QR-Code-Phishing (Quishing): Wie Agenturen veröffentlichte QR-Codes schützen

Ihre Agentur druckt QR-Codes als Geschäftsmodell. Sie landen auf Plakaten, Verpackungen, Flyern, Parkscheinautomaten, Restauranttischen und Schaufenstern, oft zu Tausenden und oft mit der Marke eines Kunden versehen. Nahezu jeder Ratschlag zur QR-Sicherheit, den Sie finden, richtet sich an die Person mit dem Smartphone in der Hand: Scannen Sie keine Codes, denen Sie nicht vertrauen, prüfen Sie den Link, bevor Sie tippen. Dieser Ratschlag ist in Ordnung, aber er ist nicht für Sie geschrieben.

Sie sind der Herausgeber. Ihnen gehören die Kampagne, das Artwork und die Verantwortung, wenn etwas schiefgeht. Wenn ein Betrüger das Plakat Ihres Kunden mit seinem eigenen Code überklebt, sind es die Kunden Ihres Kunden, die ins Phishing geraten, und die Marke Ihres Kunden, die am Tatort steht. Dieser Leitfaden ist für diese Seite des Tisches geschrieben: was Quishing tatsächlich ist, die drei Wege, auf denen eine veröffentlichte Kampagne gekapert wird, ein in der Praxis umsetzbares Abwehrkonzept und der Teil, den fast alle weglassen, nämlich ein kurzer Notfallplan für den Tag, an dem ein Code manipuliert wird.

Was Quishing ist und warum es funktioniert

Quishing ist Phishing, bei dem der schädliche Link nicht in einer anklickbaren URL, sondern in einem QR-Code versteckt ist. Das britische National Cyber Security Centre (NCSC) und das Internet Crime Complaint Center des FBI beschreiben es beide auf dieselbe Weise: Das Opfer wechselt von einem vergleichsweise gut geschützten Ort, einem geschäftlichen Postfach auf einem verwalteten Laptop, an einen weitaus schlechter geschützten, ein privates Smartphone, und das Ziel bleibt unsichtbar, bis es zu spät ist.

Diese Unsichtbarkeit ist der ganze Trick. Sie können eine URL aus einem QR-Code nicht mit bloßem Auge lesen, und damit greift die älteste Sicherheitsregel überhaupt, mit der Maus über den Link fahren und ihn prüfen, schlicht nicht. Ein paar weitere Eigenschaften machen Codes für Angreifer ungewöhnlich attraktiv. Gescannt wird fast immer auf einem privaten Smartphone, das laut NCSC häufig die Sicherheitskontrollen vermissen lässt, die ein Unternehmen auf seinen eigenen Geräten einrichtet. Ein als Bild dargestellter Code rutscht an den E-Mail-Filtern vorbei, die nach verdächtigen Textlinks suchen, weil es keinen Textlink zum Prüfen gibt. Und ein Code, der auf einem offiziell wirkenden Plakat, Automaten oder Brief gedruckt ist, erbt stillschweigend das Vertrauen, das dieser Oberfläche entgegengebracht wird, und das ist ein Erfolg im Social Engineering, noch bevor das Opfer überhaupt etwas gescannt hat.

Es hilft, bei der Größenordnung ehrlich zu bleiben. In absoluten Zahlen ist dies nach wie vor ein kleiner Ausschnitt des Betrugs: Die nationale britische Meldestelle Action Fraud verzeichnete im Jahr bis April 2025 knapp 800 Meldungen zu QR-Code-Betrug mit Schäden von rund 3,5 Mio. £. Der Grund, warum es über diese Zahlen hinaus von Bedeutung ist, liegt in Richtung und Ziel. Die europäische Cybersicherheitsagentur ENISA nannte Quishing in ihrem Bedrohungslagebericht 2025 eine aufkommende Technik, die gemeldeten Volumina steigen rasch, und die angegriffenen Oberflächen sind genau jene, mit denen Agenturen täglich arbeiten. Wir haben dies angerissen, als wir dynamische und statische QR-Codes verglichen haben; hier folgt das vollständige Bild der Abwehr.

