QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Ob beim schnellen Abrufen der Speisekarte, dem Scannen von Produktdetails, Visitenkarten oder digitalen Zahlungen – die kleinen Quadrate sind überall. Für Unternehmen und Verbraucher sind sie ein praktisches Werkzeug, um Informationen blitzschnell zu teilen. Doch diese Bequemlichkeit birgt ein erhebliches Risiko: Die weit verbreitete Nutzung von QR-Codes macht sie zur idealen Angriffsfläche für Cyberkriminelle.
Eine der raffiniertesten Maschen ist „Quishing“, eine Mischung aus „QR-Code“ und „Phishing“. Kriminelle manipulieren QR-Codes, um Nutzer auf täuschend echt wirkende, aber betrügerische Webseiten zu leiten. Was zunächst wie ein sicherer Zugang zu Produktinformationen oder Bankseiten aussieht, kann schwerwiegende Folgen haben: Bereits ein einziger Scan genügt, um Passwörter, Bankdaten oder andere sensible Informationen direkt in die Hände von Betrügern zu übermitteln. Für KMU können solche Angriffe nicht nur finanzielle Verluste bedeuten, sondern auch das Vertrauen von Kunden und Geschäftspartnern untergraben – eine Bedrohung, die im schlimmsten Fall existenzgefährdend sein kann.
Neue Betrugsmasche: Gefälschte Bank-Briefe im Umlauf
Besonders perfide wird es, wenn diese manipulierten QR-Codes in vermeintlich vertrauenswürdigen Briefen von Banken oder Zahlungsdienstleistern auftauchen. In den letzten Monaten haben sich Berichte über täuschend echte Schreiben gehäuft, die angeblich von renommierten Kreditinstituten stammen. Diese Briefe enthalten QR-Codes, mit denen die Empfänger aufgefordert werden, angebliche Konto-Probleme zu lösen oder Sicherheitsverfahren zu aktualisieren. Doch anstelle sicherer Bankseiten führen diese Codes zu betrügerischen Webseiten, auf denen Kriminelle persönliche Daten abgreifen. Laut dem Landeskriminalamt Nordrhein-Westfalen sind solche Fälschungen derzeit in mehreren Bundesländern im Umlauf.
Gefälschter Commerzbank-Brief: Ein aktueller Fall
Ende August 2024 wurde eine Frau aus München Opfer eines solchen Betrugsversuchs. Sie erhielt einen Brief, der angeblich von der Commerzbank stammte – obwohl sie dort gar kein Konto hatte. Der Brief forderte sie auf, das „photoTAN-Verfahren“ für mehr Sicherheit beim Online-Banking zu aktualisieren und enthielt einen QR-Code. Zum Glück blieb die Frau misstrauisch und wandte sich an die Verbraucherzentrale. Dort stellte sich heraus: Der QR-Code führte auf eine betrügerische Webseite. Hätte sie dort ihre Bankdaten eingegeben, wäre ein Geldtransfer ohne ihr Wissen veranlasst worden.
Gefahr im öffentlichen Raum: Quishing lauert auf der Straße
Auch im öffentlichen Raum wächst die Bedrohung. Immer häufiger tauchen gefälschte QR-Codes an Bushaltestellen, auf Plakaten oder Werbetafeln auf. Kriminelle tarnen sich als Dienstleister und locken mit verführerischen Angeboten, etwa kostenlosem WLAN oder Gewinnspielen. Doch wer den Code scannt, tappt in die Falle. Betrügerische Webseiten greifen persönliche Daten ab oder installieren Schadsoftware.
