„Kein Anhang mehr – nur ein Link":
wie Betrüger über Bewerbungen ins Unternehmen kommen
Eine höfliche Bewerbung, ein sauberes Anschreiben, kein verdächtiger Anhang – nur ein Verweis auf das „Portfolio". Genau dieser eine Klick ist die Masche. Und er trifft die Stelle, die Bewerbungen öffnen muss.
Auf eine ausgeschriebene Stelle kommt eine Bewerbung herein, die zunächst keinen Verdacht weckt: ein freundliches Anschreiben, ein passender Werdegang, ein angemessener Ton. Auffällig ist nur, was fehlt – die eigentlichen Unterlagen. Statt Lebenslauf und Zeugnissen im Anhang steht da ein Satz: „Mein vollständiges Portfolio finden Sie hier." Darunter ein Link. Oder, im PDF, ein QR-Code zum Scannen.
Der Klick darauf führt nicht zu Bewerbungsunterlagen, sondern auf eine nachgebaute Anmeldeseite oder zu einer Datei, die im Hintergrund mehr tut, als sie vorgibt. Die moderne Variante des Bewerbungs-Betrugs kommt ganz ohne den klassischen, infizierten Anhang aus – und ist gerade deshalb so wirksam. Schauen wir an, warum der Umweg über den Link funktioniert, in welchen Formen er auftritt, woran Sie ihn erkennen und wie sich der Bewerbungseingang absichern lässt.
Wie aus einer Bewerbung ein Einfallstor wird
Der Link-Köder in vier Schritten
Der gefährliche Schritt sieht aus wie ganz normale Bewerber-Höflichkeit
Wie der Link-Köder funktioniert
Die Masche lebt von einem einfachen Tausch: An die Stelle der verdächtigen Datei tritt ein unverdächtiger Verweis. Eine Bewerbung, die einen Link auf ein Portfolio oder ein geteiltes Dokument enthält, wirkt nicht nur harmlos – sie wirkt zeitgemäß. Viele Bewerber arbeiten heute mit Online-Portfolios und Cloud-Ablagen, der Link gehört also fast schon zum guten Ton. Genau diese Normalität nutzen Betrüger aus.
Der eigentliche Angriff liegt hinter dem Klick. Mal führt der Link zu einer nachgebauten Anmeldemaske, die Zugangsdaten abgreift; mal zu einem Dokument, das zum „Freischalten" eine Anmeldung verlangt; mal zu einer Datei, die beim Öffnen im Hintergrund Schadsoftware nachlädt. Was alle Varianten verbindet: Der gefährliche Teil befindet sich nicht in der E-Mail, sondern an ihrem Ziel – dort, wo der Eingangsfilter nicht mehr hinschaut.
Damit ist der Angriff den verwandten Maschen näher, als es zunächst scheint. Es ist dieselbe Grundidee wie beim QR-Code-Betrug, dem sogenannten Quishing: den schädlichen Inhalt so verpacken, dass die Schutzmechanismen ihn nicht als das erkennen, was er ist.
Mail-Schutz prüft, was durchs Postfach kommt: Absender, Text, Anhänge. Was hinter einem Link liegt, sieht er nur eingeschränkt – und ein QR-Code im PDF landet ohnehin erst auf dem Bildschirm, dann im Smartphone, dann im Browser. Jeder dieser Schritte entfernt den Inhalt weiter von der Stelle, die ihn eigentlich aufhalten soll.
Warum der Anhang ausgedient hat
Lange war der präparierte Anhang das Standardwerkzeug – die Bewerbung mit der Datei, die beim Öffnen Schaden anrichtet. Doch genau dort sind die Schutzwälle inzwischen hoch. Virenscanner prüfen Anhänge zuverlässig, viele Postfächer blockieren ausführbare Dateien grundsätzlich, und auffällige Formate landen automatisch in Quarantäne. Der direkte Weg ist eng geworden.
Der Link führt um diese Mauer herum. Er trägt nichts Verdächtiges in sich, er zeigt nur woandershin. Für Betrüger bringt das gleich mehrere Vorteile: Das Ziel lässt sich jederzeit austauschen, es lässt sich nach dem ersten Klick anders verhalten als beim Test des Filters, und es lässt sich so gestalten, dass es einem bekannten Dienst täuschend ähnlich sieht. Aus Sicht des Angreifers ist der Link das flexiblere, unauffälligere Werkzeug.
