Entdecken Sie unser Angebot an personalisierten Security Awareness-Schulungen, um Ihr Team gegen moderne Cyberbedrohungen zu stärken und weiterzubilden. Vom Policy Management bis hin zu Phishing-Simulationen – mit unserer Plattform bekommen Ihre Mitarbeiter das Wissen und die Fähigkeiten, die zum Schutz Ihres Unternehmens notwendig sind.
Planen Sie Ihre jährliche Awareness-Kampagne mit ein paar Klicks
Stoppen Sie auf der Stelle Phishing-Angriffe dank preisgekrönter Phishing-Software
E-Learning zur Cyber Security: Entdecken Sie unsere preisgekrönte E-Learning-Bibliothek, maßgeschneidert für jede Abteilung
Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien
Einfache Kontrolle, Überwachung und Verwaltung der Compliance
Übernehmen Sie die Kontrolle über interne Vorfälle und beseitigen Sie die wichtigsten Probleme
Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiebereich bis hin zum Gesundheitswesen – erfahren Sie, wie unsere Lösungen in verschiedenen Branchen Wellen schlagen.
Erste Verteidigungslinie für Finanzdienstleistungsunternehmen
Eine beliebte Security Awareness-Lösung für Regierungen
Eine Lösung für Security Awareness-Schulung bei großen Unternehmen
Verankern Sie eine Kultur der Security Awareness – auch zu Hause
Ansprechende Security Awareness-Schulung für den Bildungssektor
Entdecken Sie unsere maßgeschneiderte Lösung zur Security Awareness für Arbeitskräfte im Gesundheitswesen
Transformation der Security Awareness-Schulung im Technologiebereich
Unterstützen Sie Ihre Anforderungen zur NIS2-Compliance mit Awareness-Initiativen für Cyber Security
Von Plakaten und Richtlinien bis hin zu vollständigen Leitfäden und Fallstudien – nutzen Sie unsere kostenlosen Informationsmaterialien, um die Awareness für Cyber Security in Ihrem Unternehmen zu stärken.
Eine unverzichtbare Ressource um eine Kultur der Cyber Awareness zu schaffen
Der ultimative Leitfaden für die Implementierung von einem effektiven E-Learning zur Cyber Security
Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen
Laden Sie diese kostenlosen Plakate herunter, um die Wachsamkeit Ihrer Mitarbeiter zu erhöhen
Schaffen Sie eine sicherheitsbewusste Kultur und fördern Sie die Awareness für Cyberbedrohungen
Erfahren Sie, wie wir unseren Kunden dabei helfen, ein positives Verhalten in ihren Organisationen zu fördern
Ein Glossar der wichtigsten Begriffe zur Cyber Security
Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken
Laden Sie unsere kostenlosen Awareness-Materialien herunter, um die Awareness für Cyber Security in Ihrer Organisation zu stärken
MetaCompliance verfügt über mehr als 18 Jahre Erfahrung im Sektor Cyber Security und Compliance und bietet eine innovative Lösung für die Awareness der Mitarbeiter für die Informationssicherheit und die Automatisierung von Incident Management. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cyber Security, Datenschutz und Compliance zu erfüllen.
Erfahren Sie, warum MetaCompliance der vertrauenswürdige Partner für Security Awareness-Schulungen ist
Wir ermöglichen es, Mitarbeiter einzubinden und eine Kultur der Cyber Awareness zu schaffen
Einfache Automatisierung von Security Awareness-Schulungen, Phishing und Richtlinien in wenigen Minuten
Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.
Zwischen Impfselfies und Ausgangssperren gedeiht in der COVID-19-Pandemie ein Phänomen: Quishing, oder Phishing durch QR-Code. Einst kaum die routinierte Handbewegung zum Smartphone wert, etablierte er sich in den letzten Jahren zur Allzweckwaffe. Schnelltests, Warn-Apps, Impfzertifikate, Cocktailkarten, Bahntickets, kontaktlose Zahlungen oder um es auf den Punkt zu bringen: die Eintrittskarte zur Normalität. Wo Licht ist, ist bekanntermaßen auch Schatten. Und so birgt die Anwendung ein angsteinflößendes Gefahrenpotenzial in sich.
QR-Code steht für „Quick Response Code“. Eine zweidimensionale Version des Barcodes, die scheinbar ganz selbstverständlich und organisch aus unserem Bedürfnis entstand, auf alles maximal schnell und einfach zugreifen zu wollen – alles nur einen Scan entfernt. Dabei können viele Informationen unmittelbar übertragen werden. Die einfache Handhabung und die Pandemie waren wie Brandbeschleuniger für neue Phishing-Kampagnen. Sogenanntes Quishing: eine Komposition aus „QR“ und „Phishing“.
Beim traditionellen Phishing fischen Cyberkriminelle mit zweifelhaften E-Mails, Instant-Messages oder Websites nach Passwörtern und anderen persönlichen Daten.
