arrow_backBlog
·4 Min. Lesezeit·Super QR Code Generator Team

QR-Code-Sicherheit im Team: 6 Trainingsthemen für dein Team

Die meisten QR-Angriffe funktionieren, weil Mitarbeiter nicht wissen, worauf sie achten müssen. Diese Checkliste zeigt dir 6 konkrete Schulungsthemen gegen QR-Bedrohungen.

qr-code-sicherheitmitarbeiterschulungquishingkleine unternehmen
QR-Code-Sicherheit im Team: 6 Trainingsthemen für dein Team
AI-generated

Die meisten erfolgreichen QR-gestützten Angriffe nutzen keine technische Schwachstelle aus — sie nutzen eine Person aus, die nicht weiß, worauf sie achten soll. Phishing via QR-Code (oft „Quishing" genannt) nimmt deutlich zu, weil es E-Mail-Filter umgeht und vertrauenswürdiger wirkt als ein verdächtiger Link. Wenn du ein kleines Unternehmen leitest oder ein Team führst, das mit Druckmaterialien, Point-of-Sale-Systemen oder Lieferantenkommunikation umgeht, ist eine 30-minütige Schulungssitzung eine der günstigsten Sicherheitsinvestitionen, die du machen kannst.

Hier ist ein praktisches, sechsteiliges Framework, das du deinem Team sofort vermitteln kannst.


1. Erkläre, was ein QR-Code eigentlich tut

Bevor du Bedrohungen trainierst, stelle sicher, dass jeder das Funktionsprinzip versteht. Ein QR-Code ist nur eine maschinenlesbare Anweisung — am häufigsten eine URL, manchmal aber auch Zugangsdaten für WLAN, eine Telefonnummer oder eine Zahlungsanforderung. Wenn man einen scannt, übergibt man die Kontrolle an den Ort, auf den der Code verweist — genau das nutzen Angreifer aus.

Verwies dein Team auf eine verständliche Ressource wie unseren kompletten Guide zu QR-Codes, damit alle eine Grundlage haben. Menschen, die das Werkzeug verstehen, lassen sich damit schwerer täuschen.


2. Trainiere die Gewohnheit „Vorschau checken, bevor du fortfährst"

Jedes große Mobil-Betriebssystem (iOS 16+, Android 13+) zeigt eine URL-Vorschau an, bevor ein Browser-Tab geöffnet wird, wenn mit der nativen Kamera-App ein QR-Code gescannt wird. Trainiere dein Team, folgendes zu tun:

  • Bei dem Vorschaubildschirm stoppen — niemals sofort tippen.
  • Die komplette Domain lesen, nicht nur den Anfang der URL. Angreifer nutzen Subdomains wie deine-bank.com.verify-login.net, wo die echte Domain verify-login.net ist.
  • Auf HTTPS achten, aber nicht als Garantie betrachten. Phishing-Seiten haben routinemäßig gültige TLS-Zertifikate.

Diese einzelne Gewohnheit blockiert einen großen Teil opportunistischer Quishing-Versuche. Unser separates Stück über warum URL-Vorschau Scanner schützt enthält mehr Details, die es wert sind, mit deinem Team geteilt zu werden.


3. Rote-Flaggen-Liste für physische QR-Codes

Mitarbeiter im Einzelhandel, in der Gastronomie oder auf Events sehen regelmäßig gedruckte QR-Codes von Dritten — Speisekarten, Rechnungen, Konferenzmaterialien, Lieferscheine. Gib ihnen eine konkrete Rote-Flaggen-Liste:

Signal Warum es wichtig ist
Aufkleber über einem bestehenden Code Klassische Manipulationsmethode
Code auf Papier ohne Branding gedruckt Geringe Hürde für eine Fälschung
URL-Vorschau führt zu einer IP-Adresse (z.B. http://192.168.1.1/…) Seriöse Business-Seiten machen das nicht
Ziel stimmt nicht mit der versprochenen Aktion überein „Scan zur Rechnungseinsicht" → landet auf einer Login-Seite
Code auf unaufgeforderten Mails oder Paketen Hohes Risiko-Lieferkanal

Für einen detaillierteren Blick auf physische Manipulation speziell ist der Guide zur Erkennung von QR-Code-Manipulation eine praktische Beglektüre.