Dreiste Betrugsmasche: Falsche Strafzettel & gefälschte QR-Codes für E-Autos
Besonders dreist agieren Betrüger in Städten wie Berlin. Dort platzieren sie gefälschte Strafzettel mit QR-Codes unter den Scheibenwischern parkender Autos. Nichtsahnende Autofahrer sollen so dazu gebracht werden, eine schnelle und unkomplizierte Zahlung für vermeintliche Parkverstöße zu leisten. Doch diese QR-Codes führen nicht zu offiziellen Zahlungsseiten, sondern direkt zu den Betrügern. Der Rat der Verbraucherzentrale: „Gehen Sie im Zweifel mit dem vermeintlichen Strafzettel zur Polizei, um den Sachverhalt zu klären.“
Auch an E-Ladesäulen setzen Kriminelle manipulierte QR-Codes ein. Normalerweise dienen diese Codes dazu, den Bezahlvorgang für das Laden von Elektroautos zu erleichtern. Doch durch das Überkleben der echten Codes leiten die Betrüger die Fahrer auf gefälschte Zahlungsseiten um. Für KMU, die auf Flottenmanagement und Außendienstmitarbeiter angewiesen sind, kann dies erhebliche Störungen verursachen – sowohl finanziell als auch betrieblich.
Wie können sich KMU effektiv vor „Quishing“ schützen?
Diese Beispiele zeigen eindringlich, wie vielseitig und anpassungsfähig Cyberkriminelle vorgehen. KMU sollten gezielte Schutzmaßnahmen ergreifen, um sich gegen solche Angriffe zu wappnen. Hier sind einige der wichtigsten Maßnahmen:
Mitarbeiter sensibilisieren und schulen: Regelmäßige Schulungen sind der erste Schritt, um Mitarbeiter für die Gefahren von manipulierten QR-Codes zu sensibilisieren. Sie sollten lernen, verdächtige Codes zu erkennen und zu verstehen, welche Sicherheitsmaßnahmen notwendig sind. Phishing-Simulationen helfen dabei, das Erlernte zu festigen.
QR-Code-Kontrollen bei Geschäftspartnern und Lieferanten einführen: KMU arbeiten häufig mit einer Vielzahl von Geschäftspartnern und Lieferanten zusammen. Die Vertrauenswürdigkeit von bereitgestellten QR-Codes sollte sorgfältig geprüft werden. Eine einfache Maßnahme besteht darin, QR-Codes vor dem Scannen zu analysieren oder alternative Verifizierungsmethoden zu nutzen, um sicherzustellen, dass es sich um authentische Codes handelt. Es gibt zahlreiche kostenlose Tools und Apps, wie den Kaspersky QR-Scanner, die Unternehmen dabei unterstützen.
Sichere QR-Code-Lösungen implementieren: KMU, die selbst QR-Codes nutzen, sollten auf Sicherheitslösungen setzen, die ihre Codes verschlüsseln und authentifizieren. Es gibt spezielle QR-Code-Management-Lösungen, wie den QR Code Generator Pro, die solche Sicherheitsfunktionen bieten. Alternativ sollten Unternehmen ihren Kunden die Möglichkeit geben, URLs direkt einzugeben oder den telefonischen Kontakt zu suchen.
Vertrauen Sie auf externe IT-Berater für KMU: Falls KMU keine eigenen IT-Ressourcen haben, kann die Zusammenarbeit mit externen IT-Beratern sinnvoll sein. Diese bieten oft speziell für KMU maßgeschneiderte und bezahlbare Sicherheitslösungen an. Zudem helfen sie, Sicherheitslücken zu identifizieren und zu schließen.
Grundlegende Regeln im Umgang mit QR-Codes:
Die Verbraucherzentrale empfiehlt folgendes Vorgehen:
- Scannen Sie nur vertrauenswürdige QR-Codes. Überprüfen Sie immer die angezeigte URL, bevor Sie eine Webseite öffnen.
- Nutzen Sie verlässliche Apps. Falls Ihre Smartphone-Kamera keine Webadressen vor dem Öffnen anzeigt, verwenden Sie Apps, die diese Funktion bieten.
- Misstrauen Sie unerwarteten Briefen. Recherchieren Sie die Telefonnummern von Absendern selbst, statt die im Brief angegebenen Nummern zu verwenden.
- Achten Sie auf überklebte QR-Codes. Insbesondere an E-Ladesäulen sollten Sie überprüfen, ob der QR-Code überklebt wurde und ihn in solchen Fällen nicht scannen.
- Handeln Sie sofort, wenn Sie Opfer eines Betrugs werden. Informieren Sie umgehend die Polizei und Ihre Bank.