Beim Quishing machen sich Kriminelle die eingangs beschriebenen Eigenschaften des QR-Codes zunutze, um trügerische Informationen hinter dem Schachbrett ähnlichen Muster zu verstecken. Quishing E-Mails sind meist sorgfältig gestaltet, – ja fast schon mit Liebe zum Detail. Auf Authentizität getrimmt. Es ist in einschlägigen Kreisen scheinbar nicht mehr angesagt, potenzielle Opfer mit dem Erbe eines Vermögens von mehreren Millionen US-Dollar anzulocken. Auch wenn, besonders jetzt in der dunklen Jahreszeit, eine kurze Gedankenreise zur Traumsommerresidenz in Saint-Tropez so manche Empfänger:innen eine willkommene Abwechslung bereiten würde.
Moderne Cyberkriminelle gehen subtil vor. Sie greifen die Schwäche des menschlichen Geistes an. Die unerträgliche Selbstgeißelung, sich mit unliebsamen Dingen beschäftigen zu müssen. Sie drohen beispielsweise mit einer Kontosperrung ihrer Bank oder ihres Lieblingsonlineshops.
Handelsübliche Sicherheitsmechanismen durchleuchten nur gewöhnliche Anhänge und URLs. Doch diese Maßnahmen versagen meist bei QR-Codes. Besonders beliebt ist die Aufforderung, Änderungen in der Datenpolitik zuzustimmen oder neue Sicherheitsverfahren einzurichten. Alles bequem per QR-Code selbstverständlich. Auch wichtige Dokumente, welche sich mithilfe des QR-Codes einfach herunterladen lassen, befinden sich im kriminellen Werkzeugkasten.
Verständlicherweise möchten Empfänger:innen die unliebsame Melange aus vermeintlichem Handlungszwang und dem »ich möchte mich jetzt eigentlich viel lieber mit etwas anderem beschäftigen« -Gefühl, schleunigst beiseiteschaffen. Doch wer suhlt sich nicht gern in der scheinbaren Produktivität, wenn man noch schnell die lästig attribuierte »Banksache« erledigt. Rasch ist der Code gescannt – mit oftmals fatalen Folgen. Völlig anders als bei der heiligen Maria kann diese kontaktlose Empfängnis hier zur Sünde werden.
Folgt man den trügerischen Aufforderungen, findet man sich auf gefälschten Websites wieder. Mühevoll dekoriert. Schließlich soll die Kopfzeile im gleichen Königsblau schimmern wie das kopierte Volksbank-Logo. Mit verschiedenen Techniken werden gefährliche Links verschleiert und Warnungen umgangen. Gängig sind Landingpages, auf denen Content-Management-Systeme wie WordPress samt Plugins missbraucht werden, um potenzielle Opfer in die Falle zu locken. Es wurde auch beobachtet, dass sich Cyberkriminelle an Googles Feed-Proxy-Dienst „FeedBurner“ für die Umleitung vergreifen. Ebenfalls gebräuchlich ist die eigene benutzerdefinierte Domain für die Umleitung als auch als endgültige Phishing-Seite. Das heißt: Gefahr besteht – auch wenn Abwehrsysteme keinen Alarm schlagen.
Einmal in der perfekten Illusion gelandet, geht es den Cyberkriminellen nur um eins: persönliche Daten. Wie eine Muräne in ihrer Höhle, darauf lauernd, Usernamen und Passwörter abzuschöpfen. Wenn dann noch der Feierabend oder der Sundowner auf der Terrasse wartet, werden viele Empfänger:innen leichtsinnig. Über das etwa zusätzliche L bei “vollksbank.de” wird hinweggesehen und prompt stehen die eigenen Daten in der täuschend echten Anmeldemaske. Phishing-URLs für Sparkassen beginnen häufig mit „spk-„, während ein „vr-„ das Volksbank-Imitat ziert.
Eine besondere Gefahr im beruflichen Umfeld besteht dann, wenn mit privaten Smartphones unternehmensinterne Sicherheitsstrukturen umgangen werden, wofür sich Quishing bestens eignet. Ist der gefährliche Code gescannt, finden schädliche Inhalte ihren heimlichen Weg auf mobile Endgeräte. Dort ist es nicht mehr weit zu E-Mail-Postfächern, Kontaktdaten oder Dokumenten, die über Cloud-Lösungen organisiert werden. Ein perfektes Einfallstor. Sind in so einem Fall kritische Daten betroffen, breitet sich das Feuer wahrscheinlich auch auf Firmenressourcen aus. Darunter ist zuletzt Ransomware durch das enorme Bedrohungspotenzial auffällig geworden. Ein unheilvoller Imperativ, der laut BSI noch um ein Vielfaches höher ausfällt, wenn Unternehmensnetzwerke betroffen sind.
