Back
Products new

Lösungen

Entdecken Sie unser Angebot an personalisierten Security Awareness-Schulungen, um Ihr Team gegen moderne Cyberbedrohungen zu stärken und weiterzubilden. Vom Policy Management bis hin zu Phishing-Simulationen – mit unserer Plattform bekommen Ihre Mitarbeiter das Wissen und die Fähigkeiten, die zum Schutz Ihres Unternehmens notwendig sind.

Automatisierung der Security Awareness

Planen Sie Ihre jährliche Awareness-Kampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie auf der Stelle Phishing-Angriffe dank preisgekrönter Phishing-Software

E-Learning Cyber Security

E-Learning zur Cyber Security: Entdecken Sie unsere preisgekrönte E-Learning-Bibliothek, maßgeschneidert für jede Abteilung

Policy Management

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutzmanagement

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Incident Management

Übernehmen Sie die Kontrolle über interne Vorfälle und beseitigen Sie die wichtigsten Probleme

Back
Industry

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiebereich bis hin zum Gesundheitswesen – erfahren Sie, wie unsere Lösungen in verschiedenen Branchen Wellen schlagen.

Finanzdienstleistungen

Erste Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine beliebte Security Awareness-Lösung für Regierungen

Unternehmen

Eine Lösung für Security Awareness-Schulung bei großen Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur der Security Awareness – auch zu Hause

Bildungssektor

Ansprechende Security Awareness-Schulung für den Bildungssektor

Arbeitskräfte im Gesundheitswesen

Entdecken Sie unsere maßgeschneiderte Lösung zur Security Awareness für Arbeitskräfte im Gesundheitswesen

Technologiebereich

Transformation der Security Awareness-Schulung im Technologiebereich

NIS2-Compliance

Unterstützen Sie Ihre Anforderungen zur NIS2-Compliance mit Awareness-Initiativen für Cyber Security

Back
Resources

Ressourcen

Von Plakaten und Richtlinien bis hin zu vollständigen Leitfäden und Fallstudien – nutzen Sie unsere kostenlosen Informationsmaterialien, um die Awareness für Cyber Security in Ihrem Unternehmen zu stärken.

Awareness für Cyber Security für Dummies

Eine unverzichtbare Ressource um eine Kultur der Cyber Awareness zu schaffen

Leitfaden für Dummies zum E-Learning Cyber Security

Der ultimative Leitfaden für die Implementierung von einem effektiven E-Learning zur Cyber Security

Ultimativer Leitfaden gegen Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Awareness-Plakate

Laden Sie diese kostenlosen Plakate herunter, um die Wachsamkeit Ihrer Mitarbeiter zu erhöhen

Anti-Phishing-Richtlinie

Schaffen Sie eine sicherheitsbewusste Kultur und fördern Sie die Awareness für Cyberbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, ein positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cyber Security von A-Z

Ein Glossar der wichtigsten Begriffe zur Cyber Security

Reifegradmodell für das Verhalten im Bereich Cyber Security

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Material

Laden Sie unsere kostenlosen Awareness-Materialien herunter, um die Awareness für Cyber Security in Ihrer Organisation zu stärken

Back
About

Über uns

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung im Sektor Cyber Security und Compliance und bietet eine innovative Lösung für die Awareness der Mitarbeiter für die Informationssicherheit und die Automatisierung von Incident Management. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cyber Security, Datenschutz und Compliance zu erfüllen.

Wie wir Ihnen helfen.

Erfahren Sie, warum MetaCompliance der vertrauenswürdige Partner für Security Awareness-Schulungen ist

Spezialisten für Employee Engagement.

Wir ermöglichen es, Mitarbeiter einzubinden und eine Kultur der Cyber Awareness zu schaffen

Automatisierung der Security Awareness

Einfache Automatisierung von Security Awareness-Schulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Phishing durch QR-Codes: Was ist Quishing?

Luke Noonan

Cyber Security Awareness
quishing

Zwischen Impfselfies und Ausgangssperren gedeiht in der COVID-19-Pandemie ein Phänomen: Quishing, oder Phishing durch QR-Code. Einst kaum die routinierte Handbewegung zum Smartphone wert, etablierte er sich in den letzten Jahren zur Allzweckwaffe. Schnelltests, Warn-Apps, Impfzertifikate, Cocktailkarten, Bahntickets, kontaktlose Zahlungen oder um es auf den Punkt zu bringen: die Eintrittskarte zur Normalität. Wo Licht ist, ist bekanntermaßen auch Schatten. Und so birgt die Anwendung ein angsteinflößendes Gefahrenpotenzial in sich.

