Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Artikel

Einmal Scannen bitte – und schon sind ihre Daten weg

Stellen Sie sich vor: Sie kommen morgens ins Büro und sehen am Schwarzen Brett einen Aushang. „Neues WLAN im Konferenzraum – bitte QR-Code scannen und Zugangsdaten aktualisieren.“ Klingt nach IT. Klingt nach Routine. Klingt legitim.

Andreas Hessel

22.05.2026 · 4 Min Lesezeit

Es scheint legitim, aber darin liegt das Problem

QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Restaurantspeisekarten, Parkscheinautomaten, Paketbenachrichtigungen – wir scannen sie, ohne groß nachzudenken. Das wissen auch Angreifer. Und sie nutzen dieses Vertrauen gezielt aus.

Was ist Quishing? Und warum ist es so gefährlich?

Der Begriff setzt sich zusammen aus QR-Code und Phishing. Das Prinzip ist dasselbe wie bei einer Betrugs-Mail. Sie werden auf eine gefälschte Webseite gelockt, um dort Ihre Zugangsdaten oder persönliche Informationen einzugeben.

Der entscheidende Unterschied liegt im Weg dorthin. Beim klassischen Phishing sehen Sie noch eine URL. Vielleicht fällt Ihnen auf, dass statt „sparkasse.de“ da „sparkasse-sicherheit.net“ steht. Beim QR-Code sehen Sie gar nichts.

Sie scannen, Ihr Smartphone ruft die Adresse auf und erst dann landen Sie auf der gefälschten Seite. Die Prüfmöglichkeit, die bei einer URL noch existiert, fehlt hier völlig.

Mein Tipp:
Behandeln Sie jeden QR-Code wie einen unbekannten Link in einer E-Mail. Sie würden auch nicht blind
auf einen Link klicken, dessen Ziel Sie nicht kennen. Beim QR-Code gilt dasselbe.

Wo begegnen Ihnen gefälschte QRCodes im Arbeitsalltag?

Angreifer wissen genau, wo wir QR-Codes erwarten. Deshalb tauchen gefälschte Codes gezielt dort auf:

  • In E-Mails und Aushängen: In einer scheinbar internen Nachricht werden Sie gebeten, einen Prozess per QR-Code zu bestätigen. Oder jemand hat schlicht einen Aufkleber mit einem anderen Code über den echten am Drucker geklebt.
  • Auf Paketzetteln: Sie erhalten eine angebliche Zustellbenachrichtigung. Ein Scan führt Sie direkt auf eine gefälschte Paketdienstseite, die nach Adress-und Zahlungsdaten fragt.
  • In externen Dokumenten: Ein QR-Code im Anhang eines Angebots führt angeblich zur Vertragsunterlage oder in Bewerbungsunterlagen vermeintlich zum Portfolio des Bewerbers.

Mein Tipp:
Fragen Sie sich bei jedem QR-Code, wer ihn dort platziert hat und warum. Fehlen ein Briefkopf, ein Name, ein Kontext? Dann ist Vorsicht angesagt.

Das Datenschutzproblem, das viele übersehen

Quishing ist nicht nur ein IT-Sicherheitsthema. Es ist auch ein Datenschutzthema. Und zwar aus einem
Grund, der leicht übersehen wird.

Als Mitarbeitende haben Sie Zugang zu Kundendaten, Personalinformationen oder internen Finanzdaten. Werden Ihre Zugangsdaten gestohlen, ist damit auch der Weg zu diesen Informationen offen. Das ist eine Datenpanne im Sinne der Datenschutz-Grundverordnung.

Für unser Unternehmen entsteht eine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde. Und für betroffene Kunden kann ein erheblicher Schaden verursacht werden – ihre Daten könnten missbraucht oder verkauft werden.

Erschwerend kommt hinzu, dass Angreifer beim Scan Ihres Smartphones zusätzliche Informationen sammeln können: Gerätetyp, Betriebssystem, manchmal sogar Ihren ungefähren Standort. All das passiert im Hintergrund.

Mein Tipp:
Wenn Sie bemerken, auf einen gefälschten QR-Code hereingefallen zu sein, informieren Sie sofort die IT
und mich als Datenschutzbeauftragten. Wir haben gesetzliche Fristen, innerhalb derer wir handeln müssen. Keine Panik – aber keine Zeit verlieren.

