Zwei besonders aktuelle Bedrohungen sind KI-gestützte Phishing-Angriffe und manipulierte QR-Codes (Quishing). Beide Angriffsformen werden immer raffinierter und können erhebliche wirtschaftliche Schäden verursachen.

KI-Phishing: Wenn Künstliche Intelligenz die Täuschung perfektioniert

Phishing-Angriffe sind nicht neu – aber die Art und Weise, wie sie durchgeführt werden, ändert sich rasant. Früher waren betrügerische E-Mails oft leicht an Rechtschreibfehlern oder unpassenden Formulierungen zu erkennen. Heute generieren KI-gestützte Phishing-Tools täuschend echte Nachrichten, die selbst erfahrene Profis in die Falle locken können.

Eine aktuelle Studie zeigt alarmierende Zahlen:

• KI-generierte Phishing-E-Mails haben eine Erfolgsquote von 54 % – genauso hoch wie von Menschen erstellte Nachrichten.
• Vollautomatisierte Angriffe sind genauso effektiv wie solche, bei denen Menschen Hand anlegen.
• KI kann in 88 % der Fälle genaue und nützliche Informationen über die Zielpersonen sammeln, um gezielte Angriffe vorzubereiten.
• Die Rentabilität von Phishing-Angriffen steigt durch KI um das bis zu 50-fache, da automatisierte Prozesse deutlich kostengünstiger sind.

Warum ist das Baugewerbe besonders gefährdet?

Die Unternehmen in der Baubranche sind zunehmend vernetzt: Angebote, Verträge, Rechnungen und Baupläne werden digital übermittelt. Gleichzeitig arbeiten viele Akteure – Subunternehmen, Lieferanten, Behörden, Bauträger, Ingenieur- und Architekturbüros – zusammen. Diese komplexen Kommunikationsstrukturen bieten eine große Angriffsfläche.

Ein typisches Szenario:

Ein Bauunternehmen erhält eine scheinbar legitime E-Mail von einem langjährigen Lieferanten. Der Absender informiert über eine neue Bankverbindung für ausstehende Zahlungen. In Wirklichkeit handelt es sich um eine gefälschte Nachricht, die von einer KI generiert wurde und sich aufgrund des bisherigen E-Mail-Verkehrs täuschend echt liest. Ein unachtsamer Klick – und die Zahlung geht statt an den eigentlichen Partner an Kriminelle.

Wie kann sich Ihr Unternehmen schützen?

• Technische Sicherheitsmaßnahmen: Der Einsatz von KI-gestützten Erkennungssystemen kann helfen, Phishing-Versuche frühzeitig zu identifizieren.
• Schulung und Sensibilisierung: Mitarbeitende sollten regelmäßig über aktuelle Betrugsmaschen informiert und geschult werden.
• Prüfroutinen einführen: Zahlungsanweisungen und Bankdaten sollten immer durch einen zweiten Kommunikationskanal verifiziert werden (z. B. telefonische Rücksprache).
• Zero-Trust-Ansatz etablieren: Jede eingehende E-Mail sollte kritisch hinterfragt werden, insbesondere wenn sie unerwartete Zahlungsaufforderungen oder Dateianhänge enthält.

QR-Codes: Unterschätzte Risiken außerhalb des Unternehmens

Ob Baustellenpläne, Sicherheitshinweise oder Werbematerial – QR-Codes sind auch aus der Baubranche nicht mehr wegzudenken. Sie ermöglichen den schnellen Zugriff auf wichtige Informationen, sparen Papier und erleichtern den Datenaustausch. Doch genau diese Bequemlichkeit machen sich Cyberkriminelle zunutze.

