Quishing: QR-Code-Phishing umgeht klassische Filter

Quishing (QR + Phishing) versteckt den bösartigen Link in einem QR-Code. Klassische URL-Scanner sehen nur ein Bild, der eigentliche Link entsteht erst beim Scan auf dem privaten Smartphone — wo Unternehmens-Filter nicht mehr greifen. Quishing hat sich seit 2023 zur Standard-Variante in M365-Phishing-Kampagnen entwickelt. Diese Seite zeigt die Mechanik, dokumentierte Trends und die mehrstufige Verteidigung.

Domain-Schutz prüfen Plattform entdecken

Bedrohung · MITRE T1566.002 (Variante)

Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026

Definition

Was ist Quishing?

Quishing ist eine Phishing-Variante, die den bösartigen Link in einem QR-Code versteckt. Klassische URL-Scanner und Mail-Gateway-Filter prüfen Text-Links — sie sehen einen QR-Code nur als Bild. Der eigentliche Phishing-Link entsteht erst, wenn der Empfänger den Code auf seinem Smartphone scannt. Damit umgeht Quishing die wichtigsten technischen Schutz-Schichten: URL-Defense (Safe Links), Threat-Intel-Abgleich beim Klick, MDM-basierte Browser-Sperren. Seit 2023 ist Quishing die Standard-Variante in M365-Phishing-Kampagnen.

Quishing fällt im MITRE ATT&CK-Framework unter T1566.002 (Spearphishing Link) als spezielle Liefermethode. Die NIS2-Buchstaben sind lit. b (Vorfall-Bewältigung) und lit. g (Cyberhygiene + Schulung). Wolf-Agents kann den eigentlichen QR-Code im Email-Anhang nicht prüfen — das ist Mail-Gateway-Job. Aber das Vorfeld ist relevant: Eine Domain ohne DMARC-Enforcement ist die einfachste Vorlage für Marken-Imitations-Quishing. Der Email Security Check prüft diese Authentifizierungs-Schicht.

Quishing in einem Satz

Quishing nutzt den Geräte-Wechsel als Filter-Bypass: Die Email kommt auf den Geschäfts-Rechner, der QR-Code wird auf dem privaten Smartphone gescannt — die beiden Welten haben unterschiedliche Schutz-Ebenen. Verteidigung erfordert Gateway-QR-Inspection und Awareness-Training.

Angriffs-Mechanik

Wie funktioniert ein Quishing-Angriff?

Quishing-Kampagnen folgen einem klaren Ablauf: Phishing-Page hosten (oft als Mobile-First-Microsoft-365-Login-Klon), QR-Code generieren, in eine Email einbetten (als Bild im Body oder als PDF-Anhang), Versand mit überzeugendem Vorwand. Der Empfänger sieht eine vermeintliche „MFA-Zurücksetzung“ oder „Voicemail-Abruf“ und scannt den Code mit dem privaten Smartphone — die Phishing-Page öffnet sich im Mobile-Browser ohne Gateway-Filterung.

Mobile-Phishing-Page hosten

Mobile-First-Login-Klon (M365, Banking, Cloud-Dienst). Häufig auf gehackten WordPress-Sites oder günstigen Cloud-Tenants — kurze Lebensdauer, hohe Erfolgsquote.

QR-Code generieren + Email-Design

QR-Code mit Phishing-URL erstellen, in Email-Body als Bild einbinden oder in ein PDF einbetten. Email-Vorwand: „MFA-Reset“, „Voicemail“, „Dokument-Freigabe“.

Versand mit überzeugendem Vorwand

Email kommt im Geschäfts-Posteingang an. URL-Scanner und Safe-Links erkennen nichts — der Link ist Pixel im Bild, nicht klickbarer Text.

Smartphone-Scan + Credential-Eingabe

Empfänger scannt mit privatem Smartphone, Mobile-Browser öffnet die Phishing-Page. Eingegebene Credentials gehen direkt an den Angreifer. MDM-Filter und Endpoint-Detection greifen oft nicht für private Geräte.