Das verhängnisvolle QR-Comeback: Quishing und die neuen Risiken

QR-Code steht für „Quick Response Code“. Eine zweidimensionale Version des Barcodes, die scheinbar ganz selbstverständlich und organisch aus unserem Bedürfnis entstand, auf alles maximal schnell und einfach zugreifen zu wollen – alles nur einen Scan entfernt. Dabei können viele Informationen unmittelbar übertragen werden. Die einfache Handhabung und die Pandemie waren wie Brandbeschleuniger für neue Phishing-Kampagnen. Sogenanntes Quishing: eine Komposition aus „QR“ und „Phishing“.  

Beim traditionellen Phishing fischen Cyberkriminelle mit zweifelhaften E-Mails, Instant-Messages oder Websites nach Passwörtern und anderen persönlichen Daten.  

Beim Quishing machen sich Kriminelle die eingangs beschriebenen Eigenschaften des QR-Codes zunutze, um trügerische Informationen hinter dem Schachbrett ähnlichen Muster zu verstecken. Quishing E-Mails sind meist sorgfältig gestaltet, – ja fast schon mit Liebe zum Detail. Auf Authentizität getrimmt. Es ist in einschlägigen Kreisen scheinbar nicht mehr angesagt, potenzielle Opfer mit dem Erbe eines Vermögens von mehreren Millionen US-Dollar anzulocken. Auch wenn, besonders jetzt in der dunklen Jahreszeit, eine kurze Gedankenreise zur Traumsommerresidenz in Saint-Tropez so manche Empfänger:innen eine willkommene Abwechslung bereiten würde.  

Moderne Cyberkriminelle gehen subtil vor. Sie greifen die Schwäche des menschlichen Geistes an. Die unerträgliche Selbstgeißelung, sich mit unliebsamen Dingen beschäftigen zu müssen. Sie drohen beispielsweise mit einer Kontosperrung ihrer Bank oder ihres Lieblingsonlineshops.

Kontaktlose Empfängnis mit Sündenfall

Handelsübliche Sicherheitsmechanismen durchleuchten nur gewöhnliche Anhänge und URLs. Doch diese Maßnahmen versagen meist bei QR-Codes. Besonders beliebt ist die Aufforderung, Änderungen in der Datenpolitik zuzustimmen oder neue Sicherheitsverfahren einzurichten. Alles bequem per QR-Code selbstverständlich. Auch wichtige Dokumente, welche sich mithilfe des QR-Codes einfach herunterladen lassen, befinden sich im kriminellen Werkzeugkasten.  

Verständlicherweise möchten Empfänger:innen die unliebsame Melange aus vermeintlichem Handlungszwang und dem »ich möchte mich jetzt eigentlich viel lieber mit etwas anderem beschäftigen« -Gefühl, schleunigst beiseiteschaffen. Doch wer suhlt sich nicht gern in der scheinbaren Produktivität, wenn man noch schnell die lästig attribuierte »Banksache« erledigt. Rasch ist der Code gescannt – mit oftmals fatalen Folgen. Völlig anders als bei der heiligen Maria kann diese kontaktlose Empfängnis hier zur Sünde werden. 

Lauernde Datenmuränen

Folgt man den trügerischen Aufforderungen, findet man sich auf gefälschten Websites wieder. Mühevoll dekoriert. Schließlich soll die Kopfzeile im gleichen Königsblau schimmern wie das kopierte Volksbank-Logo. Mit verschiedenen Techniken werden gefährliche Links verschleiert und Warnungen umgangen. Gängig sind Landingpages, auf denen Content-Management-Systeme wie WordPress samt Plugins missbraucht werden, um potenzielle Opfer in die Falle zu locken. Es wurde auch beobachtet, dass sich Cyberkriminelle an Googles Feed-Proxy-Dienst „FeedBurner“ für die Umleitung vergreifen. Ebenfalls gebräuchlich ist die eigene benutzerdefinierte Domain für die Umleitung als auch als endgültige Phishing-Seite. Das heißt: Gefahr besteht – auch wenn Abwehrsysteme keinen Alarm schlagen.   