Die drei Wege, auf denen eine veröffentlichte Kampagne gekapert wird

Nicht jeder Quishing-Angriff ist Ihr Problem. Diese drei sind es, in absteigender Reihenfolge danach, wie unmittelbar sie die Codes betreffen, die Sie in die Welt setzen.

1. Der Sticker-Overlay

Dieser dreht sich wirklich um Sie. Ein Angreifer druckt einen Aufkleber mit seinem eigenen QR-Code, der genau wie Ihrer aussieht, und klebt ihn direkt über den echten Code auf einem Plakat, einem Parkscheinautomaten, einer Speisekarte oder einem Schaufenster. Er lässt sich einwandfrei scannen, weil er ein vollkommen gültiger Code ist, er verweist nur auf einen überzeugenden Klon der echten Zahlungs- oder Anmeldeseite. Das Opfer bekommt Ihr Ziel nie zu Gesicht.

Das ist nicht bloß theoretisch. Die US-amerikanische Federal Trade Commission (FTC) warnte im Dezember 2023 davor, dass Betrüger die Codes von Parkscheinautomaten mit eigenen Codes überkleben. Amerikanische Städte haben seither förmliche Warnungen herausgegeben: Orlando barg etwa 200 gefälschte Aufkleber in der Innenstadt, Redondo Beach in Kalifornien fand rund 150 betroffene Automaten, und das New Yorker Verkehrsdezernat sprach eine stadtweite Warnung aus. In Großbritannien ergab eine Anfrage nach dem Informationsfreiheitsgesetz im Jahr 2025: Von 373 Stadtverwaltungen, die antworteten, gab etwa eine von dreien an, dass ihre Parkplätze im Vorjahr von gefälschten QR-Codes betroffen waren. Das Muster ist immer dasselbe: eine stark frequentierte öffentliche Oberfläche, ein glaubwürdiger Klon und eine Marke, die nicht dem Angreifer gehört und den Reputationsschaden trägt.

2. Markenimitation abseits Ihres Plakats

Beim zweiten Muster fasst der Angreifer Ihr Artwork nie an. Er registriert eine täuschend ähnliche Domain, klont die Landingpage Ihres Kunden und lenkt den Traffic über eigene Plakate, SMS oder E-Mails dorthin. Ihre echte Kampagne bleibt unberührt, doch die Marke Ihres Kunden wird von einer Fälschung getragen.

Generische Link-Verkürzer machen das einfacher, als es sein sollte. Wenn Ihr Plakat die Leute auf einen nackten, markenlosen Kurzlink schickt, hat Ihr Publikum keine Möglichkeit, Ihren Link von dem eines Betrügers zu unterscheiden, weil beide wie anonyme Zeichenfolgen aussehen. Das Ziel lässt sich mit bloßem Auge nicht verifizieren, und das ist genau das Gegenteil von dem, was Sie auf einer öffentlichen Oberfläche wollen.

3. Der Code im Postfach

Das dritte Muster betrifft weniger Ihre gedruckte Kampagne als vielmehr die Art, wie Ihr eigenes Team und Ihre Kunden kommunizieren, aber es prägt eine feste Regel und gehört deshalb hierher. Weil ein QR-Code ein Bild ist, segelt er an den E-Mail-Gateways vorbei, die Text-URLs entfernen und einer Reputationsprüfung unterziehen: Es gibt keinen Link im Text zum Prüfen. Sicherheitsforscher dokumentieren immer wieder, wie weit Angreifer das treiben. Das SANS Internet Storm Center verzeichnete Ende Dezember 2025 eine Kampagne, die den QR-Code aus einem 35-mal-35-Raster aus HTML-Tabellenzellen aufbaute, sodass es nicht einmal eine Bilddatei zum Untersuchen gab. Acronis hat Codes dokumentiert, die in einem PDF auf zwei Bilder aufgeteilt sind und sich erst zusammenfügen, wenn ein Mensch sie betrachtet.