Quishing E-Mails vom vermeintlichen Volksbank-Kundenservice und der Sparkasse
Ransomware zielt auf die Verschlüsselung von Userdaten ab. Ist dieser Prozess erfolgreich abgeschlossen, folgt eine Lösegeldforderung. Die Fallhöhe von betroffenen Unternehmen ist enorm. IT- und Geschäftsprozesse kommen zum Erliegen. Oftmals folgen Drohungen, die verschlüsselten Daten zu veröffentlichen oder weiterzuverkaufen. Unternehmen aller Couleur sind im Visier. Laut dem von Hiscox veröffentlichten Cyber Readiness Report 2022 zahlen 48 % deutscher Unternehmen Lösegeld nach solch einer Attacke. Die Forderungen bewegen sich häufig im sechsstelligen Euro-Bereich, dem BSI sind aber auch achtstellige Lösegeldforderungen bekannt.
Zum Schreck vieler Opfer stellen Betrügende auch nach der Zahlung weitere Forderungen. Das wirkt beinahe so, als wären die Akteure aus einer einigermaßen spannenden Geschichtsdoku entsprungen. Wie im Jahr 845, als der Wikingeranführer Reginheri mit seinen Streitkräften Paris belagerte. Der westfränkische König Karl der Kahle hielt einen Kampf für aussichtslos und entrichtete 7000 Pfund Silber Lösegeld für den Abzug der dänischen Truppen. Ähnlich der Kollegschaft knapp 1200 Jahre später, konnten die Nordmänner und Schild-Maiden der Verlockung nicht widerstehen, nochmals Lösegeld zu erpressen. Also folgten weitere Überfälle.
Selbst wenn moderne Kriminelle keine geflochtenen Bärte oder geschulterte Äxte tragen, bleibt die Lage auch nach der Forderungserfüllung ernst. Egal ob man sich auf Erpressungen einlässt oder nicht, die Folgen für Privatpersonen, Unternehmen oder öffentliche Einrichtungen sind in den meisten Fällen gravierend. Quishing kann somit zu massiven Folgeschäden führen, wie Daten- und Reputationsverlust, DS-GVO-Verstöße oder finanzielle Schäden.
Weniger cineastisch aufgeladen als Wikingerüberfälle, aber mindestens genauso spannend ist die Frage: Wie schützt man sich vor Quishing?
„Scannen Sie im Zweifel keine QR-Codes“ – eine offensichtliche, aber gültige Aussage. Das Problem entsteht jedoch oft, weil erst gar kein Verdacht geschöpft wird. Cyberkriminelle nutzen tief sitzende menschliche Dispositionen und Bedürfnisse aus, um Personen geschickt zu manipulieren – sogenanntes Social Engineering. Hinzu kommt Unwissenheit. Schon ist er fertig, der katastrophale Cocktail. Das macht es schwer, sich zuverlässig dagegen zu schützen. Dennoch gibt es ein paar einfache Regeln, das Risiko zu minimieren:
Nutzen Sie Zwei- oder Mehr-Faktor-Authentisierung. Denn selbst wenn es Kriminellen gelingt, Daten in Erfahrung zu bringen, fehlt ihnen ein weiterer Faktor zum Einloggen.
Wie Teerlungen auf Zigarettenpackungen wirken Furchtappelle und vereinfachte Verhaltensregeln meist nur mäßig – oft nur ein paar Tage. Informationssicherheit muss Teil der Unternehmensphilosophie werden. Der wichtigste Tipp ist daher, die permanente Weiterbildung und das Awareness-Niveau in Ihrem Unternehmen zu fördern.
Sichern Sie Ihre Mitarbeiter vor Cyber-Bedrohungen, indem Sie mehr über unsere Phishing Simulation Software MetaPhish und unsere Cyber Security E-Learning-Plattform MetaLearning erfahren.
Quishing ist eine Phishing-Methode, bei der Cyberkriminelle QR-Codes nutzen, um ihre Opfer zu täuschen. Diese Codes, die für einen schnellen Zugriff auf Informationen gedacht sind, können betrügerische Links oder Daten enthalten. Scannen Nutzer den QR-Code, werden sie auf gefälschte Websites weitergeleitet, auf denen ihre persönlichen Daten gestohlen werden können. Da QR-Codes oft als sicher angesehen werden, sind sie besonders tückisch.
MetaLearning ist eine E-Learning-Plattform, die umfassende Schulungen zur Cybersicherheit bietet. Sie hilft dabei, Ihre Mitarbeiter über aktuelle Cyber-Bedrohungen wie Quishing auf dem Laufenden zu halten und das Sicherheitsbewusstsein zu stärken. Die Plattform bietet praxisnahe Trainingsmodule, die Ihre Sicherheitsstrategie verbessern können. Entdecken Sie, wie MetaLearning Ihre Sicherheitsmaßnahmen optimieren kann.
Fordern Sie noch heute eine kostenlose Demo an und erfahren Sie, wie Ihr Unternehmen von unserer erstklassigen Awareness-Schulung zur Cyber Security profitieren kann.
Die Demo nimmt nur 30 Minuten Ihrer Zeit in Anspruch und Sie müssen keine Software installieren.
Request Demo - Header Test