Einmal in der perfekten Illusion gelandet, geht es den Cyberkriminellen nur um eins: persönliche Daten. Wie eine Muräne in ihrer Höhle, darauf lauernd, Usernamen und Passwörter abzuschöpfen. Wenn dann noch der Feierabend oder der Sundowner auf der Terrasse wartet, werden viele Empfänger:innen leichtsinnig. Über das etwa zusätzliche L bei “vollksbank.de” wird hinweggesehen und prompt stehen die eigenen Daten in der täuschend echten Anmeldemaske. Phishing-URLs für Sparkassen beginnen häufig mit „spk-„, während ein „vr-„ das Volksbank-Imitat ziert. 

Eine besondere Gefahr im beruflichen Umfeld besteht dann, wenn mit privaten Smartphones unternehmensinterne Sicherheitsstrukturen umgangen werden, wofür sich Quishing bestens eignet. Ist der gefährliche Code gescannt, finden schädliche Inhalte ihren heimlichen Weg auf mobile Endgeräte. Dort ist es nicht mehr weit zu E-Mail-Postfächern, Kontaktdaten oder Dokumenten, die über Cloud-Lösungen organisiert werden. Ein perfektes Einfallstor. Sind in so einem Fall kritische Daten betroffen, breitet sich das Feuer wahrscheinlich auch auf Firmenressourcen aus. Darunter ist zuletzt Ransomware durch das enorme Bedrohungspotenzial auffällig geworden. Ein unheilvoller Imperativ, der laut BSI noch um ein Vielfaches höher ausfällt, wenn Unternehmensnetzwerke betroffen sind. 

Phishing durch QR-Codes: Was ist Quishing?

Quishing E-Mails vom vermeintlichen Volksbank-Kundenservice und der Sparkasse

Digitale Reginheris

Ransomware zielt auf die Verschlüsselung von Userdaten ab. Ist dieser Prozess erfolgreich abgeschlossen, folgt eine Lösegeldforderung. Die Fallhöhe von betroffenen Unternehmen ist enorm. IT- und Geschäftsprozesse kommen zum Erliegen. Oftmals folgen Drohungen, die verschlüsselten Daten zu veröffentlichen oder weiterzuverkaufen. Unternehmen aller Couleur sind im Visier. Laut dem von Hiscox veröffentlichten Cyber Readiness Report 2022 zahlen 48 % deutscher Unternehmen Lösegeld nach solch einer Attacke. Die Forderungen bewegen sich häufig im sechsstelligen Euro-Bereich, dem BSI sind aber auch achtstellige Lösegeldforderungen bekannt. 
 
Zum Schreck vieler Opfer stellen Betrügende auch nach der Zahlung weitere Forderungen. Das wirkt beinahe so, als wären die Akteure aus einer einigermaßen spannenden Geschichtsdoku entsprungen. Wie im Jahr 845, als der Wikingeranführer Reginheri mit seinen Streitkräften Paris belagerte. Der westfränkische König Karl der Kahle hielt einen Kampf für aussichtslos und entrichtete 7000 Pfund Silber Lösegeld für den Abzug der dänischen Truppen. Ähnlich der Kollegschaft knapp 1200 Jahre später, konnten die Nordmänner und Schild-Maiden der Verlockung nicht widerstehen, nochmals Lösegeld zu erpressen. Also folgten weitere Überfälle.

Selbst wenn moderne Kriminelle keine geflochtenen Bärte oder geschulterte Äxte tragen, bleibt die Lage auch nach der Forderungserfüllung ernst. Egal ob man sich auf Erpressungen einlässt oder nicht, die Folgen für Privatpersonen, Unternehmen oder öffentliche Einrichtungen sind in den meisten Fällen gravierend. Quishing kann somit zu massiven Folgeschäden führen, wie Daten- und Reputationsverlust, DS-GVO-Verstöße oder finanzielle Schäden.

Wie schütze ich mich vor Quishing?

Weniger cineastisch aufgeladen als Wikingerüberfälle, aber mindestens genauso spannend ist die Frage: Wie schützt man sich vor Quishing?   

