Quishing als jüngster Datendiebstahl-Trend

Es ist ja so: Kaum haben wir gelernt, verdächtige E-Mails und SMS zu erkennen, kommt die nächste Betrugsmasche um die Ecke: Quishing. Was wie eine Red Flag beim Dating klingt, ist in Wirklichkeit ein Kofferwort aus QR und Phishing. Und die Masche zeigt, wie geschickt Betrüger aktuelle Gewohnheiten ausnutzen. Wer scannt heute nicht schnell einen QR-Code, um ein Paket umzuleiten, einen Tisch zu reservieren oder ein Formular aufzurufen?

Aktuell warnt die Polizei vor allem im Nordwesten der Republik vor einer bundesweiten Quishing-Welle. In mehreren Landkreisen tauchten täuschend echte Abholzettel für DHL-Pakete in privaten Briefkästen auf. Mit Logo, QR-Code, teils sogar mit Internetadresse und persönlichem „Sendungscode“ versehen, wirken sie glaubwürdig. In Oldenburg und Vechta gehen ähnliche Betrugsversuche auch über WhatsApp um. Die Botschaft ist stets dieselbe: Es wartet ein Paket, also bitte kurz bestätigen, wohin geliefert werden soll, sonst verpasst man was.

Wer dem Impuls folgt und den Code scannt, landet jedoch nicht bei DHL, sondern auf einer gefälschten Internetseite. Dort werden Schritt für Schritt persönliche Daten abgefragt: Name, Telefonnummer, manchmal sogar Bank- oder Kreditkartendaten. Was harmlos beginnt, endet schnell im Identitätsdiebstahl oder finanziellen Fiasko. Die Betrüger setzen dabei auf Vorfreude, Zeitdruck und Alltagsstress, drei Faktoren, die unsere Aufmerksamkeit nachweislich senken.

Datenschutzrechtlich ist Quishing besonders perfide, weil es mehrere Schutzmechanismen umgeht. Es gibt keine verdächtige Absenderadresse, keine fehlerhafte E-Mail-Formulierung, sondern nur einen gelben Paketzettel im Briefkasten oder im vertrauten Messenger. Umso wichtiger ist es, misstrauisch zu bleiben. Die Polizei rät, genau hinzuschauen: Stimmt die Webadresse? Ist der Code ungewöhnlich lang? Wirken Schriftart und Seitenaufbau professionell? Und vor allem: Erwarte ich überhaupt ein Paket? Wobei das heutzutage häufig der Fall sein dürfte.

Es gilt: Seriöse Paketdienste fordern sensible Daten nicht per QR-Code oder Link an. Und im Zweifel: nicht scannen oder klicken, sondern lieber gleich die offizielle App oder Website des Anbieters aufrufen. Quishing zeigt einmal mehr, dass Datenschutz kein abgehobenes oder alltagsfernes Thema ist, sondern für uns alle tagtäglich eine Rolle spielt. Technische Lösungen allein reichen nicht. Aufmerksamkeit muss auch sein. Und so wie wir beim Dating auf Red Flags achten, sollten wir dies auch bei Zetteln, die uns auf dem Postweg ins Haus flattern, tun. Und nicht vergessen: Weitersagen! Damit Mama und Papa, Oma und Opa auch die neueste Masche kennen.