JunkMail
Zurück zum Blog

Der QR-Code-Betrug: Chloés Geschichte und die E-Mail, die so normal aussah

Phishing versteckt sich nicht mehr nur in Links. Entdecken Sie Chloés Geschichte und wie ein einfacher QR-Code sie fast ihre Daten gekostet hätte.

Von Leadership Team25.1.2026

Montagmorgen, 9:30 Uhr. Chloé sitzt an ihrem Computer, mitten im üblichen Trubel. Das Telefon klingelt, Benachrichtigungen stapeln sich und die To-Do-Liste scheint mit jeder Minute länger zu werden. Beim Sortieren ihrer E-Mails fällt ihr eine auf. Der Absender scheint der "IT-Support" ihres Unternehmens zu sein, und der Betreff ist unmissverständlich: "Handlung erforderlich: Bestätigen Sie Ihre Sitzung, um eine Kontosperrung zu vermeiden."

Die E-Mail ist makellos. Das Logo, die Farben, die Schriftart... alles ist vertraut. Die Nachricht erklärt, dass aufgrund einer neuen Sicherheitsrichtlinie alle Mitarbeiter sich neu authentifizieren müssen. Dafür gibt es keinen klickbaren Link – uns wurde so oft gesagt, wir sollen ihnen misstrauen – sondern einen QR-Code. "Oh, das ist neu", denkt Chloé. "Das ist modern, das muss das neue offizielle Verfahren sein. Ein Bild ist wahrscheinlich sicherer als ein Link."

Unter Zeitdruck zückt sie ihr Handy und scannt den Code. Ihr Browser öffnet eine Anmeldeseite, die eine perfekte Nachbildung ihres Firmenportals ist. Das kleine Vorhängeschloss ist da, die Adresse scheint auf den ersten Blick korrekt zu sein. Ohne weitere Umschweife gibt sie ihren Benutzernamen und ihr Passwort ein und bestätigt. Die Seite wird aktualisiert und leitet sie zum üblichen Intranet weiter. Erledigt.

Zumindest glaubt sie das. Chloé hat gerade, ohne es zu wissen, die Schlüssel zu ihrem digitalen Königreich an Hacker übergeben. Sie wurde Opfer von Quishing.

Der Taschenspielertrick hinter dem QR-Code

Chloés Geschichte könnte jedem passieren. Sie verdeutlicht perfekt, warum dieser neue Betrug so gefährlich ist.

1. Das moderne Trojanische Pferd Der Leibwächter unseres E-Mail-Postfachs ist darauf trainiert, verdächtige Links im Text einer E-Mail aufzuspüren. Aber hier gibt es keinen Link, nur ein Bild. Für die Sicherheitssoftware ist es nur ein schwarz-weißes Quadrat, so harmlos wie ein Katzenfoto. Die Falle konnte so unter dem Radar durchschlüpfen und in einem vermeintlich gut geschützten Posteingang landen.

2. Der Komplize in Ihrer Tasche Der Angriff begann auf Chloés Computer, der durch die Sicherheitsschilde des Unternehmens geschützt ist. Aber der Gnadenstoß wurde von ihrem persönlichen Handy ausgeführt. Durch das Scannen des Codes benutzte sie ihr eigenes Gerät, das in einem anderen Netzwerk operiert, außerhalb der Sicherheitsfestung des Unternehmens. Es ist ein brillanter Taschenspielertrick zwischen zwei Welten, einer sicheren und einer unsicheren.

3. Vertrauen, der Feind der Vorsicht Im Restaurant, beim Bezahlen des Parkscheins, beim Einsteigen in einen Zug... wir wurden darauf konditioniert, QR-Codes als bequeme und harmlose Abkürzungen zu sehen. Hacker wissen das. Sie nutzen dieses fast blinde Vertrauen aus und fügen eine gesunde Dosis Stress hinzu ("Ihr Konto wird gesperrt!"), um uns zum schnellen, zu schnellen Handeln zu bewegen.

Wie man nicht die nächste Chloé wird

Die gute Nachricht: Diesen Trick zu durchschauen ist einfacher, als es scheint. Sie müssen nur eine Superkraft aktivieren, die wir alle haben: Neugier.

  • Das "Warum ich, warum so?"-Spiel. Nehmen Sie sich eine Sekunde Zeit zum Nachdenken. Warum sollte Ihre IT-Abteilung oder Ihre Bank einen QR-Code für eine so sensible Aktion verwenden? Das ist extrem selten. Im Zweifelsfall ignorieren Sie die E-Mail, öffnen Sie einen neuen Tab und melden Sie sich wie gewohnt beim Dienst an.

  • Spielen Sie Detektiv. Bevor Ihr Handy die Seite öffnet, zeigt es oft eine kleine Vorschau der URL an. Nehmen Sie sich die Zeit, sie zu lesen. microsft-support.com ist nicht microsoft.com. secure-login.net ist nicht die Website Ihres Unternehmens. Ein einziger Buchstabe kann den ganzen Betrug aufdecken.

  • Die Geheimwaffe: Der E-Mail-Alias. Was wäre, wenn Chloé Aliase verwendet hätte? Ein Alias ist wie ein Namensschild für jeden Dienst. Für Microsoft würde sie chloe.microsoft@meinalias.com verwenden. Wenn sie die bösartige E-Mail an ihre Adresse chloe.shopping@meinalias.com erhält, ist der Betrug offensichtlich. Warum sollte Microsoft ihr an ihre Shopping-Adresse schreiben? Es ist ein sofortiger Konsistenz-Check, den Hacker nicht überwinden können.

Was tun, wenn Sie den Code gescannt haben? Wenn Sie diesen Artikel lesen und Chloés Geschichte Ihnen bekannt vorkommt, keine Panik.

  1. Ändern Sie sofort Ihr Passwort auf der offiziellen Website des betreffenden Dienstes.
  2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), falls Sie dies noch nicht getan haben.
  3. Melden Sie die E-Mail als "Phishing" oder "Spam" in Ihrem E-Mail-Programm.

Die Lehre aus der Geschichte

Chloés Missgeschick lehrt uns eines: Die besten Betrügereien sind die, die sich in unseren Alltag einfügen. Quishing ist clever, aber sein Erfolg beruht ausschließlich auf unserer Eile. In unserem Streben nach Effizienz ist die Sicherheit das Erste, was wir opfern.

Wenn Sie das nächste Mal einen QR-Code in einer E-Mail sehen, denken Sie an Chloé. Atmen Sie tief durch und gönnen Sie sich diese drei Sekunden des Zweifels, die den Unterschied ausmachen. Das ist Ihre beste Verteidigung.