Dahinter steht dieselbe Logik wie bei der Übernahme fremder Identitäten im Netz: Nicht die Technik überzeugt das Opfer, sondern der vertraute Rahmen. Wie weit das gehen kann, zeigt der Beitrag dazu, wie Betrüger ganze Firmen als Köder klonen.
Die häufigsten Varianten
Der Link-Köder tritt in mehreren Spielarten auf – oft kombiniert, weil die eine Form die andere glaubwürdiger macht. Diese Muster begegnen einem am häufigsten:
- Der Portfolio-Link: Statt Anhang ein Verweis auf eine externe Seite, die angeblich Arbeitsproben zeigt – tatsächlich aber eine Anmeldung oder einen Download verlangt.
- Das geteilte Cloud-Dokument: Eine Einladung zu einer Datei in einem Cloud-Speicher, die zum Ansehen erst eine Anmeldung mit echten Zugangsdaten fordert.
- Der QR-Code im PDF: Ein Code im Anschreiben oder Lebenslauf, der auf dem Smartphone geöffnet wird – vorbei an den Schutzmechanismen des Firmenrechners.
- Die Verknappung: Ein Hinweis, der Link sei „nur kurz gültig" oder man stehe „in finalen Gesprächen", um zum schnellen, unbedachten Klick zu drängen.
- Die Rückfrage-Falle: Eine Nachricht, die zur Antwort auf eine Stellenanzeige passt und einen Link zu „weiteren Stellendetails" oder einem „Bewerbungsportal" enthält.
Ein verwandtes Muster ist die komplett erfundene Identität hinter der Bewerbung – gefälschte Personen, die sich in Auswahlprozesse einschleusen. Woran sich so etwas erkennen lässt, steht im Beitrag zu Deepfake-Bewerbern im Vorstellungsgespräch.
Was die Personalabteilung angreifbar macht
Kaum eine Stelle im Unternehmen ist so offen wie das Bewerbungspostfach. Es ist öffentlich ausgeschrieben, soll Nachrichten von völlig fremden Menschen entgegennehmen und lebt davon, dass Anhänge und Verweise tatsächlich geöffnet werden. Was überall sonst als Vorsicht gilt – fremde Links nicht anklicken –, steht hier im Widerspruch zur eigentlichen Aufgabe.
Dazu kommt der Takt des Alltags. Wer in kurzer Zeit viele Bewerbungen sichtet, prüft im Rhythmus, nicht mit dem Misstrauen eines Sicherheitsexperten. Genau auf diese Routine zielt der Angriff: Er gibt sich als das, was hundertfach im Postfach liegt, und verlässt sich darauf, dass der eine gefährliche Klick im Strom der harmlosen untergeht.
Aus Sorge, eine vielversprechende Fachkraft zu verpassen, wird der Link „nur schnell" geöffnet, um den Bewerber nicht warten zu lassen. Dieser Reflex, niemanden vor den Kopf zu stoßen, ist genau der Hebel der Masche. Ein kurzer Moment des Innehaltens kostet keine gute Bewerbung – echte Kandidaten liefern ihre Unterlagen gern auch auf dem üblichen Weg nach.
Woran Sie den Köder erkennen
Den Unterschied macht selten ein einzelnes Merkmal, sondern das Zusammenspiel mehrerer Auffälligkeiten. Wer auf die folgenden Muster achtet, erkennt die Masche meist, bevor der Klick passiert.
Signale in der Nachricht
- Die eigentlichen Unterlagen fehlen und liegen nur hinter einem Link oder QR-Code
- Es wird Eile suggeriert – „nur kurz verfügbar", „bitte zeitnah bestätigen"
- Anschreiben und Linkziel passen nicht zusammen, etwa fremde Namen in der Adresse
Signale nach dem Aufruf
- Eine Anmeldeseite verlangt Zugangsdaten, bevor sich überhaupt etwas zeigt
- Die Adresse ähnelt einem bekannten Dienst, weicht aber in Details ab
- Zum „Ansehen" der Datei soll erst etwas installiert oder freigegeben werden
Im Zweifel gilt eine einfache Regel: Wer echtes Interesse an der Stelle hat, reicht seine Unterlagen problemlos auf dem von Ihnen vorgegebenen Weg ein. Eine höfliche Rückfrage über einen unabhängigen Kanal trennt den ernsthaften Bewerber vom Angreifer – und kostet keine echte Chance. Wie wichtig ein klar geführter Weg von der ersten Nachricht bis zur Rückmeldung ist, zeigt der Beitrag dazu, wie eine Anfrage-Strecke verlässlich ankommt.
