Cyberbedrohung in Deutschland: So schützt du dich vor Quishing und Co.

von | 11.11.2025 | Internet

BSI warnt vor aktuellen Cyberbedrohungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Die Lage der IT-Sicherheit in Deutschland ist und bleibt besorgniserregend. Doch was heißt das konkret für uns? Welche Gefahren lauern im Alltag – und vor allem: Wie können wir uns davor schützen? Ein Überblick über die aktuellen Bedrohungen und die wirksamsten Schutzmaßnahmen.

Die Zahlen sprechen eine klare Sprache

Täglich entdeckt das BSI rund 309.000 neue Schadsoftware-Varianten – ein Anstieg von 26 Prozent gegenüber dem Vorjahr. Von den knapp 10.500 Anfragen beim BSI-Service-Center betraf fast die Hälfte konkrete Cybersicherheitsvorfälle. Die Top 3: Phishing (per E-Mail, aber zunehmend auch über Messenger wie WhatsApp), Account-Missbrauch und Identitätsdiebstahl.

Wir sind gleich doppelt im Visier: Direkt durch Betrugsmaschen, die gezielt auf Verbraucher abzielen. Und indirekt, wenn Cyberangriffe auf kritische Infrastruktur unser Leben beeinträchtigen – von lahmgelegten Behörden bis zu ausgefallenen Krankenhaussystemen.

Phishing und Quishing sind aktuelle besonders akute Bedrohungen
Phishing und Quishing sind aktuelle besonders akute Bedrohungen

Quishing: Die perfide QR-Code-Falle

Eine besonders tückische Betrugsmasche breitet sich derzeit rasant aus: „Quishing“ – eine Wortkombination aus QR-Code und Phishing. Das Perfide daran: Man sieht einem QR-Code nicht an, wohin er führt. Und genau das nutzen Cyberkriminelle aus.

Variante 1: Der Bankbrief Täuschend echt aussehende Briefe landen im Briefkasten, angeblich von der Bank. „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“ – bewusst ohne persönliche Anrede, das ist bereits das erste Warnsignal. Die Aufforderung: Einen QR-Code scannen, um das „photoTAN-Verfahren zu aktualisieren“. Wer das tut, landet auf einer gefälschten Banking-Seite. Alle dort eingegebenen Daten – Zugangsdaten, TANs, Kreditkartennummern – landen direkt bei den Betrügern.

Variante 2: Manipulierte Codes im öffentlichen Raum Noch dreister: Die Täter bringen ihre QR-Codes direkt im öffentlichen Raum an. Das Landeskriminalamt Niedersachsen warnt vor manipulierten Codes an Parkscheinautomaten in mehreren Großstädten. Die Masche funktioniert auch an E-Ladesäulen – oft werden die echten QR-Codes einfach überklebt.

Besonders perfide: Gefälschte Strafzettel unter der Scheibenwischer mit QR-Codes zur vermeintlich schnellen Bezahlung. Oder gefälschte Plakate in Bussen und Bahnen, die angeblich Deutschlandtickets verlosen. Wer in der Eile des Alltags nicht genau prüft, gibt seine Kreditkartendaten an Kriminelle weiter.

QR-Codes ersetzen heute Plastikkarten und Voucher - doch wie sicher sind sie?
QR-Codes ersetzen heute Plastikkarten und Voucher – doch wie sicher sind sie?

So schützt du dich vor Quishing

1. Grundregel: Misstrauen ist gesund Scanne QR-Codes nur, wenn du dir ihrer Seriosität absolut sicher bist. Im Zweifel lieber den längeren Weg gehen: Website selbst eintippen oder App nutzen.

2. Überklebte Codes niemals scannen Siehst du an Parkautomaten oder Ladesäulen aufgeklebte QR-Codes? Finger weg! Nutze stattdessen:

  • QR-Codes auf dem Display der Ladesäule (falls vorhanden)
  • Die offizielle App des Anbieters
  • Deine Ladekarte

3. Briefe genau prüfen Echte Banken schreiben dich persönlich mit deinem Namen an. Weitere Warnsignale:

  • Allgemeine Anrede („Sehr geehrte Kontoinhaberin“)
  • Dringlichkeit („Sofort handeln erforderlich“)
  • QR-Code zur „Aktualisierung“ von Sicherheitsverfahren

Im Zweifel: Ruf bei deiner Bank an – aber nutze die Nummer auf deiner Bankkarte, nicht eine im Brief angegebene!

4. Nach dem Scannen: URL checken Moderne Smartphones zeigen oft eine Vorschau der URL, bevor die Seite geöffnet wird. Prüfe genau:

  • Stimmt die Adresse? (sparkasse.de vs. sparkasse-sicherheit.com)
  • Ist es eine https-Verbindung mit Schloss-Symbol?
  • Gibt es Tippfehler in der Domain?

