Erstgespräch
IT-Beratung
Cloud Backup E-Mail-Archivierung (GoBD) Netzwerk & WLAN
IT-Strategie
IT-Sicherheitsanalyse & Schwachstellen-Scan IT-Compliance (GoBD, DSGVO, NIS2) IT-Notfallplan
IT-Dienstleistungen
IT-Support & Helpdesk IT-Flatrate IT-Notfall & Soforthilfe Preise & Modelle
Managed Services
Endpoint Protection E-Mail-Sicherheit MFA & Identitätsschutz
Microsoft 365
Migration zu Microsoft 365 Lizenzberatung Microsoft Teams
Smarte Kommunikation
Teams-Telefonie E-Mail-Signaturen Teams-Räume
KI im Arbeitsalltag Neu
Microsoft 365 Copilot KI-Assistenten & Chatbots Prozesse automatisieren Eigene KI-Lösungen Sichere Nutzung & Datenschutz
Kostenlose Tools Gratis
Ransomware-Check Domain-Check Mail-Tester M365-Sicherheitscheck
NEWS
IT-SicherheitStand: 14. Juni 2026

Quishing: Wie gefälschte QR-Codes Microsoft-365-Zugänge im Mittelstand bedrohen

Ein QR-Code wirkt harmlos: ein kleines Quadrat, das man eben mit dem Smartphone scannt. Genau diese Selbstverständlichkeit machen sich Kriminelle zunutze. Unter dem Begriff „Quishing", einer Mischung aus QR-Code und Phishing, hat sich eine Angriffsmethode etabliert, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer ausdrücklichen Warnung veranlasst hat. Für kleine und mittlere Unternehmen ist das relevant, weil die Angriffe gezielt auf Cloud-Zugänge wie Microsoft 365 zielen.

Was ist Quishing und warum ist es gefährlich?

Beim Quishing wird der schädliche Link nicht als anklickbarer Text verschickt, sondern als Bild in Form eines QR-Codes. Das ist der entscheidende Trick: Viele E-Mail-Sicherheitssysteme prüfen Links im Text, erkennen einen im Bild kodierten Link aber häufig nicht. So passiert die Nachricht den Filter, der eine klassische Phishing-Mail gestoppt hätte.

Hinzu kommt der Gerätewechsel. Der QR-Code kommt am gut geschützten Arbeitsplatz-PC an, gescannt wird er aber mit dem Smartphone, oft dem privaten. Damit verlässt der Vorgang die Reichweite der firmeneigenen Schutzmaßnahmen. Auf dem kleinen Display ist eine gefälschte Webadresse zudem schwerer zu erkennen als am Monitor. Laut BSI hat sich die Zahl der Quishing-Vorfälle in der zweiten Jahreshälfte 2025 etwa verfünffacht, und Deutschland zählt zu den Hauptzielen.

Wie läuft ein typischer Angriff ab?

Das Muster ähnelt sich: Mitarbeitende erhalten eine scheinbar dringende Nachricht, angeblich von Microsoft, der Personalabteilung oder einem Geschäftspartner. Darin werden sie aufgefordert, einen QR-Code zu scannen, etwa für eine „Sicherheitsüberprüfung", eine angebliche Dokumentenfreigabe oder eine Multi-Faktor-Neueinrichtung. Der Scan führt auf eine täuschend echt nachgebaute Login-Seite, die Microsoft 365 oder vergleichbare Dienste imitiert.

Besonders kritisch: Moderne Kits arbeiten als sogenannter Adversary-in-the-Middle. Die gefälschte Seite schaltet sich in Echtzeit zwischen Nutzer und echten Dienst. Wer dort seine Zugangsdaten und auch den Bestätigungscode der Multi-Faktor-Anmeldung eingibt, gibt damit das aktive Sitzungstoken preis. Angreifer können sich so anmelden, ohne das Passwort erneut zu kennen, und umgehen den Schutz der Zwei-Faktor-Authentifizierung. Sicherheitsbehörden beobachten auch staatlich gesteuerte Gruppen, die diese Technik gegen europäische Organisationen einsetzen.

Die Methode entwickelt sich weiter. Berichtet wird über QR-Codes, die in PDF-Anhängen versteckt oder in mehrere Bildfragmente zerlegt werden, damit Analysewerkzeuge sie schwerer auswerten können. Auch außerhalb der E-Mail lauert Gefahr: Es gibt Fälle, in denen Betrüger gefälschte Codes auf Parkautomaten oder Ladesäulen kleben.

Wie schützen KMU sich vor Quishing?

Einen einzelnen Schalter gibt es nicht, wirksam ist ein Bündel aus Technik und Sensibilisierung:

  • Mitarbeitende schulen: QR-Codes aus E-Mails grundsätzlich mit Skepsis behandeln, besonders bei Dringlichkeit oder Login-Aufforderungen.
  • Vor dem Öffnen die Ziel-URL anzeigen lassen, die viele Smartphone-Kameras in der Vorschau einblenden, und auf die echte Domain achten.
  • Phishing-resistente Anmeldeverfahren prüfen, etwa Passkeys oder an das Gerät gebundene Verfahren, die gestohlene Sitzungstokens entwerten.
  • Bedingten Zugriff nutzen, sodass Anmeldungen nur von verwalteten, als vertrauenswürdig eingestuften Geräten gelingen.
  • Verdächtige Vorfälle melden, idealerweise über einen klar definierten Meldeweg im Unternehmen.

Eine solide Grundlage und passende Fachbegriffe finden Sie in unserem Cybersecurity-Lexikon. Wie Sie Ihre Cloud-Umgebung absichern, zeigen wir auf der Seite zu Microsoft 365.

Häufige Fragen

Schützt meine Multi-Faktor-Anmeldung nicht vor Quishing?

Sie erschwert Angriffe, ist aber kein vollständiger Schutz. Adversary-in-the-Middle-Seiten fangen den eingegebenen Code in Echtzeit ab und übernehmen das Sitzungstoken. Phishing-resistente Verfahren wie Passkeys bieten hier deutlich mehr Sicherheit.

Erkennt unser Spamfilter solche Mails?

Nicht zuverlässig. Da der schädliche Link als Bild im QR-Code steckt, übersehen textbasierte Filter ihn häufig. Es braucht zusätzlich geschulte Mitarbeitende und mehrschichtige Schutzmaßnahmen.

Sind auch QR-Codes außerhalb von E-Mails ein Risiko?

Ja. Gemeldet wurden manipulierte Codes an Parkautomaten und Ladesäulen. Scannen Sie nur Codes aus vertrauenswürdiger Quelle und prüfen Sie die angezeigte Adresse vor dem Öffnen.

So unterstützt Sie die High5Manufaktur GmbH

Als IT-Dienstleister für KMU im Raum Karlsruhe unterstützt Sie die High5Manufaktur GmbH dabei, Microsoft-365-Zugänge abzusichern, phishing-resistente Anmeldeverfahren einzuführen und Mitarbeitende für Maschen wie Quishing zu sensibilisieren. Im Rahmen unserer Managed Services richten wir bedingten Zugriff und Schutzmaßnahmen ein und behalten Ihre Umgebung im Blick. Sprechen Sie uns an: In einem kostenlosen Erstgespräch klären wir Ihren konkreten Bedarf.

Alexander Häffner

Alexander Häffner

Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.

Kostenloses Erstgespräch Mehr Artikel