Quishing ist eine moderne Variante von Phishing, bei der Angreifer versuchen, sensible Daten wie Anmeldeinformationen, Zahlungsinformationen oder persönliche Daten zu stehlen, indem diese QR-Codes verwenden. Anstelle eines herkömmlichen Phishing-Links in einer E‑Mail oder SMS wird ein QR-Code bereitgestellt, der die Opfer auf eine gefälschte Website oder zu einem Schadsoftware-Download leitet.
Funktionsweise
Ein Angreifer stellt einen manipulierten QR-Code bereit, der oft auf vermeintlich legitime Quellen hinweist, z. B. auf Rechnungen, Werbematerialien oder E‑Mails. Das Opfer scannt den QR-Code mit dem Smartphone oder eine anderen Gerät und der gescannte Link führt dann jedoch auf eine betrügerische Website oder initiiert eine Aktion, wie z. B. das Herunterladen von Malware oder das Auslesen von Daten. So werden die eingegebenen Daten (z. B. Login-Daten) vom Angreifer abgefangen und missbraucht.
Datenschutzrechtliche Bedeutung
Quishing kann zu unberechtigtem Zugriff auf personenbezogene Daten führen, wie z. B. Namen, Adressen, Bankdaten oder Gesundheitsinformationen. Sobald diese Daten in falsche Hände gelangen, entstehen erhebliche Risiken, wie Identitätsdiebstahl oder finanzieller Betrug. Unternehmen, die QR-Codes in ihrer Kommunikation verwenden (z. B. auf Rechnungen, in der Werbung oder bei Kundenumfragen), tragen daher die Verantwortung, sicherzustellen, dass diese Codes nicht manipuliert werden. Es ist wichtig, eine sichere Umgebung für die Nutzung solcher Technologien zu schaffen und Nutzer über mögliche Risiken aufzuklären.
Sensibilisierung
Falls personenbezogene Daten durch Quishing kompromittiert werden, könnte dies ein meldepflichtiger Datenschutzvorfall gemäß der Datenschutz-Grundverordnung (DSGVO) sein. Betroffene Organisationen müssen den Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden und betroffene Personen informieren. Daher sollten Unternehmen Mitarbeitende und Kunden über die Risiken von Quishing aufklären und im Rahmen von Datenschutzschulungen auch eine Sensibilisuerung für diese Thema vornehmen. Vor dem Scannen von QR-Codes ist zu überprüfen, ob diese aus einer vertrauenswürdigen Quelle stammen. Die Implementierung technischer Schutzmaßnahmen, wie Firewalls und URL-Filter, hilft, betrügerische Websites zu blockieren.
Fazit
Quishing ist eine ernstzunehmende Bedrohung für die Sicherheit personenbezogener Daten. Sowohl Privatpersonen als auch Unternehmen sollten sensibilisiert und präventiv tätig werden, um die Risiken zu minimieren. Die Einhaltung datenschutzrechtlicher Vorgaben ist essenziell, um Haftungsrisiken und mögliche Strafen zu vermeiden.
Also lassen Sie sich gut beraten.