Strategie

„Kein Anhang mehr – nur ein Link":
wie Betrüger über Bewerbungen ins Unternehmen kommen

Eine höfliche Bewerbung, ein sauberes Anschreiben, kein verdächtiger Anhang – nur ein Verweis auf das „Portfolio". Genau dieser eine Klick ist die Masche. Und er trifft die Stelle, die Bewerbungen öffnen muss.

11 Min. Lesezeit23. Juni 2026

Auf eine ausgeschriebene Stelle kommt eine Bewerbung herein, die zunächst keinen Verdacht weckt: ein freundliches Anschreiben, ein passender Werdegang, ein angemessener Ton. Auffällig ist nur, was fehlt – die eigentlichen Unterlagen. Statt Lebenslauf und Zeugnissen im Anhang steht da ein Satz: „Mein vollständiges Portfolio finden Sie hier." Darunter ein Link. Oder, im PDF, ein QR-Code zum Scannen.

Der Klick darauf führt nicht zu Bewerbungsunterlagen, sondern auf eine nachgebaute Anmeldeseite oder zu einer Datei, die im Hintergrund mehr tut, als sie vorgibt. Die moderne Variante des Bewerbungs-Betrugs kommt ganz ohne den klassischen, infizierten Anhang aus – und ist gerade deshalb so wirksam. Schauen wir an, warum der Umweg über den Link funktioniert, in welchen Formen er auftritt, woran Sie ihn erkennen und wie sich der Bewerbungseingang absichern lässt.

Wie aus einer Bewerbung ein Einfallstor wird

Der Link-Köder in vier Schritten

1. Tarnung
Seriöses AnschreibenPassender WerdegangKein Anhang
Vertrauen wecken
2. Der Link
„Portfolio hier"Cloud-DokumentQR-Code
Filter umgehen
3. Die Falle
Login-AbfrageSchad-DateiEchte Optik
Klick auslösen
4. Zugriff
ZugangsdatenSchadsoftwareWeg ins Netz
Schaden entsteht

Der gefährliche Schritt sieht aus wie ganz normale Bewerber-Höflichkeit

Wie der Link-Köder funktioniert

Die Masche lebt von einem einfachen Tausch: An die Stelle der verdächtigen Datei tritt ein unverdächtiger Verweis. Eine Bewerbung, die einen Link auf ein Portfolio oder ein geteiltes Dokument enthält, wirkt nicht nur harmlos – sie wirkt zeitgemäß. Viele Bewerber arbeiten heute mit Online-Portfolios und Cloud-Ablagen, der Link gehört also fast schon zum guten Ton. Genau diese Normalität nutzen Betrüger aus.

Der eigentliche Angriff liegt hinter dem Klick. Mal führt der Link zu einer nachgebauten Anmeldemaske, die Zugangsdaten abgreift; mal zu einem Dokument, das zum „Freischalten" eine Anmeldung verlangt; mal zu einer Datei, die beim Öffnen im Hintergrund Schadsoftware nachlädt. Was alle Varianten verbindet: Der gefährliche Teil befindet sich nicht in der E-Mail, sondern an ihrem Ziel – dort, wo der Eingangsfilter nicht mehr hinschaut.

Damit ist der Angriff den verwandten Maschen näher, als es zunächst scheint. Es ist dieselbe Grundidee wie beim QR-Code-Betrug, dem sogenannten Quishing: den schädlichen Inhalt so verpacken, dass die Schutzmechanismen ihn nicht als das erkennen, was er ist.

Der Klick liegt außerhalb des Filters

Mail-Schutz prüft, was durchs Postfach kommt: Absender, Text, Anhänge. Was hinter einem Link liegt, sieht er nur eingeschränkt – und ein QR-Code im PDF landet ohnehin erst auf dem Bildschirm, dann im Smartphone, dann im Browser. Jeder dieser Schritte entfernt den Inhalt weiter von der Stelle, die ihn eigentlich aufhalten soll.

Die häufigsten Varianten

Der Link-Köder tritt in mehreren Spielarten auf – oft kombiniert, weil die eine Form die andere glaubwürdiger macht. Diese Muster begegnen einem am häufigsten:

  • Der Portfolio-Link: Statt Anhang ein Verweis auf eine externe Seite, die angeblich Arbeitsproben zeigt – tatsächlich aber eine Anmeldung oder einen Download verlangt.
  • Das geteilte Cloud-Dokument: Eine Einladung zu einer Datei in einem Cloud-Speicher, die zum Ansehen erst eine Anmeldung mit echten Zugangsdaten fordert.
  • Der QR-Code im PDF: Ein Code im Anschreiben oder Lebenslauf, der auf dem Smartphone geöffnet wird – vorbei an den Schutzmechanismen des Firmenrechners.
  • Die Verknappung: Ein Hinweis, der Link sei „nur kurz gültig" oder man stehe „in finalen Gesprächen", um zum schnellen, unbedachten Klick zu drängen.
  • Die Rückfrage-Falle: Eine Nachricht, die zur Antwort auf eine Stellenanzeige passt und einen Link zu „weiteren Stellendetails" oder einem „Bewerbungsportal" enthält.