Was im Verdachtsfall zu tun ist
Wurde ein verdächtiger Link bereits geöffnet, entscheidet die Reihenfolge über den Schaden. Panik hilft nicht, ein ruhiger, klarer Ablauf schon. Diese Schritte haben sich bewährt:
- Nichts weiter eingeben: Bei einer Anmeldeseite sofort stoppen – keine Zugangsdaten, keine Freigaben, keine Installation bestätigen.
- Zugänge sichern: Wurden bereits Daten eingegeben, die betroffenen Passwörter umgehend ändern und die Zugänge mit einer Zwei-Faktor-Bestätigung absichern.
- Intern melden: Den Vorfall an die IT-Verantwortlichen geben, das betroffene Gerät prüfen lassen – offen, nicht aus Scham verschwiegen.
- Beweis sichern: Die verdächtige Nachricht aufbewahren statt löschen, damit Herkunft und Ablauf nachvollziehbar bleiben.
- Team informieren: Kurz weitergeben, dass diese Masche gerade kursiert, damit niemand sonst im selben Strom auf denselben Klick hereinfällt.
Der wichtigste Schritt ist der erste: nicht weiterklicken. Jeder Vorgang, der nach dem Aufruf zusätzlich eine Anmeldung oder Installation verlangt, ist ein deutliches Stoppsignal – kein Grund, „erst recht" nachzusehen.
Legen Sie in der Stellenanzeige und in der Eingangsbestätigung einen klaren Weg fest: über welches Formular oder welche Adresse Bewerbungen eingehen und welche Formate akzeptiert werden. Wer den offiziellen Weg von Anfang an benennt, macht jede Abweichung davon zum sichtbaren Warnsignal – und gibt dem Team eine einfache Begründung, einen fremden Link höflich abzulehnen.
Sichere Eingangswege schaffen
Die Masche zielt auf das offene Postfach. Der wirksamste Schutz besteht deshalb darin, den Eingang zu ordnen, ohne ihn zu verschließen – Bewerbungen sollen schließlich weiter ankommen, nur eben auf einem kontrollierten Weg.
Ein strukturierter Eingang auf der eigenen Karriereseite nimmt Unterlagen kontrolliert entgegen, statt beliebige Links ins Haus zu lassen
Wer benennt, welche Dateiarten akzeptiert werden, macht ungewöhnliche Links und Formate sofort erkennbar
Wer den Link- und QR-Code-Trick kennt, hält im richtigen Moment inne, statt aus Routine zu klicken
Eine klare Anlaufstelle für verdächtige Nachrichten macht aus einem stillen Zweifel eine geprüfte Entscheidung
Den größten Hebel hat dabei der Eingang selbst: Eine Karriereseite, die Bewerbungen strukturiert entgegennimmt, verwandelt das offene Postfach in einen geführten Weg. Ergänzend lohnt der Blick auf die sauberen Übergänge an den Rändern des Beschäftigungsverhältnisses – etwa darauf, wie ein geordnetes Trennen aller Zugänge beim Austritt eine ähnliche Lücke schließt.
Die 5 häufigsten Fehler beim Bewerbungseingang
Die größten Schäden entstehen selten durch raffinierte Technik, sondern durch ein paar wiederkehrende Reflexe im Umgang mit eingehenden Bewerbungen.
Der Wunsch, niemanden warten zu lassen, ist genau der Hebel der Masche
Wer trotz Anmelde-Aufforderung weiterklickt, gibt Zugangsdaten aus der Hand
Aus Scham nicht gemeldet, wächst der Schaden ungestört im Hintergrund
Wo jedes Format und jeder Link erlaubt ist, fällt die Abweichung nicht auf
Auf dem Smartphone fehlen die Schutzmechanismen des Firmen-Postfachs
Die ersten drei Punkte entscheiden über den akuten Schaden – die letzten beiden über die Höhe der Hürde.
Häufig gestellte Fragen
Weil der Anhang die auffälligste Stelle ist. Eingangsfilter und Virenscanner prüfen Dateianhänge zuverlässig, viele Postfächer blockieren ausführbare Dateien von vornherein. Ein Link oder ein QR-Code wirkt dagegen harmlos und passiert die meisten Filter ungehindert. Die Schad-Datei oder die Phishing-Seite liegt erst am Ende des Klicks – außerhalb der Reichweite des Mail-Scanners. Hinzu kommt: Ein Link auf ein vermeintliches Portfolio oder ein Cloud-Dokument ist im Bewerbungskontext völlig normal, fällt also nicht aus dem Rahmen.