Das unterschätzte Risiko: QR-Code-Phishing (Quishing)

Während viele Unternehmen ihre internen Systeme gut absichern, lauern die Gefahren oft im öffentlichen Raum. Kriminelle manipulieren QR-Codes auf Werbeplakaten, Tischaufstellern in Restaurants oder öffentlichen Plakaten. Diese gefälschten Codes führen unbemerkt auf bösartige Webseiten, wo Nutzer sensible Daten eingeben oder unwissentlich Schadsoftware auf ihr mobiles Gerät laden.

Angriffsmethoden und reale Gefahren

• Manipulierte QR-Codes auf Baustellen

An der Eingangstür einer Baustelle hängt ein Plakat mit Sicherheitshinweisen. Ein Cyberkrimineller klebt unbemerkt einen manipulierten QR-Code darüber, der statt der eigentlichen Anweisung auf eine gefälschte Webseite führt. Wer diesen Code scannt, kann eine schädliche App herunterladen oder Zugangsdaten preisgeben.

• Gefälschte QR-Codes auf Parkscheinautomaten

Immer mehr Parkhausbetreiber setzen auf digitale Bezahlungslösungen per QR-Code. Betrüger bringen über den echten QR-Code täuschend echte Aufkleber an. Wer den gefälschten Code scannt, gelangt auf eine betrügerische Bezahlseite und gibt dort unbewusst seine Kreditkartendaten ein.

• Quishing-Attacken auf Messen und Veranstaltungen

Auf Baumessen oder Kongressen sind QR-Codes für Veranstaltungsinformationen, digitale Visitenkarten und Gewinnspiele gang und gäbe. Besucher, die einen manipulierten Code einscannen, können auf eine Phishing-Website gelangen, die persönliche Daten wie E-Mail-Adressen oder Passwörter abgreift.

So schützen Sie sich und Ihre Mitarbeitenden vor QR-Code-Betrug

• Prüfen Sie öffentliche QR-Codes genau: Vor dem Scannen sicherstellen, dass der Code nicht überklebt oder verändert wurde.
• URL vor der Weiterleitung prüfen: Nach dem Scannen erscheint oft eine Vorschau der Zieladresse – sieht diese verdächtig aus, sollte der Vorgang sofort abgebrochen werden.
• Eigene QR-Codes regelmäßig überprüfen: Unternehmen sollten sicherstellen, dass ihre eigenen gedruckten QR-Codes nicht manipuliert wurden, insbesondere in öffentlich zugänglichen Bereichen.
• Alternative Zugangswege nutzen: Statt sich ausschließlich auf QR-Codes zu verlassen, sollten Unternehmen alternative Zugangswege anbieten, zum Beispiel durch direkte Links auf der Unternehmenswebsite.

Fazit: Cyber-Sicherheit als unternehmerische Verantwortung

Die Bedrohungen durch KI-gestützte Phishing-Angriffe und manipulierte QR-Codes zeigen, wie stark sich die Angriffsmethoden der Cyberkriminellen weiterentwickeln. Unternehmen der Bauwirtschaft dürfen diese Gefahren nicht unterschätzen. Neben der technischen Absicherung ist vor allem die Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter entscheidend. Ein bewusster Umgang mit digitalen Risiken schützt nicht nur das eigene Unternehmen, sondern auch Partner, Kunden und Dienstleister vor wirtschaftlichem Schaden.

Vorsicht, Wachsamkeit und regelmäßige Sicherheitsüberprüfungen sollten daher fester Bestandteil jeder digitalen Strategie in der Baubranche sein – denn die beste Verteidigung sind gut informierte Mitarbeiterinnen und Mitarbeiter.

Autorin

Regina Mühlich ist Wirtschaftsjuristin und Geschäftsführerin der AdOrga Solutions GmbH mit den Schwerpunkten Datenschutz und Compliance. Sie unterstützt nationale und internationale Unternehmen unterschiedlicher Branchen vor allem als externe Datenschutzbeauftragte und KI-Beraterin. Sie ist Vorständin des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Einen Auszug dieses Rechtstipps finden Sie in Ausgabe 03_2025.