5. Zwei-Faktor-Authentifizierung aktivieren Selbst wenn Betrüger dein Passwort erbeuten – ohne den zweiten Faktor (SMS-Code, Authenticator-App, biometrische Daten) kommen sie nicht ins Konto. Diese Funktion solltest du bei folgenden Diensten unbedingt aktivieren:

  • Online-Banking
  • E-Mail-Accounts
  • Social-Media-Profile
  • Cloud-Speicher
  • Online-Shops mit gespeicherten Zahlungsdaten

Die Einrichtung dauert meist nur 2-3 Minuten und erhöht die Sicherheit enorm.

6. Passwort-Manager nutzen Für jeden wichtigen Dienst ein eigenes, starkes Passwort – das kann sich kein Mensch merken. Die Lösung: Ein Passwort-Manager (z.B. Bitwarden, 1Password, KeePass). Diese Tools:

  • Generieren sichere Passwörter
  • Speichern sie verschlüsselt
  • Füllen sie automatisch aus
  • Warnen vor Phishing-Seiten

Du musst dir nur noch ein Master-Passwort merken.

Wenn die Infrastruktur lahm liegt

Cyberangriffe treffen nicht nur Einzelpersonen. Ein Beispiel aus NRW zeigt die Dimension: Ende Oktober 2023 wird die Südwestfalen-IT, ein kommunaler IT-Dienstleister, Opfer eines Ransomware-Angriffs. Die Folge: Über 70 Kommunen mit rund 1,7 Millionen Einwohnern sind wochenlang quasi handlungsunfähig.

Keine Personalausweise, keine Autoanmeldungen, keine Geburtsurkunden. Sozialämter können Anträge nicht bearbeiten, Auszahlungen bleiben aus. Der Grund für den Erfolg der Angreifer? Erschreckend simpel: Der Hauptzugang war nur mit einem einfachen Passwort gesichert. Eine Multifaktor-Authentifizierung – heute eigentlich Standard – fehlte komplett.

Die Basics nicht vergessen

Neben den spezifischen Quishing-Schutzmaßnahmen gelten die Grundregeln:

Updates sofort installieren Sicherheitslücken werden täglich entdeckt. Updates schließen sie. Aktiviere automatische Updates für:

  • Betriebssystem (Windows, macOS, iOS, Android)
  • Browser
  • Apps
  • Router-Firmware

Antivirensoftware nutzen Windows Defender ist mittlerweile gut, reicht für die meisten aus. Bei höherem Schutzbedarf: Zusätzliche Security-Suite installieren.

Vorsicht bei Links und Anhängen Auch ohne QR-Codes: Klicke keine Links in unerwarteten E-Mails oder Messenger-Nachrichten. Lade keine Anhänge von unbekannten Absendern herunter.

Regelmäßige Backups Falls doch mal Ransomware zuschlägt: Mit aktuellen Backups (am besten 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 externe Kopie) bist du auf der sicheren Seite.

Grafik zum Thema Resilienz und Risiken

Das große Problem: Fehlende Ressourcen

BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: „Cybersicherheit hat immer noch nicht den Stellenwert, den es haben muss, angesichts der Größe des Problems.“

Im vergangenen Jahr waren 22 verschiedene professionelle Hackergruppen in Deutschland aktiv – so viele wie nie zuvor. DDoS-Angriffe mit über 10.000 Mbits/s haben sich verdoppelt. Der Schaden für die deutsche Wirtschaft: 202 Milliarden Euro jährlich.

Viele Kommunen und kleine Unternehmen sind überfordert – sie haben weder Budget noch Personal für professionelle IT-Sicherheit. Genau das macht sie zur Zielscheibe.

Fazit: Wachsamkeit zahlt sich aus

Die gute Nachricht: Mit gesundem Menschenverstand und den richtigen Schutzmaßnahmen kannst du dich effektiv vor den meisten Angriffen schützen. Die wichtigsten Punkte in Kürze:

  • QR-Codes nur scannen, wenn du dir sicher bist
  • Überklebte Codes niemals nutzen
  • Verdächtige Briefe kritisch prüfen
  • URLs nach dem Scannen kontrollieren
  • Zwei-Faktor-Authentifizierung überall aktivieren
  • Passwort-Manager nutzen
  • Updates sofort installieren
  • Regelmäßig Backups erstellen

Cyberangriffe sind kein abstraktes Problem mehr – sie betreffen uns alle, jeden Tag. Doch mit der richtigen Vorbereitung bist du gewappnet. Der BSI-Lagebericht ist ein Weckruf. Nutzen wir ihn.

Schieb Pro, Schieb Plus, Schieb Flat