Die Lehre für einen Herausgeber ist Disziplin, keine Panik: Setzen Sie keine nackten QR-Codes in ausgehende Kunden-E-Mails, die jemanden zum Anmelden oder Bezahlen auffordern. Wenn Sie Ihr Publikum darauf trainieren, einen Code in einer E-Mail zu scannen und Zugangsdaten einzugeben, bringen Sie ihm genau das bei, was der Angreifer braucht, und Sie haben dem Angreifer die Arbeit für jede Marke erleichtert, nicht nur für die Ihres Kunden.

Das Abwehrkonzept für den Herausgeber

Keine einzelne Maßnahme löst das Problem. Die Aufgabe besteht darin, einige davon so zu schichten, dass ein Angreifer mehrere zugleich überwinden muss und dass Sie es, wenn eine versagt, erkennen und reagieren können. Die Karte unten liest sich vom Aufkleber des Angreifers nach außen, hin zu den fünf Stellen, an denen Sie eingreifen können.

1. Eine eigene, markeneigene Domain, im Klartext neben dem Code abgedruckt. Ein ausgetauschter Aufkleber verweist auf eine fremde Adresse, und so lässt eine eigene Domain die Fälschung auffallen und gibt einem aufmerksamen Scanner etwas zum Überprüfen.
2. Manipulationssicherer Druck. Laminierung oder eine Glasabdeckung sorgt dafür, dass kein Aufkleber über den echten Code geklebt werden kann, ohne eine sichtbare Spur zu hinterlassen.
3. Die URL-Vorschau des Smartphones. Moderne Scanner zeigen das Ziel an, bevor sie es öffnen, und genau deshalb lohnt sich die Mühe einer wiedererkennbaren gedruckten Domain.
4. Scan-Analysen, als Alarm gelesen. Eine plötzliche Nulllinie an einem Standort oder Scans aus einem Land, das Sie nie anvisiert haben, weisen auf einen überklebten Code oder einen durchgesickerten Link hin.
5. Ein dynamischer Code, den Sie umleiten können. Sobald Sie eine Manipulation bestätigen, schicken Sie jeden Scan von diesem Asset in Sekunden auf eine sichere Seite, ohne irgendetwas neu zu drucken.

Verwenden Sie einen dynamischen Code auf einer eigenen Domain

Ein dynamischer QR-Code kodiert nicht das endgültige Ziel. Er kodiert einen kurzen Weiterleitungslink, den Sie kontrollieren, und dieser Link leitet dorthin weiter, wohin Sie ihn lenken. Diese eine Eigenschaft verschafft Ihnen drei Dinge, die für die Sicherheit zählen: Sie können das aktuelle Ziel jederzeit einsehen, Sie können es ohne Neudruck ändern, und falls ein Link als missbräuchlich gemeldet oder Ihr Konto kompromittiert wird, können Sie ihn über jedes gedruckte Asset hinweg in unter einer Minute umleiten oder deaktivieren. Ein statischer Code, der die URL fest einbettet, bietet Ihnen nichts davon: Die einzige Abhilfe ist ein Neudruck.

Legen Sie diese Weiterleitung auf eine eigene, markeneigene Domain, etwa qr.ihrkunde.de statt eines generischen Verkürzers. Nun ist die URL, die eine aufmerksame Person vor dem Tippen in der Vorschau sieht, erkennbar die des Kunden, und das erfüllt zwei Aufgaben auf einmal. Es steigert das Vertrauen beim ehrlichen Scan, und es lässt die fremde Domain eines ausgetauschten Aufklebers auffallen, weil die Fälschung nicht auf Ihrer Domain liegt.

Seien Sie ehrlich, was die Grenze angeht, denn dies zu überverkaufen ist der Weg, auf dem Menschen zu Schaden kommen. Ein Aufkleber, der physisch über Ihr Plakat geklebt wird, hebelt einen dynamischen Code vollständig aus: Der Aufkleber des Angreifers enthält die URL des Angreifers, sodass Ihre Fähigkeit, den Code umzuleiten, für genau diesen Scan irrelevant ist. Dynamische Codes verteidigen das digitale Ziel, nicht das Papier, auf das es gedruckt ist. Sie fügen außerdem eine Abhängigkeit hinzu: Jeder Scan läuft nun über Ihren Anbieter, und damit werden dessen Verfügbarkeit und Kontosicherheit zu Ihren. Wählen Sie einen, der HTTPS erzwingt und Konten ordentlich schützt, und behandeln Sie die Grenze als Grund, die physischen und detektierenden Schichten unten hinzuzufügen, nicht als Ausschlusskriterium.

