QRTrust Logo
Vertraue nicht jedem QR-Code.
Zurück zum Blog
Sicherheit

BSI-Lagebericht 2025: Cyberspione zielen auf deutsche Verwaltung

9 Min. Lesezeit

Das BSI warnt: Cyberspione greifen gezielt deutsche Behörden an. Deutschland ist das vierthäufigste Ziel weltweit. Gleichzeitig steigen Phishing, Quishing und Vishing-Angriffe dramatisch.

Der neue Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeichnet ein alarmierendes Bild: Cyberspione haben es gezielt auf deutsche Verwaltungen abgesehen. Gleichzeitig nehmen Phishing-Angriffe – insbesondere durch manipulierte QR-Codes (Quishing) – dramatisch zu. Ein Weckruf für Behörden und Bürger.

Hauptziel: Öffentliche Verwaltung

Laut aktuellem BSI-Lagebericht sind Cyberspione besonders an Daten der öffentlichen Verwaltung interessiert. Neben Verwaltungen sind auch Verteidigung, Justiz und öffentliche Sicherheitsorgane betroffen.

Deutschland belegt dabei einen traurigen Spitzenplatz: Als viertes Land weltweit wird Deutschland am häufigsten von sogenannten APT-Gruppen (Advanced Persistent Threat) angegriffen – nur die USA, Indien und Japan sind stärker betroffen.

Die Bedrohungslage in Zahlen

Platz 4

Deutschland ist das vierthäufigste Ziel von APT-Angriffen weltweit

202 Mrd. €

Schaden für die deutsche Wirtschaft durch Cyberangriffe innerhalb eines Jahres

Neue Phishing-Gefahren: Drei Bedrohungen auf dem Vormarsch

Parallel zur Cyberspionage warnt das BSI vor drei neuen Phishing-Trends, die Bürger und Behörden gleichermaßen bedrohen:

1. Brand Impersonation (Markenmissbrauch)

Im ersten Halbjahr 2025 ist die Zahl gefälschter Webseiten, die sich als bekannte Online-Händler ausgeben, stark gestiegen. Kriminelle nutzen das Vertrauen in etablierte Marken aus, um Zahlungsdaten und persönliche Informationen zu stehlen.

Betroffen: Online-Shopper, die auf gefälschte Shop-Seiten geleitet werden

2. Quishing (QR-Code-Phishing)

Manipulierte QR-Codes werden zunehmend im öffentlichen Raum platziert – auf Parkscheinautomaten, E-Ladesäulen, in Behördenbriefen oder als Aufkleber in öffentlichen Verkehrsmitteln. Wer diese Codes scannt, landet auf gefälschten Phishing-Webseiten.

Besonders gefährdet: Autofahrer, Nutzer öffentlicher Infrastruktur, Empfänger von Behördenpost

3. Vishing (Voice Phishing)

Vishing-Fälle nehmen zu: Cyberkriminelle geben sich am Telefon als IT-Support aus, um Zugang zu Netzwerken zu erlangen. Häufig sind Behörden und Unternehmen betroffen, deren Mitarbeiter durch vermeintliche Hilfsanrufe getäuscht werden.

Ziel: Mitarbeiter von Behörden und Unternehmen, die am Telefon Zugangsdaten preisgeben

Fast 10.500 Bürgeranfragen – Phishing an erster Stelle

Innerhalb eines Jahres gingen beim BSI-Servicezentrum knapp 10.500 Anfragen von Bürgern ein. Fast die Hälfte dieser Anfragen betraf konkrete Cybersecurity-Vorfälle.

Die häufigsten gemeldeten Vorfälle:

  • 1.Phishing-Attacken (E-Mails, SMS, gefälschte Webseiten)
  • 2.Account-Missbrauch (gestohlene Zugangsdaten)
  • 3.Identitätsdiebstahl (gefälschte Profile, Betrug im Namen des Opfers)

Warum herkömmliche Schutzmaßnahmen nicht ausreichen

Die Bedrohungslage zeigt: Reaktive Maßnahmen wie Aufklärungskampagnen oder das Entfernen manipulierter QR-Code-Aufkleber greifen zu kurz. Die Angreifer sind schneller.

Problem 1: Mensch vs. Maschine

Bürger können gefälschte QR-Codes nicht mit bloßem Auge erkennen. Selbst geschulte Mitarbeiter fallen auf professionelle Fälschungen herein.

Problem 2: Zeitverzögerung

Bis eine Phishing-Seite gemeldet und blockiert wird, haben bereits Hunderte Opfer ihre Daten preisgegeben.