Quishing-Email-Pattern (anonymisiert) Quishing-Demo

From: Microsoft 365 <security@m365-update.com>
Subject: Ihre Multi-Faktor-Authentifizierung läuft ab

[Microsoft Logo]

Ihre MFA-Konfiguration läuft am 13.05.2026 ab. Bitte scannen Sie den
folgenden QR-Code mit Ihrem Smartphone, um Ihre MFA innerhalb von 24
Stunden neu einzurichten:

[QR-CODE-BILD — Pixel, kein klickbarer Link]

Bei Nichtbeachtung wird Ihr Zugriff temporär gesperrt.

Microsoft 365 Security Team

Quishing-Mobile-Pfad — Geräte-Wechsel-Bypass mit QR-Code als Brücke

Multimodale Zwei-Welten-Darstellung: Links Unternehmens-Welt (Geschäfts-Rechner / Mail-Gateway / URL-Defense / MDM — gesichert), Rechts Private Welt (privates Smartphone / Mobile-Browser — ungeschützt). QR-Code als Brücke zwischen den Welten. 5-Schritt-Sequenz: Email auf Geschäfts-Rechner → Gateway scheitert (kein Link) → QR-Scan auf privatem Smartphone → Mobile-M365-Login-Klon → Credential-Abgriff. Keepnet 2025: 5-fache Steigerung, 47K → 249K QR-Phishing-Mails Aug-Nov 2025, 12% aller Phishing enthält QR-Codes. Trellix April 2025: 60.000+ Quishing-Samples Q3 2024.

Dokumentierte Trends

Quishing-Anstieg seit 2023

Email-Security-Anbieter dokumentieren seit Mitte 2023 einen sprunghaften Anstieg bei Quishing-Kampagnen. Trellix, Check Point, Cisco und Proofpoint veröffentlichen quartalsweise Reports mit Volumen- und Branchen-Aufschlüsselungen. Der BSI weist QR-Code-Betrug ebenfalls auf den Verbraucher-Informationsseiten aus. Der dominante Trend: M365-Imitation als Quishing-Köder.

2023+

Trellix Email Threats — Quishing als Top-Anomalie

Trellix dokumentiert ab Mitte 2023 einen mehrhundertprozentigen Anstieg bei QR-Code-Phishing-Mails. Die Reports zeigen typische Imitationsziele (Microsoft 365 dominant) und Versand-Kanäle. Quelle: Trellix Email Threat Research.

2023+

Check Point + Cisco — Mobile-First-Phishing

Check Point und Cisco bestätigen den Trend in eigenen Quartals-Reports. Mobile-First-Phishing-Pages werden seltener indexiert als Desktop-Pendants — die Erkennungs-Lücke ist größer und die Erfolgsquote höher.

2024

BSI-Warnungen zu QR-Code-Betrug (Verbraucher)

Der BSI führt QR-Code-Betrug auf den Verbraucher-Informationsseiten als wachsendes Risiko. Während die BSI-Hinweise zunächst auf öffentliche QR-Code-Sticker abzielten (z.B. an Parkautomaten, Bezahl-Terminals), gilt die Mechanik auch für Quishing per Email.

2025

Keepnet + Trellix 2025 — Quishing verfünffacht

Keepnet dokumentiert eine 5-fache Steigerung der Quishing-Angriffe in 2025: QR-Phishing-Mails stiegen von rund 47.000 (August 2025) auf über 249.000 (November 2025). 12 % aller Phishing-Mails enthalten 2025 einen QR-Code, 68 % der Quishing-Angriffe zielen auf Mobile-User. C-Level-Empfänger sind 40-mal häufiger Quishing-Opfer als Standard-Nutzer. Trellix detektierte in Q3 2024 allein über 60.000 Quishing-Samples in 55 Ländern — USA, Deutschland, Kanada, Schweden und Australien als primäre Ziele. Quellen: Keepnet QR Phishing Statistics 2025 + Trellix Scanning Danger Report.