Machen Sie den echten Code schwer zu überkleben und leicht zu überprüfen

Einige der stärksten Abwehrmaßnahmen sind physischer Natur. Schreiben Sie für hochwertige öffentliche Platzierungen eine manipulationssichere Laminierung vor oder bringen Sie den Code hinter Glas oder Acryl an, sodass er sich nicht sauber überkleben lässt, ohne eine Spur zu hinterlassen. Denken Sie an die Platzierung: Ein Code in bequemer Armreichweite an einem Parkscheinautomaten auf der Straße ist ein leichteres Ziel als einer hinter einer Theke. Drucken Sie die Ziel-Domain im Klartext neben den Code, damit Ihr eigenes Außendienstpersonal und die aufmerksameren Mitglieder der Öffentlichkeit prüfen können, ob die in der Vorschau angezeigte URL mit der gedruckten übereinstimmt.

Auch das Design hilft. Ein unverwechselbarer, markeneigener Code, mit der Farbe und dem Logo Ihres Kunden darin und innerhalb der Größen- und Kontrastvorgaben, die ihn scanbar halten, lässt einen schlichten schwarz-weißen Aufkleber, der darüber geklebt wird, offensichtlich falsch aussehen. Das funktioniert dank Fehlerkorrektur: Die höchste Stufe, H, kann einen Code rekonstruieren, bei dem bis zu rund 30 Prozent seiner Module verdeckt sind, und das ist es, was Platz für ein Logo in der Mitte lässt. Halten Sie das Logo dezent, etwa ein Viertel der Codefläche oder weniger, damit Sie innerhalb dieses Budgets bleiben.

Beschränken Sie, wer ein Ziel ändern darf

Die Macht, einen dynamischen Code umzuleiten, ist zugleich ein Risiko. Jeder, der das Ziel ändern kann, kann die Kampagne von innen kapern, sei es ein unachtsames Teammitglied, ein ausgeschiedener Auftragnehmer, dessen Zugang nie entzogen wurde, oder ein Angreifer, der eines Ihrer Logins abgefischt hat. Behandeln Sie das Konto der QR-Plattform als das sensible Gut, das es ist: Aktivieren Sie die Multi-Faktor-Authentifizierung und geben Sie den Leuten nur so viel Zugriff, wie sie für ihre Arbeit brauchen.

Das ist ein weiterer Grund, jeden Kunden in seinem eigenen Workspace mit rollenbasiertem Zugriff und einem Prüfprotokoll zu führen. Wenn nur zwei namentlich benannte Personen die Ziele eines bestimmten Kunden ändern können und jede Änderung mit Urheber und Zeitpunkt protokolliert wird, werden sowohl versehentliche als auch böswillige Änderungen deutlich schwieriger und im Nachhinein deutlich leichter zu entwirren.

Machen Sie aus Ihren Scan-Analysen einen Manipulationsalarm

Dieselben Zahlen, die Sie ohnehin beobachten, um zu belegen, dass eine Kampagne funktioniert, verraten Ihnen, leicht anders gelesen, wann etwas nicht stimmt. Die Scan-Kennzahlen, die für die Leistung zählen, dienen zugleich als Detektionsschicht. Eine plötzliche Nulllinie an einem physischen Standort, während dessen Geschwister normal weiterlaufen, ist eine klassische Signatur eines überklebten Codes: Von dieser Stelle erreicht niemand mehr Ihr Ziel, weil der Aufkleber die Leute anderswohin schickt. Ein unerklärlicher Ausschlag oder Scans, die aus einem Land auftauchen, in dem Ihre Kampagne nie lief, können bedeuten, dass ein Kurzlink durchgesickert ist oder missbraucht wird.

