Quishing:
QR-Code Betrug erkennen.

So funktioniert Quishing

Das Prinzip ist simpel: Ein QR-Code führt nicht zur erwarteten Seite, sondern zu einer gefälschten Login-Seite. Da Sie einem QR-Code seine Ziel-URL nicht ansehen können, ist die Fälschung nahezu unsichtbar — anders als bei einem klickbaren Link in einer E-Mail.

Die Betrüger setzen auf drei Kanäle:

1. Manipulierte Aufkleber im öffentlichen Raum

Betrüger kleben gefälschte QR-Codes über die echten — auf Parkscheinautomaten, E-Ladesäulen, Restaurant-Speisekarten oder Fahrradverleih-Stationen. Wer scannt, landet statt auf der echten Bezahlseite auf einem Phishing-Portal, das Kreditkartendaten abgreift.

Beispiel: In mehreren deutschen Städten wurden 2025 manipulierte QR-Codes auf Ladesäulen entdeckt. Die Fake-Bezahlseite sah der echten des Ladeanbieters zum Verwechseln ähnlich.

2. Gefälschte Briefe und Benachrichtigungskarten

DHL warnt ausdrücklich: Betrüger werfen gefälschte DHL-Benachrichtigungskarten in Briefkästen, die einen QR-Code enthalten. Wer scannt, wird zur Eingabe persönlicher Daten oder Kreditkarteninformationen aufgefordert. DHL stellt klar: Echte QR-Codes auf DHL-Karten dienen nur zum Öffnen eines Packstationsfachs — nie zur Dateneingabe.

Auch gefälschte Briefe von Banken, Finanzämtern oder Versicherungen mit QR-Codes sind im Umlauf.

3. QR-Codes in E-Mails und PDFs

Da E-Mail-Spamfilter immer besser darin werden, schädliche Links zu erkennen, betten Betrüger den Link als QR-Code in ein Bild oder PDF ein. Der Filter kann den Code-Inhalt nicht lesen — das Opfer scannt den Code mit dem Smartphone und landet auf der Phishing-Seite.

Häufige Variante: Eine E-Mail angeblich vom IT-Support mit einem PDF im Anhang: „Bitte scannen Sie den QR-Code, um ein dringendes Dokument zu signieren." Der Code führt zu einer gefälschten Microsoft-365-Anmeldeseite.

Warum Quishing so gefährlich ist

• QR-Codes sind unsichtbare Links: Sie können die Ziel-URL nicht sehen, bevor Sie scannen
• Spamfilter sind machtlos: Der schädliche Link steckt in einem Bild — klassische Textfilter erkennen ihn nicht
• Gewöhnungseffekt: Seit der Pandemie scannen wir QR-Codes für Speisekarten, Tickets und Zahlungen routinemäßig — die natürliche Skepsis fehlt
• Kleines Display: Auf dem Smartphone fällt eine gefälschte URL weniger auf als auf dem PC
• KI macht es perfekt: Die Phishing-Seiten hinter dem Code sind dank KI grammatisch fehlerfrei und grafisch identisch mit dem Original

So schützen Sie sich vor Quishing

1. URL vor dem Öffnen prüfen: Moderne Kamera-Apps zeigen nach dem Scan die URL an, bevor sie geöffnet wird. Lesen Sie die Adresse genau: beispiel.de/123 ist echt, beispiel.de-123.com ist Betrug.
2. Physische QR-Codes hinterfragen: Ist der Aufkleber über einem anderen Code geklebt? Sieht er nachträglich angebracht aus? Dann scannen Sie nicht.
3. Nie direkt Login-Daten eingeben: Wenn ein gescannter QR-Code sofort nach Passwort, TAN oder Kreditkartennummer fragt — abbrechen.
4. Offizielle Apps nutzen: Für Parkscheine, Ladesäulen oder Pakete die offizielle App des Anbieters öffnen, statt einen öffentlichen QR-Code zu scannen.
5. Bei Briefen skeptisch sein: Ihre Bank, das Finanzamt oder DHL fordern nie per Brief-QR-Code zur Dateneingabe auf. Rufen Sie im Zweifelsfall direkt beim Absender an.
6. 2-Faktor-Authentifizierung: Selbst wenn Zugangsdaten gestohlen werden — mit 2FA kommt der Angreifer nicht ins Konto.

Was tun wenn Sie auf einen Quishing-Code hereingefallen sind?

1. Passwörter sofort ändern — zuerst E-Mail, dann Banking, dann alle anderen Konten
2. Bank kontaktieren: Wenn Kreditkartendaten eingegeben wurden, Karte sofort sperren (116 116)
3. Kontoauszüge prüfen: Unbekannte Buchungen reklamieren
4. Anzeige erstatten: Über die Online-Wache Ihres Bundeslandes
5. Vorfall melden: Verdächtige QR-Codes an den betroffenen Dienstleister melden (z. B. DHL: [email protected])

Quellen

• BSI: Warnung vor QR-Code-Phishing (Quishing)
• Aktiv Online: Wie funktioniert Quishing? (mit BSI & Verbraucherzentrale)
• DHL: Sicherheitshinweise zu gefälschten QR-Codes