Erkennung

Wie erkenne ich Quishing-Versuche?

Quishing-Erkennung erfordert Misstrauen gegen jeden QR-Code in geschäftlicher Email-Kommunikation. Legitime QR-Codes sind selten — Banken, Microsoft 365 und ähnliche Anbieter setzen QR-Codes typischerweise NICHT in Sicherheits-relevante Workflows wie MFA-Reset oder Login. Wenn ein QR-Code in einer „dringenden Sicherheits-Anweisung“ steht, ist das ein deutliches Warnsignal.

Inhalt-Indikatoren

QR-Code in einer „Sicherheits-Email“
QR-Code mit Bitte „auf dem Smartphone scannen“
Dringlichkeit + QR-Code-Kombination
Bild-only Email ohne klickbaren Link
Unbekannte Versand-Domain (m365-update.com etc.)

Technische Indikatoren

Gateway-OCR mit QR-Detection (Defender / Proofpoint)
Authentication-Results: dmarc=fail oder dmarc=none
Bild-Anhang mit verdächtigem Hash
Reply-To weicht von From ab
Junge Sender-Domain (whois-Check)

Wolf-Agents-USP für Quishing

Der Wolf-Agents Email Security Check prüft die Authentifizierungs-Schicht — Quishing nutzt häufig direkte Domain-Imitation. Eine Domain mit DMARC p=reject macht Marken-Imitations-Quishing technisch unmöglich. Das Monitoring (alle 6 Stunden) alarmiert bei DMARC-Drift oder CT-Log-Funden, die auf eine spätere Quishing-Kampagne hindeuten könnten.

Schutzmaßnahmen

Wie schütze ich mich vor Quishing?

Quishing-Schutz ist mehrschichtig: Mail-Gateway mit QR-OCR-Detection (Microsoft Defender for Office 365, Proofpoint TAP, Check Point Harmony seit 2023 standardmäßig integriert), Mobile-MDM mit URL-Reputation auf privaten Geräten (BYOD), FIDO2-MFA gegen Credential-Diebstahl auch nach erfolgreichem Scan, und intensives Awareness-Training mit konkreten Quishing-Beispielen. Die Email-Authentifizierungs-Trias bleibt als Vorbedingung wichtig.

Mail-Gateway mit QR-OCR

Microsoft Defender for Office 365, Proofpoint TAP und Check Point Harmony Email haben seit 2023 QR-Code-OCR integriert. Bilder werden dekodiert, Ziel-URLs gegen Threat-Intel geprüft.

DMARC-Enforcement (p=reject)

Marken-Imitations-Quishing braucht eine durchgesetzte Reject-Policy — DMARC mit p=none erkennt das Spoofing zwar, blockiert die Zustellung der gefälschten Marken-Mail aber nicht. Erst die DMARC-Enforcement-Roadmap (p=quarantine → p=reject) stoppt den Köder vor dem QR-Scan. Grundlagen siehe DMARC-Kapitel.

FIDO2-MFA

Auch wenn der Quishing-Scan erfolgreich war: Hardware-MFA macht die gestohlenen Credentials wertlos. NIS2 Art. 21 Abs. 2 lit. j.

Mobile-MDM + URL-Reputation

Geschäfts-Smartphones in MDM-Verwaltung. Mobile-Security-Apps mit URL-Reputation (Lookout, Zimperium, Pradeo) erkennen mobile Phishing-Pages.

Awareness-Training mit Quishing-Fokus

Konkrete Quishing-Beispiele in Phishing-Simulationen einbauen. Klare Regel: „QR-Codes in Sicherheits-Emails sind verdächtig — niemals scannen.“

Verifizierter Out-of-Band-Kanal

MFA-Resets und Konto-Aktionen werden ausschließlich über bekannte Wege durchgeführt — Admin-Console, IT-Helpdesk-Anruf, NIEMALS per Email-QR-Code.