Das sind Heuristiken, keine Alarme mit festen Schwellenwerten, und so liegt der Gewinn in der Gewohnheit statt in der genauen Zahl. Bauen Sie einen regelmäßigen Blick auf die Scan-Muster in die Art ein, wie Sie Kampagnen führen, genauso wie Sie die Ausgaben prüfen würden, und Sie verwandeln ein Reporting-Dashboard in ein Frühwarnsystem.

Was das Smartphone für Sie tut und was nicht

Es lohnt sich, genau zu wissen, wie viel Hilfe der Scanner leistet, damit Sie sich weder zu sehr darauf verlassen noch ihn abtun. Die meisten modernen Smartphone-Kameras zeigen eine URL-Vorschau, bevor sie irgendetwas öffnen, und das ist die mit Abstand nützlichste Gewohnheit, die die Kunden Ihres Kunden haben können, sowie der Grund, warum sich das Drucken einer wiedererkennbaren Domain auszahlt. Das NCSC empfiehlt ausdrücklich, den im Smartphone eingebauten Scanner zu verwenden statt einer heruntergeladenen Scanner-App, da die App selbst nicht vertrauenswürdig oder mit zu vielen Berechtigungen ausgestattet sein kann.

Es gibt allerdings echte Grenzen. Eine URL-Vorschau zeigt nur die Adresse, sie beurteilt nicht, ob die dahinterliegende Seite sicher ist. Google Safe Browsing und ähnliche Dienste kennzeichnen zwar bekannte schädliche Seiten in Chrome und anderen Clients, doch sie sind ihrer Natur nach reaktiv und verpassen brandneue Angreifer-Domains, was genau der Grund ist, warum die großen Betrugsoperationen Zehntausende frischer Domains durchwechseln, um den Sperrlisten voraus zu sein. Und HTTPS, das Schlosssymbol, sichert nur die Verbindung: Ein Phishing-Klon kann ein völlig gültiges Schloss anzeigen, und damit ist "es hatte das Schloss" kein Sicherheitssignal. Die ehrliche Botschaft, die Sie an das Publikum eines Kunden weitergeben sollten, lautet, die Domain zu lesen und nicht dem Schloss zu vertrauen.

Wenn ein Code gekapert wird: ein kurzer Notfallplan

Die meisten Sicherheitsartikel hören bei "auf Manipulation überwachen" auf und lassen Sie dort stehen. Hier folgt, was Sie tatsächlich tun sollten, wenn sich die Überwachung auszahlt, der Reihe nach.

1. Bestätigen Sie es. Gleichen Sie die Auffälligkeit in den Analysen mit der physischen Welt ab. Lassen Sie jemanden in der Nähe des Assets nachsehen oder sehen Sie selbst nach. Klebt ein Aufkleber über dem Code? Landet ein Scan irgendwo, wo er nicht hin sollte? Sie wollen sich sicher sein, bevor Sie handeln, aber Minuten zählen, also warten Sie nicht auf eine Gewissheit, die Sie nicht erlangen können.
2. Umleiten oder sofort deaktivieren. Ändern Sie bei einem dynamischen Code das Ziel auf eine sichere Halteseite oder, wenn Sie sie kontrollieren, zurück auf die echte, sodass jeder Scan von diesem gedruckten Asset auf einen Schlag neutralisiert wird, überall, wo es existiert. Das ist der Moment, in dem sich das ganze Argument für dynamische Codes bezahlt macht. Bei einem statischen Code können Sie das überhaupt nicht, was Ihnen sagt, was Sie beim nächsten Mal wählen sollten.
3. Sichern Sie das physische Asset ein. Lassen Sie das Overlay entfernen oder das Artwork ersetzen und prüfen Sie benachbarte Platzierungen in der Nähe, denn Angreifer bekleben selten nur eine.
4. Melden Sie es. Informieren Sie Ihre QR-Plattform und melden Sie den betrügerischen Klon dem Domain-Registrar oder Host, der ihn trägt, sowie der nationalen Betrugsbehörde: Action Fraud in Großbritannien, das IC3 des FBI in den USA. Je schneller eine schädliche Domain abgeschaltet wird, desto kleiner der Schadensradius.
5. Sagen Sie es dem Kunden, klipp und klar. Erklären Sie, was passiert ist, was Sie getan haben, das Zeitfenster der Gefährdung und was sich geändert hat, sodass es weniger wahrscheinlich erneut auftritt. Ein offen gehandhabter Vorfall schafft Vertrauen; ein Vorfall, den der Kunde später selbst entdeckt, ist das, was den Etat kostet. Schweigen ist schlimmer als der Aufkleber.