Ein verwandtes Muster ist die komplett erfundene Identität hinter der Bewerbung – gefälschte Personen, die sich in Auswahlprozesse einschleusen. Woran sich so etwas erkennen lässt, steht im Beitrag zu Deepfake-Bewerbern im Vorstellungsgespräch.

Was die Personalabteilung angreifbar macht

Kaum eine Stelle im Unternehmen ist so offen wie das Bewerbungspostfach. Es ist öffentlich ausgeschrieben, soll Nachrichten von völlig fremden Menschen entgegennehmen und lebt davon, dass Anhänge und Verweise tatsächlich geöffnet werden. Was überall sonst als Vorsicht gilt – fremde Links nicht anklicken –, steht hier im Widerspruch zur eigentlichen Aufgabe.

Dazu kommt der Takt des Alltags. Wer in kurzer Zeit viele Bewerbungen sichtet, prüft im Rhythmus, nicht mit dem Misstrauen eines Sicherheitsexperten. Genau auf diese Routine zielt der Angriff: Er gibt sich als das, was hundertfach im Postfach liegt, und verlässt sich darauf, dass der eine gefährliche Klick im Strom der harmlosen untergeht.

Häufiger Fehler:

Aus Sorge, eine vielversprechende Fachkraft zu verpassen, wird der Link „nur schnell" geöffnet, um den Bewerber nicht warten zu lassen. Dieser Reflex, niemanden vor den Kopf zu stoßen, ist genau der Hebel der Masche. Ein kurzer Moment des Innehaltens kostet keine gute Bewerbung – echte Kandidaten liefern ihre Unterlagen gern auch auf dem üblichen Weg nach.

Woran Sie den Köder erkennen

Den Unterschied macht selten ein einzelnes Merkmal, sondern das Zusammenspiel mehrerer Auffälligkeiten. Wer auf die folgenden Muster achtet, erkennt die Masche meist, bevor der Klick passiert.

Signale in der Nachricht

  • Die eigentlichen Unterlagen fehlen und liegen nur hinter einem Link oder QR-Code
  • Es wird Eile suggeriert – „nur kurz verfügbar", „bitte zeitnah bestätigen"
  • Anschreiben und Linkziel passen nicht zusammen, etwa fremde Namen in der Adresse

Signale nach dem Aufruf

  • Eine Anmeldeseite verlangt Zugangsdaten, bevor sich überhaupt etwas zeigt
  • Die Adresse ähnelt einem bekannten Dienst, weicht aber in Details ab
  • Zum „Ansehen" der Datei soll erst etwas installiert oder freigegeben werden

Im Zweifel gilt eine einfache Regel: Wer echtes Interesse an der Stelle hat, reicht seine Unterlagen problemlos auf dem von Ihnen vorgegebenen Weg ein. Eine höfliche Rückfrage über einen unabhängigen Kanal trennt den ernsthaften Bewerber vom Angreifer – und kostet keine echte Chance. Wie wichtig ein klar geführter Weg von der ersten Nachricht bis zur Rückmeldung ist, zeigt der Beitrag dazu, wie eine Anfrage-Strecke verlässlich ankommt.

Was im Verdachtsfall zu tun ist

Wurde ein verdächtiger Link bereits geöffnet, entscheidet die Reihenfolge über den Schaden. Panik hilft nicht, ein ruhiger, klarer Ablauf schon. Diese Schritte haben sich bewährt:

  1. Nichts weiter eingeben: Bei einer Anmeldeseite sofort stoppen – keine Zugangsdaten, keine Freigaben, keine Installation bestätigen.
  2. Zugänge sichern: Wurden bereits Daten eingegeben, die betroffenen Passwörter umgehend ändern und die Zugänge mit einer Zwei-Faktor-Bestätigung absichern.
  3. Intern melden: Den Vorfall an die IT-Verantwortlichen geben, das betroffene Gerät prüfen lassen – offen, nicht aus Scham verschwiegen.
  4. Beweis sichern: Die verdächtige Nachricht aufbewahren statt löschen, damit Herkunft und Ablauf nachvollziehbar bleiben.
  5. Team informieren: Kurz weitergeben, dass diese Masche gerade kursiert, damit niemand sonst im selben Strom auf denselben Klick hereinfällt.

Der wichtigste Schritt ist der erste: nicht weiterklicken. Jeder Vorgang, der nach dem Aufruf zusätzlich eine Anmeldung oder Installation verlangt, ist ein deutliches Stoppsignal – kein Grund, „erst recht" nachzusehen.