Problem 3: Fragmentierte Abwehr

Behörden setzen auf unterschiedliche Systeme ohne gemeinsame Bedrohungsdatenbank. Jede Kommune kämpft alleine.

Problem 4: Fehlende Prävention

Bestehende Systeme reagieren erst nach einem Vorfall. Was fehlt, ist proaktiver Schutz vor dem ersten Klick.

QRTrust: Die technologische Antwort auf die BSI-Warnung

QRTrust bietet genau das, was der BSI-Bericht fordert: eine proaktive, technologische Lösung, die Phishing-Angriffe stoppt, bevor sie Schaden anrichten.

Wie QRTrust Behörden und Bürger schützt:

6-Schicht-Sicherheitscheck

Jeder QR-Code wird in Echtzeit gegen Google Safe Browsing, unsere lokale Bedrohungsdatenbank und KI-Modelle geprüft.

Redirect-Verfolgung

QRTrust folgt bis zu 5 Weiterleitungen und analysiert die finale Zielseite – Kriminelle können sich nicht hinter verschachtelten URLs verstecken.

Echtzeit-Warnung

Bevor Sie eine verdächtige Seite besuchen, sehen Sie eine klare Warnung mit Gefahrenstufe und Bedrohungsdetails.

Kommunale Whitelisting

Behörden können ihre offiziellen QR-Codes zertifizieren lassen. QRTrust zeigt Bürgern ein grünes Häkchen für verifizierte Codes.

Monitoring-Dashboard für Behörden

Verwaltungen erhalten Echtzeit-Übersicht über verdächtige Scan-Muster und automatische Warnungen bei Manipulation.

Für Verwaltungen: Schutz der kritischen Infrastruktur

Die öffentliche Verwaltung ist laut BSI-Bericht besonders gefährdet. QRTrust bietet maßgeschneiderte Lösungen für Behörden:

Mitarbeiterschutz

QRTrust schützt Behördenmitarbeiter vor Phishing-E-Mails und manipulierten QR-Codes in Behördenpost. Alle eingehenden QR-Codes können vor dem Scannen geprüft werden.

Bürger-Sicherheit

Kommunen können QRTrust als offizielle Prüf-App empfehlen. Bürger scannen kommunale QR-Codes (Parkautomaten, Behördenpost) mit QRTrust und erhalten sofortige Rückmeldung über die Echtheit.

Rechtssichere Dokumentation

Jeder erkannte Phishing-Versuch wird dokumentiert (Screenshots, Zeitstempel, URL-Historie). Diese Daten können für Ermittlungen und Strafverfolgung genutzt werden.

Praxisbeispiel: Ein Behördenmitarbeiter erhält gefälschte Post

Szenario: Ein Mitarbeiter der Stadtverwaltung erhält einen Brief mit vermeintlich dringender Aufforderung, einen QR-Code zu scannen (angeblich für eine 'wichtige Sicherheitsaktualisierung').

Ohne QRTrust:

  1. Mitarbeiter scannt QR-Code mit Standard-Kamera-App
  2. Landet auf gefälschter IT-Support-Seite
  3. Gibt Zugangsdaten für Behördennetzwerk ein
  4. Angreifer haben Zugriff auf sensible Verwaltungsdaten

Mit QRTrust:

  1. Mitarbeiter scannt QR-Code mit QRTrust-App
  2. QRTrust erkennt: URL ist nicht in der Behörden-Whitelist
  3. Warnung: 'Diese URL ist nicht als offizieller Behörden-Kanal registriert'
  4. Angriff verhindert, IT-Sicherheit informiert, Quelle dokumentiert

Fazit: Technologie statt Reaktion

Der BSI-Lagebericht 2025 macht deutlich: Deutschland steht im Fadenkreuz von Cyberspionen und Phishing-Kriminellen. Die öffentliche Verwaltung ist ein Hauptziel, und neue Angriffsmethoden wie Quishing und Vishing nehmen rasant zu.

Die Lösung liegt nicht in mehr Warnhinweisen oder dem Entfernen von Stickern – sondern in proaktiver technologischer Abwehr. QRTrust macht genau das: Wir schützen, bevor der Schaden entsteht. Für Behörden, Unternehmen und jeden Bürger.

Schützen Sie Ihre Behörde mit QRTrust

Sprechen Sie mit uns über eine maßgeschneiderte Lösung für Ihre Verwaltung. Kostenlose Erstberatung für öffentliche Einrichtungen.

Beratungstermin vereinbaren

Quellen

Dieser Artikel basiert auf dem aktuellen BSI-Lagebericht zur IT-Sicherheit und Presseberichten:

Zurück zum Blog