Eine Checkliste vor dem Druck und nach dem Start

Fassen Sie das Obige zu etwas zusammen, das Sie bei jeder Kampagne durchgehen können.

Bevor es in den Druck geht:

• Verwenden Sie einen dynamischen Code auf einer eigenen, markeneigenen Domain, durchgängig mit HTTPS.
• Drucken Sie die Ziel-Domain im Klartext neben den Code.
• Schreiben Sie für öffentliche Oberflächen ein manipulationssicheres Material und eine schwer zu überklebende oder zu erreichende Platzierung vor.
• Überprüfen Sie das Ziel und sein Zertifikat, bevor das Artwork in den Druck geht.
• Sichern Sie das Plattformkonto selbst ab: Multi-Faktor-Authentifizierung und ein Zugriff nach dem Prinzip der geringsten Rechte pro Workspace.

Nach dem Start:

• Beobachten Sie die Scan-Analysen auf Nulllinien je Standort und auf unerwartete Geografie oder Volumina.
• Planen Sie physische Inspektionen hochwertiger öffentlicher Codes ein.
• Bewahren Sie den einseitigen Notfallplan von oben dort auf, wo das Team ihn findet.
• Versenden Sie niemals nackte Anmelde- oder Zahlungs-QR-Codes in ausgehenden Kunden-E-Mails.

Häufig gestellte Fragen

Kann jemand meinen QR-Code kapern oder austauschen?

Ja, am einfachsten, indem er ihn überklebt. Ein QR-Code hat keine kryptografische Verbindung zu seinem Ziel, und so lässt sich ein Aufkleber, der über Ihren geklebt wird, genau wie das Original scannen, während er auf etwas völlig anderes verweist. Ein dynamischer Code hilft Ihnen, schnell wieder Herr der Lage zu werden, weil Sie ihn umleiten können, aber er kann den physischen Austausch auf genau diesem Plakat nicht verhindern. Deshalb muss die Abwehr einen dynamischen Code, manipulationssicheren Druck und Scan-Überwachung kombinieren, statt sich auf eine einzelne Maßnahme zu verlassen.

Sind dynamische QR-Codes sicherer als statische?

Für die Wiederherstellung eindeutig ja. Ein dynamischer Code lässt sich in unter einer Minute über jedes gedruckte Asset hinweg auf eine sichere Seite umleiten, während ein statischer Code nur durch Neudruck behoben werden kann. Das Risiko des Sticker-Overlays gilt für beide gleichermaßen, da dieser Angriff Ihren Code austauscht, statt ihn zu ändern. Dynamische Codes fügen zudem eine Abhängigkeit von Ihrem Anbieter hinzu, sichern Sie also dieses Konto ab und wählen Sie einen Anbieter, der HTTPS erzwingt.

Verhindert eine markeneigene Domain QR-Code-Phishing?

Nein, und Sie sollten gegenüber jedem misstrauisch sein, der behauptet, sie tue es. Eine eigene, markeneigene Domain ist eine starke Schicht: Sie macht Ihren echten Link wiedererkennbar und die fremde Domain einer Fälschung offensichtlich, und sie gibt aufmerksamen Scannern etwas zum Überprüfen. Aber sie ist ein Vertrauens- und Detektionssignal, keine Prävention. Behandeln Sie sie als einen Teil eines Konzepts, das auch physische Manipulationssicherheit und Analyse-Überwachung umfasst.

Woran erkenne ich, ob ein QR-Code manipuliert wurde?