Verdächtig ist die Kombination aus Druck und Umweg: Der eigentliche Inhalt – Lebenslauf, Portfolio, Zeugnisse – liegt nicht in der Nachricht, sondern hinter einem Link oder QR-Code, und es wird nahegelegt, zügig zu reagieren. Achten Sie auf Linkziele, die nicht zur genannten Person passen, auf Login-Abfragen nach dem Klick und auf Adressen, die einem bekannten Dienst nur ähneln. Im Zweifel den Link nicht öffnen, sondern den Bewerber über einen unabhängigen Kanal um die Unterlagen auf dem üblichen Weg bitten.
Ein QR-Code ist zunächst nur ein verpackter Link – das Risiko steckt im Ziel, nicht im Code selbst. Gefährlich wird er, weil er das Ziel verbirgt: Wer ihn mit dem Smartphone scannt, landet oft mit einem Fingertipp auf einer Seite, ohne die Adresse vorher gelesen zu haben. Auf dem privaten oder dienstlichen Handy fehlen zudem häufig die Schutzmechanismen des Firmen-Postfachs. Seriöse Bewerbungen brauchen keinen QR-Code; taucht einer auf, ist Zurückhaltung angebracht.
Ruhig und der Reihe nach vorgehen. Wurden nach dem Klick Zugangsdaten eingegeben, sollten diese Passwörter umgehend geändert und – wo möglich – die betroffenen Zugänge mit einer Zwei-Faktor-Bestätigung abgesichert werden. Den Vorfall an die IT-Verantwortlichen melden, das betroffene Gerät prüfen lassen und die verdächtige Nachricht aufbewahren, statt sie zu löschen. Wichtig ist, den Vorgang nicht aus Scham zu verschweigen: Je früher er bekannt ist, desto kleiner bleibt der mögliche Schaden.
Der wirksamste Hebel ist ein definierter Eingangsweg statt eines offenen Postfachs. Ein strukturiertes Bewerbungsformular auf der eigenen Karriereseite nimmt Unterlagen kontrolliert entgegen, statt beliebige Links und Anhänge ins Haus zu lassen. Ergänzend hilft eine klare Absprache im Team, welche Dateiformate akzeptiert werden, eine Sensibilisierung für die Link- und QR-Code-Masche und ein einfacher Meldeweg für verdächtige Nachrichten. So bleibt die nötige Offenheit für echte Bewerbungen erhalten, ohne die Tür für Angriffe offenzulassen.
Gerade sie. Die Masche ist nicht auf ein bestimmtes Opfer zugeschnitten, sondern wird breit gestreut – überall dort, wo eine offene Stelle ausgeschrieben ist und ein Postfach Bewerbungen entgegennimmt. In kleineren Betrieben übernimmt die Sichtung oft eine einzelne Person ohne eigene IT-Abteilung im Rücken, was die Hürde für Angreifer senkt. Der Schutz hängt deshalb weniger von der Unternehmensgröße ab als von einem klaren Eingangsweg und einem aufmerksamen Team.
Offen bleiben, ohne die Tür offen zu lassen
Ein Bewerbungspostfach muss zugänglich sein – das ist seine Aufgabe, nicht seine Schwäche. Die Masche mit dem Link statt des Anhangs nutzt genau diese Zugänglichkeit aus, indem sie sich als das tarnt, was dort jeden Tag eingeht. Wer das Muster kennt, nimmt ihr den entscheidenden Vorteil: die Selbstverständlichkeit.
Drei Dinge tragen den Schutz: einen klaren Eingangsweg vorgeben, im richtigen Moment innehalten statt aus Routine zu klicken und einen Vorfall offen statt still behandeln. Wer wissen will, wie sicher Bewerbungen aktuell bei ihm eingehen und wie sich ein kontrollierter Weg einrichten lässt, findet den Einstieg über unsere Begleitung rund um Recruiting und Karriereseite.
Wir prüfen in 1 Werktag, wie sicher Bewerbungen bei Ihnen eingehen – und richten einen Weg ein, der gefährliche Links und Anhänge gar nicht erst ins Postfach lässt.
Künstliche Intelligenz, die im Betrieb ankommt.
Jede Woche ein Fachbeitrag mit konkreten Anwendungen für kleine und mittlere Unternehmen. Jederzeit abbestellbar.
Zu den KI-News