4. Behandle Zahlungs- und Zugangs-QR-Codes separat

Zahlungs-QR-Codes (verwendet in Rechnungen, an Kassen, auf Parkuhren) sind ein Ziel mit hohem Wert. Zugangs-QR-Codes — diejenigen, die automatisch ein WLAN-Passwort ausfüllen oder jemanden in eine App einloggen — sind eine zweite, unterschiedliche Kategorie, die dein Team anders als einen Marketing-Scan behandeln sollte.

Wichtigste Regel: Scanne einen Zahlungs-QR-Code aus einer unverifizierten Quelle niemals, ohne den Zahlungsempfänger über einen separaten Kanal zu bestätigen. Wenn ein Lieferant eine Rechnung mit QR-Code per Mail versendet, ruf die bekannte Nummer des Lieferanten an, bevor du den Code scannst. Das ist keine Paranoia — Rechnungsbetrug via QR ist gut dokumentiert.

Bei WLAN-QR-Codes: Frag denjenigen, der dein Netzwerk verwaltet, bevor du einen „Gast-WLAN"-Code in einem freigegebenen Bereich scannst, den du nicht kontrollierst.


5. Lege einen internen QR-Code-Standard für deine eigenen Materialien fest

Ein verwirrter oder inkonsistenter interner Ansatz macht Mitarbeiter anfälliger. Wenn dein Unternehmen QR-Codes auf Quittungen, Verpackungen oder Marketingmaterialien nutzt, lege einen Standard fest und kommuniziere ihn:

  • Nutze immer deine registrierte Domain als Ziel (z.B. dein-unternehmen.de/…), niemals eine rohe Kurz-URL oder Weiterleitungsservice ohne Branding.
  • Sag deinem Team, wie deine QR-Codes aussehen — Farbe, Logo-Platzierung, die Domain, auf die sie verweisen — damit sie eine Imitation erkennen können.
  • Nutze dynamische Codes wo möglich, damit du Scan-Logs auditieren und eine kompromittierte URL killen kannst ohne nachzudrucken. Die Kompromisse zwischen statischen und dynamischen Formaten solltest du verstehen, bevor du dich entscheidest — dieser Vergleich von statischen vs. dynamischen QR-Codes zeigt dir die Details.

Wenn Mitarbeiter genau wissen, wie deine echten Codes aussehen sollten, sind sie viel besser darin, Fälschungen zu erkennen.


6. Führe eine einfache Tabletop-Übung durch

Wissen verfällt ohne Übung. Einmal pro Quartal druckst du zwei oder drei QR-Codes — einen, der auf deine echte Website führt, einen, der auf ein offensichtliches Platzhalter-Ziel verweist („DIES IST EIN TEST"), und einen, der plausibel aussieht aber irgendwohin Unerwartetes führt. Bitte Mitarbeiter, jeden zu scannen und zu erklären, was sie tun würden, bevor sie fortfahren.

Du kannst diese Übung in unter zehn Minuten mit einem QR-Code-Generator erstellen. Das Ziel ist nicht, Leute zu überraschen — sondern die Gewohnheit des Vorschauens und Pausierens ins Muskelgedächtnis einzuprogrammieren.


