Skip to content Skip to footer
Lese­dau­er 2 Minu­ten

Quis­hing ist eine moder­ne Vari­an­te von Phis­hing, bei der Angrei­fer ver­su­chen, sen­si­ble Daten wie Anmel­de­infor­ma­tio­nen, Zah­lungs­in­for­ma­tio­nen oder per­sön­li­che Daten zu steh­len, indem die­se QR-Codes ver­wen­den. Anstel­le eines her­kömm­li­chen Phis­hing-Links in einer E‑Mail oder SMS wird ein QR-Code bereit­ge­stellt, der die Opfer auf eine gefälsch­te Web­site oder zu einem Schad­soft­ware-Down­load leitet.

Funk­ti­ons­wei­se

Ein Angrei­fer stellt einen mani­pu­lier­ten QR-Code bereit, der oft auf ver­meint­lich legi­ti­me Quel­len hin­weist, z. B. auf Rech­nun­gen, Wer­be­ma­te­ria­li­en oder E‑Mails. Das Opfer scannt den QR-Code mit dem Smart­phone oder eine ande­ren Gerät und der gescann­te Link führt dann jedoch auf eine betrü­ge­ri­sche Web­site oder initi­iert eine Akti­on, wie z. B. das Her­un­ter­la­den von Mal­wa­re oder das Aus­le­sen von Daten. So wer­den die ein­ge­ge­be­nen Daten (z. B. Log­in-Daten) vom Angrei­fer abge­fan­gen und missbraucht.

Daten­schutz­recht­li­che Bedeutung

Quis­hing kann zu unbe­rech­tig­tem Zugriff auf per­so­nen­be­zo­ge­ne Daten füh­ren, wie z. B. Namen, Adres­sen, Bank­da­ten oder Gesund­heits­in­for­ma­tio­nen. Sobald die­se Daten in fal­sche Hän­de gelan­gen, ent­ste­hen erheb­li­che Risi­ken, wie Iden­ti­täts­dieb­stahl oder finan­zi­el­ler Betrug. Unter­neh­men, die QR-Codes in ihrer Kom­mu­ni­ka­ti­on ver­wen­den (z. B. auf Rech­nun­gen, in der Wer­bung oder bei Kun­den­um­fra­gen), tra­gen daher die Ver­ant­wor­tung, sicher­zu­stel­len, dass die­se Codes nicht mani­pu­liert wer­den. Es ist wich­tig, eine siche­re Umge­bung für die Nut­zung sol­cher Tech­no­lo­gien zu schaf­fen und Nut­zer über mög­li­che Risi­ken aufzuklären.

Sen­si­bi­li­sie­rung

Falls per­so­nen­be­zo­ge­ne Daten durch Quis­hing kom­pro­mit­tiert wer­den, könn­te dies ein mel­de­pflich­ti­ger Daten­schutz­vor­fall gemäß der Daten­schutz-Grund­ver­ord­nung (DSGVO) sein. Betrof­fe­ne Orga­ni­sa­tio­nen müs­sen den Vor­fall inner­halb von 72 Stun­den an die zustän­di­ge Auf­sichts­be­hör­de mel­den und betrof­fe­ne Per­so­nen infor­mie­ren. Daher soll­ten Unter­neh­men Mit­ar­bei­ten­de und Kun­den über die Risi­ken von Quis­hing auf­klä­ren und im Rah­men von Daten­schutz­schu­lun­gen auch eine Sen­si­bi­li­sue­rung für die­se The­ma vor­neh­men. Vor dem Scan­nen von QR-Codes ist zu über­prü­fen, ob die­se aus einer ver­trau­ens­wür­di­gen Quel­le stam­men. Die Imple­men­tie­rung tech­ni­scher Schutz­maß­nah­men, wie Fire­walls und URL-Fil­ter, hilft, betrü­ge­ri­sche Web­sites zu blockieren.

Fazit

Quis­hing ist eine ernst­zu­neh­men­de Bedro­hung für die Sicher­heit per­so­nen­be­zo­ge­ner Daten. Sowohl Pri­vat­per­so­nen als auch Unter­neh­men soll­ten sen­si­bi­li­siert und prä­ven­tiv tätig wer­den, um die Risi­ken zu mini­mie­ren. Die Ein­hal­tung daten­schutz­recht­li­cher Vor­ga­ben ist essen­zi­ell, um Haf­tungs­ri­si­ken und mög­li­che Stra­fen zu vermeiden.

Also las­sen Sie sich gut beraten.

Kommentar

Nach oben