Praxis-Tipp:

Legen Sie in der Stellenanzeige und in der Eingangsbestätigung einen klaren Weg fest: über welches Formular oder welche Adresse Bewerbungen eingehen und welche Formate akzeptiert werden. Wer den offiziellen Weg von Anfang an benennt, macht jede Abweichung davon zum sichtbaren Warnsignal – und gibt dem Team eine einfache Begründung, einen fremden Link höflich abzulehnen.

Sichere Eingangswege schaffen

Die Masche zielt auf das offene Postfach. Der wirksamste Schutz besteht deshalb darin, den Eingang zu ordnen, ohne ihn zu verschließen – Bewerbungen sollen schließlich weiter ankommen, nur eben auf einem kontrollierten Weg.

Bewerbungsformular statt offenes Postfach

Ein strukturierter Eingang auf der eigenen Karriereseite nimmt Unterlagen kontrolliert entgegen, statt beliebige Links ins Haus zu lassen

Klare Formatvorgaben

Wer benennt, welche Dateiarten akzeptiert werden, macht ungewöhnliche Links und Formate sofort erkennbar

Team für die Masche sensibilisieren

Wer den Link- und QR-Code-Trick kennt, hält im richtigen Moment inne, statt aus Routine zu klicken

Einfacher Meldeweg

Eine klare Anlaufstelle für verdächtige Nachrichten macht aus einem stillen Zweifel eine geprüfte Entscheidung

Den größten Hebel hat dabei der Eingang selbst: Eine Karriereseite, die Bewerbungen strukturiert entgegennimmt, verwandelt das offene Postfach in einen geführten Weg. Ergänzend lohnt der Blick auf die sauberen Übergänge an den Rändern des Beschäftigungsverhältnisses – etwa darauf, wie ein geordnetes Trennen aller Zugänge beim Austritt eine ähnliche Lücke schließt.

Die 5 häufigsten Fehler beim Bewerbungseingang

Die größten Schäden entstehen selten durch raffinierte Technik, sondern durch ein paar wiederkehrende Reflexe im Umgang mit eingehenden Bewerbungen.

1
Fremde Links aus Höflichkeit öffnen

Der Wunsch, niemanden warten zu lassen, ist genau der Hebel der Masche

2
Nach Login-Abfrage weitermachen

Wer trotz Anmelde-Aufforderung weiterklickt, gibt Zugangsdaten aus der Hand

3
Den Vorfall verschweigen

Aus Scham nicht gemeldet, wächst der Schaden ungestört im Hintergrund

4
Kein definierter Eingangsweg

Wo jedes Format und jeder Link erlaubt ist, fällt die Abweichung nicht auf

5
QR-Codes aufs Privathandy scannen

Auf dem Smartphone fehlen die Schutzmechanismen des Firmen-Postfachs

Die ersten drei Punkte entscheiden über den akuten Schaden – die letzten beiden über die Höhe der Hürde.

Häufig gestellte Fragen

Offen bleiben, ohne die Tür offen zu lassen

Ein Bewerbungspostfach muss zugänglich sein – das ist seine Aufgabe, nicht seine Schwäche. Die Masche mit dem Link statt des Anhangs nutzt genau diese Zugänglichkeit aus, indem sie sich als das tarnt, was dort jeden Tag eingeht. Wer das Muster kennt, nimmt ihr den entscheidenden Vorteil: die Selbst­verständ­lich­keit.

Drei Dinge tragen den Schutz: einen klaren Eingangsweg vorgeben, im richtigen Moment innehalten statt aus Routine zu klicken und einen Vorfall offen statt still behandeln. Wer wissen will, wie sicher Bewerbungen aktuell bei ihm eingehen und wie sich ein kontrollierter Weg einrichten lässt, findet den Einstieg über unsere Begleitung rund um Recruiting und Karriereseite.

ÜBER DIE AUTORIN
Dagmar Seebo, CEO von ProXWorks®Dagmar Seebo

Dagmar Seebo, B.A., ist seit 1999 im E-Commerce tätig. Als CEO von ProXWorks® verbindet sie über 27 Jahre Marketing-Erfahrung mit digitalem Know-how.

Die Inhalte entstehen unter redaktioneller Verantwortung und fachlicher Prüfung unter Einsatz moderner KI-gestützter Systeme.

Antwort in 1 Werktag

Wir prüfen in 1 Werktag, wie sicher Bewerbungen bei Ihnen eingehen – und richten einen Weg ein, der gefährliche Links und Anhänge gar nicht erst ins Postfach lässt.

Eingangs-Check anfragen
ProXWorks® KI-News

Künstliche Intelligenz, die im Betrieb ankommt.

Jede Woche ein Fachbeitrag mit konkreten Anwendungen für kleine und mittlere Unternehmen. Jederzeit abbestellbar.

Zu den KI-News