist Quishing?
Beim Quishing (eine Wortkombination aus „QR-Code“ und „Phishing“) platzieren Angreifer manipulierte QR-Codes in E-Mails, Onlineanzeigen oder physische Werbeflächen. Gescannt wird oft leichtfertig, da QR-Codes im Alltag mit Komfort und Innovation assoziiert werden. Das perfide daran: Der QR-Code kann auf eine schädliche oder täuschend echte Website führen, die zur Eingabe sensibler Daten animiert – beispielsweise Login-Infos oder Zahlungsdetails.
Besonders häufig zielen Quishing-Angriffe auf Mobilgeräte ab, da dort weniger Sicherheitsmechanismen greifen und QR-Codes direkt aus Kamera-Apps heraus geöffnet werden. Die fehlende URL-Vorschau auf manchen Devices verstärkt dieses Risiko.
Ein konkretes Beispiel lieferte 2023 eine Kampagne, bei der manipulierte QR-Codes in Parkautomaten in Texas aufgetaucht waren. Nutzer wurden auf gefälschte Bezahlseiten geleitet und ihre Kreditkarteninformationen abgegriffen (Quelle: FBI Public Alert, Jan 2023).
Weitere bekannte Phishing-Varianten im Überblick
Neben Quishing nutzen Cyberkriminelle verschiedene weitere Methoden, um ihre Opfer zu täuschen. Die wichtigsten darunter sind:
- Spear Phishing: Gezielte Angriffe auf Einzelpersonen oder Unternehmen mit personalisierten E-Mails, meist unter Verwendung echter Namen oder Kontextinformationen.
- Smishing: Phishing per SMS oder anderen Messenger-Diensten. Oft wird mit Paketbenachrichtigungen oder Bankwarnungen operiert.
- Vishing: Telefonanrufe, in denen sich Kriminelle als Supportmitarbeiter oder Behördenvertreter ausgeben und versuchen, sensible Informationen zu erfragen.
- Pharming: Manipulierte DNS-Einträge leiten Nutzer unbemerkt auf gefälschte Webseiten um – auch ohne direkten User-Click.
- Business Email Compromise (BEC): Täuschend echte E-Mails angeblicher Geschäftsführer oder Partnerunternehmen, die häufig finanziellen Schaden durch fingierte Überweisungsanfragen verursachen.
Viele dieser Methoden setzen auf gute Vorbereitung und psychologische Raffinesse – sei es durch Angst, Dringlichkeit oder soziale Nähe zum Opfer.
Warum steigen Phishing-Angriffe gerade zu den Feiertagen an?
Feiertage sind Hochsaison für Cyberkriminelle. Menschen kaufen online ein, erwarten Lieferungen, kommunizieren mit entfernten Verwandten und verlieren häufig ihren Sicherheitsfokus. Gleichzeitig sind IT-Abteilungen in Unternehmen oft unterbesetzt, was Schwachstellen öffnet.
Laut Kaspersky stiegen die registrierten Phishing-Attacken im Dezember 2022 weltweit um 36 % im Vergleich zum Jahresdurchschnitt – besonders stark in Europa (Quelle: Kaspersky Security Bulletin 2023). Paketdienste wie DHL, Amazon oder UPS werden häufig als Köder genutzt.
Zudem ist das Vertrauen in bekannte Marken zu dieser Zeit am höchsten – ein idealer Zustand für Täuschung. Viele Angriffe kombinieren verschiedene Elemente: Ein E-Mail-Phishing mit einem Link zu einem QR-Code, der wiederum ein Login suggeriert – angeblich um einen Geschenkstatus zu aktualisieren.
Technologische Hintergründe: So funktionieren die Angriffe im Detail
Phishing basiert auf technischer Täuschung – oft kombiniert mit psychologischer Manipulation. Bei Quishing etwa leitet der QR-Code auf eine URL, die optisch der Domain eines bekannten Dienstleisters ähneln kann („lookalike domain“). Auf dem Mobilgerät wird diese Adresse nicht immer vollständig angezeigt, was die Enttarnung erschwert.
Weitere Techniken sind:
- URL-Encoding: Die Zieladresse wird verschleiert, etwa durch lange Parameter oder Base64-Codierung.
- SSL-Zertifikate: Selbst gefälschte Seiten tragen manchmal ein gültiges SSL-Zertifikat, wodurch ein trügerisches „https“-Sicherheitsgefühl entsteht.
- CAPTCHA-Dialoge: Simulieren vermeintliche Sicherheitsabfragen, um Legitimität zu suggerieren.
Moderne Phishing-Kits, die auf einschlägigen Plattformen im Darknet für wenige Hundert Euro erhältlich sind, ermöglichen selbst Techniklaien den Bau komplexer Angriffsstrukturen.
Wer ist besonders gefährdet?
Obwohl jede Privatperson potenziell betroffen sein kann, sind bestimmte Zielgruppen aufgrund ihrer digitalen Rolle besonders im Fokus:
- Unternehmen: Mitarbeitende mit Finanz- oder Zugangsbefugnissen, wie die Buchhaltung oder IT-Administration.
- Freiberufler: Kreative, die viele Online-Dienste nutzen und oft nur auf Basisschutz vertrauen.
- Senior:innen: Weniger technikaffin und oft leichter zu täuschen durch reale Autoritätsmuster.
- Online-Shopper: Besonders aktiv in der Weihnachtszeit – etwa aufgrund gefälschter Bestätigungsseiten oder Tracking-Links.
Auch Bildungsinstitutionen sind zunehmend betroffen: Die EDUCAUSE Annual Survey zeigt, dass 66 % der Universitätsnetzwerke 2023 Phishing-Kompromittierungen verzeichnen mussten (EDUCAUSE, Cybersecurity Research 2023).
Wie kann man sich schützen? Drei effektive Präventionsstrategien
- QR-Codes niemals blind scannen: Verwenden Sie QR-Scanner, die die vollständige Zieladresse anzeigen – etwa den integrierten Scanner in modernen Passwortmanagern oder Sicherheits-Apps.
- Zwei-Faktor-Authentifizierung aktivieren: Auch wenn Zugangsdaten abgegriffen werden, verhindert ein zweiter Sicherheitsfaktor oft den erfolgreichen Zugriff auf Konten.
- Phishing-Trainings absolvieren: Unternehmen sollten ihre Mitarbeitenden regelmäßig mit simulierten Angriffen und Schulungen sensibilisieren, um menschliche Schwächen auszubalancieren.
Für IT-Abteilungen empfiehlt das BSI zudem den Einsatz von Domain-Monitoring-Tools, SPF/DKIM-Protection und E-Mail-Gateway-Filtern, die Quishing-Attacken bereits beim Eingangserkennung blockieren können.
Fazit: Wachsamkeit als Schlüssel zur digitalen Resilienz
Ob Quishing oder Smishing – die Methoden verändern sich, aber das Ziel bleibt gleich: unsere Daten, unsere Privatsphäre, unser Vertrauen. Gerade in Zeiten erhöhter digitaler Aktivität, wie den Feiertagen, sind wir alle gefordert, achtsamer mit digitalen Informationen umzugehen und technologisch up to date zu bleiben.
Setzen Sie auf Aufklärung, Tools und sichere Kommunikationswege – und helfen Sie so mit, Phishing langfristig das Wasser abzugraben. Welche Erfahrungen haben Sie mit neuen Phishing-Methoden gemacht? Teilen Sie Ihre Tipps und Beobachtungen in den Kommentaren und stärken Sie gemeinsam mit unserer Community Ihre digitale Widerstandskraft.