Wie erkenne ich einen gefährlichen QR-Code?

Eine 100%ig sichere Erkennungsmethode gibt es nicht – aber klare Warnsignale:

  • Prüfen Sie nach dem Scannen zuerst die angezeigte URL, bevor Sie irgendwas antippen. Die meisten Smartphones zeigen kurz die Zieladresse an. Nehmen Sie sich diese zwei Sekunden. Passt die Adresse zum erwarteten Absender? Oder erscheint da etwas völlig Unbekanntes?
  • Seien Sie besonders misstrauisch, wenn die aufgerufene Seite nach Zugangsdaten oder Passwörtern fragt. Eine legitime interne Seite wird Sie niemals via QR-Code zur Passworteingabe auffordern.
  • Und wenn ein QR-Code auf einem Aufkleber abgebildet ist, der offensichtlich über etwas anderem sitzt – lassen Sie die Finger davon.

Mein Tipp:
Im Zweifelsfall einfach kurz anrufen. Kommt der Code angeblich von der IT? Rufen Sie die IT an. Ein Anruf kostet 30 Sekunden. Ein Datenverlust kann Wochen kosten.

Was tun, wenn ich doch gescannt habe?

Ruhig bleiben. Und dann zügig handeln. Wenn Sie Zugangsdaten eingegeben haben, ändern
Sie Ihr Passwort sofort. Informieren Sie die IT-Abteilung.

Die können prüfen, ob der Account bereits kompromittiert wurde. Und informieren Sie mich, damit wir gemeinsam beurteilen können, ob ein meldepflichtiger Datenschutzvorfall vorliegt.

Vor allem gilt: nichts verheimlichen. Je länger ein Angreifer Zeit hat, desto mehr Schaden richtet er an. Frühes Melden ist kein Fehler. Es ist das Richtige.

Ihre Checkliste gegen Quishing: 6 Maßnahmen, die Sie beachten müssen

  1. Scannen Sie QR-Codes nur, wenn Sie die Quelle eindeutig kennen.
  2. Prüfen Sie nach dem Scannen immer die angezeigte URL, bevor Sie die Seite öffnen.
  3. Geben Sie niemals Zugangsdaten auf einer Seite ein, die Sie über einen QR-Code erreicht haben,
    ohne die URL geprüft zu haben.
  4. Melden Sie unbekannte QR-Codes an Aushängen oder auf Geräten sofort der IT.
  5. Scannen Sie auf Dienstgeräten keine QR-Codes aus privaten oder unbekannten Quellen.
  6. Bei Verdacht oder Vorfall: IT und Datenschutzbeauftragten sofort informieren.

Fazit: 2 Sekunden, die alles verändern

QR-Codes sind praktisch. Das bleibt so. Aber praktisch bedeutet nicht automatisch sicher. Es reicht, kurz innezuhalten. Zwei Sekunden Prüfung statt blindem Scan.

Eine kurze Rückfrage statt sofortiger Aktion. Datensicherheit und Datenschutz hängen hier unmittelbar zusammen – denn Ihre Zugangsdaten sind der Schlüssel zu unseren Kundendaten.

Ihr Datenschutzbeauftragter

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Hessel
145
2
504
Andreas Hessel ist Chief Information Security Officer. Er ist langjähriger Leiter des Be­rei­ches Informationssicherheit und Risi­komanagement einer namenhaften Bank. Daneben arbeitet er als exter­ner Datenschutzbeauftragter und Berater im Bereich Cybersicherheit. Er […]

Inhaltsverzeichnis

Inhaltsverzeichnis

Es scheint legitim, aber darin liegt das Problem Was ist Quishing? Und warum ist es so gefährlich? Wo begegnen Ihnen gefälschte QRCodes im Arbeitsalltag? Das Datenschutzproblem, das viele übersehen Wie erkenne ich einen gefährlichen QR-Code? Was tun, wenn ich doch gescannt habe? Ihre Checkliste gegen Quishing: 6 Maßnahmen, die Sie beachten müssen Fazit: 2 Sekunden, die alles verändern

Mehr interessante Beiträge