Quishing ist eine Phishing-Variante, bei der Angreifer legitime QR-Codes mit eigenen Aufklebern überdecken. Beim Scannen werden Opfer auf nachgebaute Bezahlseiten geleitet, die Karten- oder Login-Daten abgreifen.

Wie sollen Autofahrer sich an Ladesäulen schützen?

Das BSI empfiehlt, Ladevorgänge bevorzugt über die offizielle App des Anbieters zu starten, QR-Codes auf Aufkleber zu prüfen und Bezahlungen über Apple Pay, Google Pay oder Giropay statt per manueller Karteneingabe abzuwickeln.

Welche Pflichten haben Betreiber öffentlicher Ladesäulen?

Betreiber wichtiger Einrichtungen müssen nach dem NIS2-Umsetzungsgesetz Mindeststandards der IT-Sicherheit einhalten. Dazu zählen Sichtkontrollen, manipulationssichere Beschriftung der Codes und sichere, zertifizierte Bezahlportale.

Welche Sanktionen drohen bei Verstößen?

Das deutsche NIS2UmsuCG sieht für Verstöße empfindliche Bußgelder vor, deren Höhe sich an Größe und Risikoklasse des Betreibers orientiert. Zuständig für die Aufsicht der Ladeinfrastruktur ist die Bundesnetzagentur.

BSI warnt vor Quishing an Ladesäulen: Manipulierte QR-Codes leiten auf Phishing-Seiten

Q: Wann erscheint die angekündigte BSI-Richtlinie?

Das Bundesamt für Sicherheit in der Informationstechnik hat eine technische Richtlinie speziell für die Ladeinfrastruktur angekündigt. Sie soll in den kommenden Wochen veröffentlicht werden.

Bundesamt für Sicherheit in der Informationstechnik meldet Welle gefälschter QR-Codes an öffentlichen Ladepunkten und veröffentlicht Schutzempfehlungen für Betreiber.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Donnerstag eine Warnung vor sogenanntem Quishing an öffentlichen Ladesäulen für Elektroautos veröffentlicht.
Unbekannte überkleben demnach bundesweit die an Ladepunkten angebrachten QR-Codes mit präparierten Aufklebern, die Nutzerinnen und Nutzer auf täuschend echt nachgebaute Bezahlseiten umleiten.
Die Behörde sieht in der Methode eine systematische Ausweitung klassischer Phishing-Angriffe auf die Ladeinfrastruktur und richtet Schutzempfehlungen sowohl an Verbraucher als auch an Charge-Point-Betreiber.

Was ist Quishing?

Der Begriff Quishing setzt sich aus QR-Code und Phishing zusammen.
Angreifer ersetzen oder überkleben legitime QR-Codes, die etwa zu einer Bezahl-App oder zum Roaming-Portal eines Ladeverbundes führen, mit eigenen Codes.
Diese verweisen auf optisch identische Webseiten, auf denen Kreditkartendaten, Login-Daten von Ladeverbünden wie Hubject oder mobile Bezahldaten abgegriffen werden.
Da Ladevorgänge an öffentlichen Säulen häufig spontan und unter Zeitdruck gestartet werden, fällt die Manipulation den Betroffenen meist erst nach dem Schaden auf.
Das BSI verweist darauf, dass die Methode bereits aus den Bereichen Parkraumbewirtschaftung und Restaurant-Menüs bekannt ist und nun auf die Elektromobilität übertragen werde.

Welche Empfehlungen gibt das BSI?

Die Behörde rät Autofahrerinnen und Autofahrern, Ladevorgänge möglichst über die offizielle App des jeweiligen Anbieters zu starten und QR-Codes vor dem Scannen auf Aufkleber, Wölbungen oder doppelte Schichten zu prüfen.
Beim Öffnen der hinterlegten Webseite solle die URL kontrolliert werden, insbesondere auf abweichende Domains oder zusätzliche Subdomains.
Bezahlvorgänge ausschließlich über etablierte Verfahren wie Giropay, Apple Pay oder Google Pay seien risikoärmer als die Eingabe von Kartendaten in einem Browserformular.

Für Betreiber öffentlicher Ladeinfrastruktur, die seit Inkrafttreten des Gesetzes zur Umsetzung der Richtlinie NIS-2 (NIS2UmsuCG) teilweise als wichtige Einrichtungen eingestuft sind, formuliert das BSI organisatorische und technische Anforderungen.
Dazu zählen regelmäßige Sichtkontrollen der Säulen, manipulationssichere Beschriftungen, das Einbringen von Hologrammen oder UV-Markern sowie die Möglichkeit, Manipulationen niedrigschwellig zu melden.
Auf der Software-Seite empfiehlt die Behörde, dass Bezahlportale ausschließlich über zertifizierte Domains erreichbar sind und Roaming-Verbünde wie Hubject auffällige Weiterleitungen monitoren.

Welche Rolle spielen Branche und Aufsicht?

Der Bundesverband eMobilität (BEM) und der Verband der Automobilindustrie (VDA) hatten zuletzt mehrfach auf die wachsende Angriffsfläche der Ladeinfrastruktur hingewiesen.
Mit dem Hochlauf der Elektromobilität steigt nach Angaben von Branchenbeobachtern auch die Zahl ungeschützter Endgeräte im öffentlichen Raum, die als Einfallstor dienen können.
Die Bundesnetzagentur, die als Marktüberwachungsbehörde für die Ladeinfrastruktur zuständig ist, hatte in ihrem jüngsten Lagebericht die Sicherheit der Bezahlprozesse als prüfungsbedürftig markiert.

Parallel laufen auf europäischer Ebene Vorgaben aus der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie), die Betreiber kritischer und wichtiger Infrastrukturen zu einem Mindeststandard an Sicherheitsvorkehrungen verpflichten.
Verstöße können nach dem deutschen Umsetzungsgesetz mit empfindlichen Bußgeldern belegt werden.
Das BSI kündigte an, in den kommenden Wochen eine technische Richtlinie speziell für die Ladeinfrastruktur zu veröffentlichen.

BSI warnt vor Quishing an Ladesäulen: Manipulierte QR-Codes leiten auf Phishing-Seiten

Was ist Quishing?

Welche Empfehlungen gibt das BSI?

Welche Rolle spielen Branche und Aufsicht?

Quellen

Häufige Fragen

Mehr zum Thema

Drei Wochen nach Windows-10-Ende: Kommunen hängen an altem Betriebssystem

Cybercrime-Lagebild 2025: 334.000 Fälle, zwei Drittel aus dem Ausland

Glasfaser-Doppelausbau: Kommunen bremsen teuren Überbau mit Vorrang-Satzungen