Incident-Response

Was tun bei einem Quishing-Vorfall?

Bei erfolgreicher Credential-Eingabe nach Quishing-Scan: sofort Konto-Reset (Passwort, Sessions, OAuth-Tokens). Da der Scan typischerweise auf dem privaten Smartphone passiert, ist auch eine Endpoint-Untersuchung des privaten Geräts sinnvoll — Mobile-Malware kann nachgeliefert worden sein. Bei NIS2-Anwendbarkeit greift die 24-Stunden-Frühwarnpflicht.

Konto-Reset — Passwort, Sessions, MFA-Geräte, OAuth-App-Berechtigungen.
Smartphone-Check — eventuell installierte Apps prüfen, Mobile-Security-Scan, ggf. Werks-Reset.
Aggregat-Phishing-Wave? — wurden weitere Konten gleichzeitig kompromittiert?
Mailbox-Forensik — was wurde gelesen oder weitergeleitet? Neue Mailbox-Regeln?
NIS2 Art. 23 prüfen — bei erheblichem Vorfall: 24h-Frühwarnung, 72h-Meldung, 1-Monats-Bericht.
Mail-Gateway-Regel — bei Wiederholung: spezifische Block-Regel für ähnliche Quishing-Email-Muster.

Compliance

Quishing-Schutz nach NIS2 lit. b + g

Quishing fällt unter NIS2 Art. 21 Abs. 2 lit. b (Vorfall-Bewältigung) und lit. g (Cyberhygiene + Schulung). Lit. b verlangt Incident-Response-Plan, lit. g verlangt regelmäßige Awareness-Schulungen — und genau hier ist Quishing-Spezifik wichtig. Klassische Phishing-Schulungen, die nur auf Text-Links abzielen, decken Quishing nicht ab. Bei DSGVO-relevanten Vorfällen (Credential-Diebstahl von Konten mit personenbezogenen Daten) greift Art. 33/34.

NIS2 Art. 21 Abs. 2 lit. b

Bewältigung von Sicherheitsvorfällen. Incident-Response-Plan mit Quishing-spezifischen Schritten (Smartphone-Check, Mobile-Forensik).

NIS2 Art. 21 Abs. 2 lit. g

Cyberhygiene + Schulung. Quishing-spezifische Beispiele in Awareness-Trainings. Phishing-Simulationen mit QR-Code-Köder.

DSGVO Art. 33/34

72h-Meldepflicht bei Datenpannen aus Quishing-Erfolg. Benachrichtigung der Betroffenen bei hohem Risiko.

Der Wolf-Agents Email Security Check sichert die Authentifizierungs-Vorbedingung. Für Quishing-Erkennung im Email-Stream verweisen wir auf Microsoft Defender for Office 365 Anti-Phishing Policies (QR-OCR seit 2023 integriert), Proofpoint TAP und Check Point Harmony Email. BIMI mit DMARC p=quarantine oder p=reject ergänzt den technischen Schutz mit sichtbarer Marken-Authentizität — der Empfänger sieht Ihr verifiziertes Markenlogo direkt in der Inbox.

Wie steht Ihre Domain bei Quishing?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten

Häufig gestellte Fragen

Was ist Quishing?

Quishing (von QR + Phishing) ist eine Phishing-Variante, bei der der bösartige Link als QR-Code in der Email versteckt wird. Der Empfänger sieht keinen klickbaren Link — er sieht ein Bild oder PDF mit QR-Code. Klassische URL-Scanner und Gateway-Filter prüfen Text-Links, nicht aber Inhalte, die erst beim Scan auf einem zweiten Gerät (typischerweise dem privaten Smartphone) entstehen. Quishing umgeht damit die wichtigsten technischen Schutz-Schichten.

Warum funktioniert Quishing so gut?