Auf zwei Wegen, gemeinsam genutzt. Physisch: Prüfen Sie, ob ein Aufkleber über den gedruckten Code geklebt wurde, die Ecke eines Overlays hebt sich oft ab. Analytisch: Beobachten Sie Ihre Scan-Daten. Ein Standort, der plötzlich keine Scans mehr registriert, während ähnliche Platzierungen weiterlaufen, oder Scans von irgendwo, wo Ihre Kampagne nie lief, sind beides Warnzeichen, die eine physische Kontrolle wert sind.

Kommen QR-Codes an E-Mail-Sicherheitsfiltern vorbei?

Oft ja, und genau deshalb funktioniert Quishing. Weil der Code ein Bild und kein Textlink ist, haben die Gateways, die URLs scannen und einer Reputationsprüfung unterziehen, nichts zu lesen. Forscher haben sogar Codes dokumentiert, die aus HTML-Tabellen aufgebaut oder über PDF-Bilder aufgeteilt sind, um Scanner vollständig auszuhebeln. Die praktische Regel für einen Herausgeber lautet, niemals einen nackten QR-Code, der zur Anmeldung oder Zahlung auffordert, in ausgehende E-Mails zu setzen, damit Sie Ihr Publikum nicht in die Gewohnheit einüben, die Angreifer ausnutzen.

Wer haftet, wenn jemand einen gefälschten Code mit der Marke meines Kunden scannt?

Dies ist keine Rechtsberatung, aber die nützliche Sichtweise ist, dass der Kriminelle die schuldige Partei ist, während Ihr Kunde dennoch die Reputationsgefährdung trägt, weil seine Marke das ist, was das Opfer gesehen hat. Genau diese Lücke ist der Grund, warum der Herausgeber Quishing als Markenschutz behandeln sollte und nicht als das Problem anderer. Die Agentur, die nachweisen kann, dass sie dynamische Codes, eigene Domains, manipulationssicheren Druck und aktive Überwachung eingesetzt hat, steht weitaus besser da als eine, die nichts davon getan hat.

Wie oft sollten wir gedruckte Codes physisch inspizieren?

Als Faustregel: Skalieren Sie die Inspektion am Risiko. Codes, die an Zahlungen gebunden sind oder auf stark frequentierten öffentlichen Oberflächen sitzen, verdienen häufige Kontrollen, in den belebtesten Fällen nahezu täglich; gewöhnliche Plakate und Platzierungen mit geringerem Risiko können in größeren Abständen überprüft werden. Koppeln Sie jeden Zeitplan, den Sie festlegen, mit Analyse-Überwachung, sodass eine digitale Auffälligkeit eine außerplanmäßige physische Kontrolle auslösen kann.

Kurz zusammengefasst

Quishing ist Phishing über einen QR-Code, und die vorhandenen Ratschläge richten sich überwiegend an die Scannenden, nicht an die veröffentlichenden Agenturen. Als Herausgeber kommt Ihre Gefährdung in drei Formen: ein Aufkleber, der über Ihren echten Code geklebt wird, eine täuschend ähnliche Domain, die Ihren Kunden abseits des Plakats imitiert, und Codes in E-Mails, die an Filtern vorbeirutschen. Keine einzelne Maßnahme stoppt alle drei, also schichten Sie sie: einen dynamischen Code auf einer eigenen Domain, damit Sie das Ziel schnell sehen, ändern und abschalten können; manipulationssicheren, überprüfbaren Druck, damit der echte Code schwer zu überkleben ist; eine strenge Zugriffskontrolle, damit nur die richtigen Leute einen Code umleiten können; und Scan-Analysen, als Alarm gelesen, damit Sie bemerken, wenn sich etwas verschiebt. Halten Sie dann einen einseitigen Notfallplan bereit, denn der Unterschied zwischen einem Schrecken und einer Katastrophe liegt darin, wie schnell Sie es erkennen und wie ruhig Sie reagieren.

Wenn Sie diese Woche eine Sache tun, dann setzen Sie die nächste Kundenkampagne auf einen dynamischen Code auf einer eigenen Domain und entscheiden Sie, wer ändern darf, wohin er verweist. Dieser eine Schritt verwandelt eine Kaperung aus einem Neudruck und einem unangenehmen Telefonat in eine Korrektur von einer Minute.