Wichtige Erkenntnisse

  • QR-Angriffe funktionieren gegen Menschen, nicht gegen Systeme — Training ist eine direkte Gegenmaßnahme.
  • Der URL-Vorschau-Bildschirm ist deine zuverlässigste erste Verteidigungslinie; lehre alle, ihn zu nutzen.
  • Physische Manipulationen (Aufkleber über echten Codes) sind der häufigste persönliche Angriffsvektor.
  • Zahlungs- und Zugangs-QR-Codes haben höhere Einsätze und verdienen ein separates, strengeres Protokoll.
  • Definiere und kommuniziere, wie deine eigenen echten QR-Codes aussehen, damit Mitarbeiter Betrüger identifizieren können.
  • Eine vierteljährliche praktische Übung verfestigt Gewohnheiten besser als eine einmalige Präsentation.

Häufige Fragen

Wie erkenne ich, ob ein QR-Code, den ich per E-Mail erhalten habe, sicher zum Scannen ist?expand_more
Überprüfe, ob die E-Mail von einem verifizierten Absender kommt, mit dem du bereits zu tun hattest. Falls ja, scanne den Code, aber pausiere beim URL-Vorschau-Bildschirm, bevor du den Link öffnest. Bestätige, dass die Domain die bekannte Website der Organisation ist. Wenn die Vorschau eine unbekannte Domain, eine Kurz-URL oder eine IP-Adresse statt eines Domainnamens zeigt, fahre nicht fort und melde es derjenigen Person, die für deine Sicherheit verantwortlich ist.
Kann ein QR-Code Malware auf meinem Telefon installieren, nur weil ich ihn scanne?expand_more
Das bloße Scannen eines QR-Codes und das Betrachten der URL-Vorschau installiert keine Malware. Das Risiko entsteht, wenn du dem Link zu einer bösartigen Website folgst, die dann einen Browser-Exploit versucht oder dich zur Installation einer App verleitet. Dein Mobil-Betriebssystem und Browser aktuell zu halten, reduziert dieses Risiko deutlich, und beim Vorschau-Bildschirm zu stoppen, bevor du weitertappst, ist die wichtigste praktische Schutzmaßnahme.
Was sollte eine QR-Code-Sicherheitsrichtlinie eines Unternehmens enthalten?expand_more
Eine grundlegende Richtlinie sollte folgende Punkte abdecken: Überprüfe immer die URL-Vorschau, bevor du einen QR-codierten Link öffnest; scanne niemals Zahlungs-QR-Codes aus unverifizierten Quellen ohne sekundäre Bestätigung; melde verdächtige Codes, die auf dem Unternehmensgelände gefunden werden; definiere, wie deine Organisation legitime QR-Codes aussehen (Domain, Branding, erwartetes Ziel). Halte es kurz — eine Seite ist besser als ein Dokument, das niemand liest.
Wie häufig kommen QR-Code-Phishing-Angriffe an physischen Orten vor?expand_more
Physisches Quishing — das Anbringen gefälschter oder manipulierter QR-Codes in öffentlichen Räumen — wurde an Parkuhren, Restauranttischen, Konferenzveranstaltungen und Geldautomaten gemeldet. Während genaue globale Zahlen schwierig zu überprüfen sind, haben mehrere nationale Cybersicherheitsbehörden, einschließlich des US-amerikanischen FBI und des britischen NCSC, öffentliche Warnungen speziell zu physischen QR-Code-Betrügereien herausgegeben, was darauf hindeutet, dass dies häufig genug ist, um routinemäßige Wachsamkeit in stark frequentierten Umgebungen zu rechtfertigen.
Was ist der Unterschied zwischen Quishing und klassischem E-Mail-Phishing?expand_more
Traditionelles E-Mail-Phishing bettet einen anklickbaren Hyperlink ein, den E-Mail-Sicherheitsfilter überprüfen und blockieren können. Quishing ersetzt den Link durch ein Bild eines QR-Codes, das die meisten E-Mail-Sicherheitstools nicht dekodieren oder evaluieren können. Der Angriff verlagert dann das Risiko auf dein Mobilgerät, das typischerweise schwächere Corporate-Security-Kontrollen hat als ein verwalteter Desktop. Diese Umgehung ist der Hauptgrund, warum Quishing als Technik gewachsen ist.