Drei Gründe: (1) Der QR-Code wird auf einem privaten Smartphone gescannt — die Unternehmens-MDM-Filter und Mail-Gateway-URL-Defense greifen dort nicht. (2) QR-Codes sind in Geschäfts-Kommunikation legitim (Visitenkarten, Bezahl-Aufforderungen, Zwei-Faktor-Setup) — das Misstrauen ist niedriger. (3) Mobile Phishing-Pages werden seltener von Anti-Phishing-Tools indexiert als Desktop-Targets — die Erkennungs-Lücke ist größer.

Welche Quishing-Varianten gibt es?

QR im Email-Body als Bild (häufigste Variante), QR-Code in einem PDF-Anhang („Bitte scannen Sie den QR-Code für Ihre Zahlung“), QR-Code im Briefformular (typisch für Fake-Strafzettel), QR-Code in einer Kalender-Einladung (siehe auch <a href="/ratgeber/email-security/bedrohungen/kalender-angriffe">Kalender-Angriffe</a>). Quishing wird seit 2023 stark in Pseudo-Microsoft-365-Kampagnen eingesetzt — angebliche „MFA-Zurücksetzung“ oder „Voicemail-Abruf“ mit QR-Code-Link.

Hilft DMARC mit p=reject gegen Quishing?

DMARC-Enforcement (p=reject) ist Pflicht-Vorbedingung. Wenn ein Angreifer Marken-Imitations-Quishing aus Ihrer Domain versendet — typisch bei M365-MFA-Reset- oder Voicemail-Ködern — blockiert p=reject die Zustellung an den Empfänger; der QR-Scan kommt nie zustande. p=none erkennt das Spoofing zwar in DMARC-Reports, blockiert aber nicht. Gegen Look-Alike-Domain-Quishing (mircosoft.com mit gefälschtem Microsoft-Logo) und Display-Name-Spoofing greift DMARC nicht — dafür braucht es ergänzend Gateway-QR-OCR-Inspection (Microsoft Defender for Office 365, Proofpoint TAP, Check Point Harmony), Mobile-Anti-Phishing und Awareness-Training mit konkreten Quishing-Beispielen.

Wie kann ich Quishing technisch filtern?

Moderne Mail-Security-Gateways wie Microsoft Defender for Office 365, Proofpoint TAP, Cisco Secure Email und Check Point Harmony Email haben seit 2023 OCR/QR-Detection eingebaut. Sie dekodieren QR-Codes in Bildern und Anhängen, prüfen die Ziel-URL und blocken bei bekannten Phishing-Pages. Self-Hosted-Mailserver brauchen ergänzende Tools (z.B. Open-Source-Bild-OCR + URL-Reputation-Check).

Wie meldet man einen Quishing-Vorfall nach NIS2?

Analog zu klassischem Phishing: NIS2 Art. 23 verlangt bei erheblichem Vorfall die 24-Stunden-Frühwarnung. „Erheblich“ hängt von Anzahl Betroffener, Schadenshöhe und Branche ab. Eine erfolgreiche Quishing-Kampagne mit Credential-Diebstahl auf Geschäfts-Smartphones erfüllt die Schwelle typischerweise. Die NIS2-Buchstaben sind lit. b (Vorfall-Bewältigung) und lit. g (Cyberhygiene + Schulung).

Was leistet Wolf-Agents gegen Quishing?

Quishing ist primär ein Gateway- und Endpoint-Thema. Der Wolf-Agents Email Security Check bewertet die SPF/DKIM/DMARC-Authentifizierungs-Schicht, die als Vorbedingung weiter wichtig bleibt — eine Domain mit p=reject reduziert Marken-Imitations-Quishing. Das Monitoring (alle 6 Stunden) erkennt Konfigurations-Drift, der Quishing-Vektoren öffnen würde. Für Gateway-Hardening verweisen wir auf Microsoft Defender for Office 365 und Proofpoint TAP.