„Scannen Sie im Zweifel keine QR-Codes“ – eine offensichtliche, aber gültige Aussage. Das Problem entsteht jedoch oft, weil erst gar kein Verdacht geschöpft wird. Cyberkriminelle nutzen tief sitzende menschliche Dispositionen und Bedürfnisse aus, um Personen geschickt zu manipulieren – sogenanntes Social Engineering. Hinzu kommt Unwissenheit. Schon ist er fertig, der katastrophale Cocktail. Das macht es schwer, sich zuverlässig dagegen zu schützen. Dennoch gibt es ein paar einfache Regeln, das Risiko zu minimieren:  

  • Behandeln Sie QR-Codes wie Links. QR-Codes auf Guerilla-Plakatkampagnen, Dokumenten oder in E-Mails sind nichts anderes als Links und bergen die gleiche Gefahr.  
  • Geben Sie keine sensiblen Daten ein. Seriöse Dienstleistende fordern Sie niemals per E-Mail auf, vertrauliche Zugangsdaten preiszugeben.  
  • Werfen Sie immer einen kritischen Blick auf die E-Mail-Adresse oder die Adressleiste im Browser, wenn Sie sich bereits auf einer fragwürdigen Seite befinden.  
  • Auch E-Mail- und Website-Inhalte sollten unter die Lupe genommen werden. Zum Schmunzeln bringende Tippfehler sind bei Cyberkriminellen aus der Zeit gefallen. Die meisten Texte sind gut formuliert. Dazu liefert das BSI einige Merkmale, bei denen Sie misstrauisch werden sollten, wenn mindestens eines zutrifft: 
  1. Dringender Handlungsbedarf 
  2. Drohungen von Konsequenzen bei Handlungsversäumnis  
  3. Forderung zur Eingabe von sensiblen Daten wie die PIN oder eine Kreditkartennummer 
  4. Die E-Mail enthält Links bzw. QR-Codes oder Formulare 
  5. Ungewöhnliches Anliegen einer bekannten Person oder Organisation 
  • Im Zweifel über einen offiziellen Kanal des genannten Angebots nachfragen
  • Downloaden oder öffnen Sie niemals Dateien in E-Mail-Anhängen oder Websites, dessen Echtheit nicht hundert Prozent klar ist. 

Nutzen Sie Zwei- oder Mehr-Faktor-Authentisierung. Denn selbst wenn es Kriminellen gelingt, Daten in Erfahrung zu bringen, fehlt ihnen ein weiterer Faktor zum Einloggen.

Wie Teerlungen auf Zigarettenpackungen wirken Furchtappelle und vereinfachte Verhaltensregeln meist nur mäßig – oft nur ein paar Tage. Informationssicherheit muss Teil der Unternehmensphilosophie werden. Der wichtigste Tipp ist daher, die permanente Weiterbildung und das Awareness-Niveau in Ihrem Unternehmen zu fördern.

MetaPhish und MetaLearning: Schützen Sie Ihre Mitarbeiter vor Quishing und anderen Cyber-Bedrohungen

Sichern Sie Ihre Mitarbeiter vor Cyber-Bedrohungen, indem Sie mehr über unsere Phishing Simulation Software MetaPhish und unsere Cyber Security E-Learning-Plattform MetaLearning erfahren.

ANDERE ARTIKEL ZU CYBER SECURITY AWARENESS TRAINING, DIE SIE INTERESSIEREN KÖNNTEN

Image 2
Cyber Security Awareness
Computer Security Training: Entwicklung eines Sensibilisierungsprogramms für Cybersicherheit

Erfahren Sie, wie Sie ein effektives Computer Security Training für die Cybersicherheit entwickeln. Tipps und Strategien für Ihre Sicherheitsmaßnahmen.

Mehr erfahren

Luke Noonan

20. Mai 2024

cybersicherheit und digitalisierung im gesundheitswesen
Cyber Security Awareness
Cybersicherheit im Gesundheitswesen: Bedeutung und wie man sie verbessern kann

Erfahren Sie mehr über die Bedeutung der Cybersicherheit im Gesundheitswesen und erhalten Sie wertvolle Einblicke, wie Sie diese effektiv verbessern können.

Mehr erfahren

Luke Noonan

20. Mai 2024

banner