Wie man Quishing- oder QR-Code-Betrug verhindert
Artikelplan
Wahrscheinlich haben Sie diesen Monat Dutzende von QR-Codes gescannt, ohne groß darüber nachzudenken – im Restaurant, an einer Parkuhr oder vielleicht an einem Zahlungsterminal an der Kasse. Genau dieses automatische Vertrauen nutzen Betrüger derzeit aus, und die Zahlen sind kaum zu übersehen.
QR-Code-Phishing – besser bekannt als Quishing – stieg von 2022 bis 2023 um 587 % und legte 2025 um weitere 25 % zu, wobei bereits über 26 Millionen Amerikaner auf diese Weise auf bösartige Websites geleitet wurden. Und hier kommt der unangenehme Teil: Nur 39 % der Verbraucher können infizierte QR-Codes zuverlässig erkennen, bevor es zu spät ist, was bedeutet, dass die große Mehrheit völlig blind scannt.
Was passiert also tatsächlich, wie schaffen es die Angreifer, und was können Sie dagegen tun? Schauen wir uns das genauer an.
Quishing (QR + Phishing) ist die Praxis, gefährliche Links in QR-Codes zu verstecken, um Menschen auf gefälschte Websites umzuleiten, Zugangsdaten zu stehlen oder Malware zu installieren. Stellen Sie sich das als einen klassischen QR-Code-Hack vor – nur verpackt in einem Format, das das menschliche Auge einfach nicht entschlüsseln kann.
Das ist das Kernproblem bei der Sicherheit von QR-Codes: Im Gegensatz zu einem normalen Link in einer E-Mail, über den man mit der Maus fahren und eine Vorschau anzeigen kann, verrät ein QR-Code nichts, bis Ihr Browser die Zielseite bereits geladen hat. Es gibt keine falsch geschriebene Domain, die auffällt, keinen verdächtigen Ankertext, den man bemerkt. Die Gefahr von QR-Codes ist von Natur aus unsichtbar – und genau das macht Quishing-Phishing im Vergleich zu herkömmlichen Betrugsmaschen so effektiv.
Aus diesem Grund tauchten QR-Codes in 22 % aller Phishing-Angriffe in den Jahren 2024–2025 auf. Sie umgehen die meisten automatisierten E-Mail-Filter, da Sicherheitstools die in einem Bild verschlüsselte URL nicht lesen können.
Wenn Sie die gesamte Bedrohungslandschaft rund um QR-Codes verstehen, können Sie Gefahren erkennen, bevor Sie zum Opfer werden. Hier sind die häufigsten Angriffsmuster im Jahr 2025.
Die am weitesten verbreitete physische Methode besteht darin, gefälschte QR-Code-Aufkleber direkt über legitime Codes zu kleben – auf Parkuhren, Restauranttischen, Verkehrsschildern oder Verkaufsdisplays. Man glaubt, einen Kartenlink zu öffnen oder an einem Zahlungsterminal zu bezahlen. In Wirklichkeit gelangen die Kartendaten direkt auf das gefälschte Portal eines Betrügers. Eine kurze physische Überprüfung – ob der Code flach aufliegt oder so aussieht, als wäre er überklebt – kann einen vor dieser Masche vollständig bewahren.
Da Menschen QR-Codes in der Regel mit ihrem Smartphone scannen, umgehen die eingebetteten URLs Desktop-Sicherheitstools wie Firewalls und URL-Blocker für Endgeräte. Das macht QR-Code-Hacking per E-Mail besonders effektiv. Die Nachricht sieht aus, als stamme sie von Microsoft, Ihrer Bank oder der IT-Abteilung Ihres Unternehmens – komplett mit Logos und professioneller Formatierung.
Beachtliche 27 % dieser Quishing-Angriffe nutzen gefälschte Warnmeldungen zur Multi-Faktor-Authentifizierung: „Ihre Sitzung ist abgelaufen – scannen Sie den Code, um sich erneut zu verifizieren." Diese Dringlichkeit soll Sie davon abhalten, zweimal nachzudenken.
Dies ist eine der am häufigsten übersehenen Gefahren beim Scannen von QR-Codes: Allein Mitte 2024 wurden eine halbe Million Phishing-E-Mails mit in PDF-Anhängen eingebetteten QR-Codes entdeckt. Das Dokument sieht legitim aus – eine Rechnung, eine Leistungsabrechnung, eine Lieferbenachrichtigung – und der darin enthaltene QR-Code scheint eine praktische Abkürzung zu sein. Die FTC hat zudem einen Anstieg von Betrugsfällen per Post gemeldet, bei denen QR-Code-Malware-Links auf gefälschten Lieferscheinen oder Stromrechnungen gedruckt sind.
Die neueste und besorgniserregendste Entwicklung bei Quishing-Cybersicherheitsbedrohungen sind KI-generierte Phishing-Seiten, die von echten kaum zu unterscheiden sind. Angreifer können nun innerhalb von Minuten eine überzeugende gefälschte Buchungs- oder PayPal Anmeldeseite erstellen, die auf ein bestimmtes Ziel zugeschnitten ist und über realistische Markenelemente sowie personalisierte Texte verfügt. Dies hat die Prävention von QR-Code-Betrug sowohl für Einzelpersonen als auch für Organisationen erheblich erschwert.
Doch die Bedrohung geht weit über gefälschte Anmeldeseiten hinaus. KI wird mittlerweile in jeder Phase der Angriffskette eingesetzt – von der Zielauswahl über die Zustellung bis hin zur Umgehung von Sicherheitsmaßnahmen.
Die praktische Konsequenz ist klar: Die visuellen und kontextuellen Hinweise, die früher halfen, einen Betrug zu erkennen, werden unzuverlässig. Skepsis gegenüber der Quelle – nicht nur gegenüber dem Erscheinungsbild – ist nun der wichtigere Filter.
Die Sicherheitsrisiken von QR-Codes sind nicht gleichmäßig verteilt. Einige Branchen sind aufgrund der Art ihrer QR-Code-Nutzung und des Werts der von ihnen verarbeiteten Daten einem dramatisch höheren Risiko ausgesetzt.
| Branche | Warum sie ins Visier genommen wird | Häufige Angriffsvektoren |
|---|---|---|
| Finanz- und Bankwesen | Hochwertige Anmeldedaten, Zahlungsdaten | Gefälschte Anmeldeseiten von Bank-Apps, gefälschte PayPal-/Venmo-Portale mit Anmeldedaten-Erfassung |
| Gesundheitswesen | Sensible Patientendaten, Altsysteme | Gefälschte Patientenformulare, die per E-Mail versendet werden, QR-Codes auf gedruckten Aufnahmeunterlagen |
| Bildung | Große Nutzerbasis, geringes Sicherheitsbewusstsein | Gefälschte WLAN-Anmeldeportale auf dem Campus, QR-Codes in PDF-Kursunterlagen |
| Einzelhandel & E-Commerce | Zahlungsabwicklung, hohes Kundenaufkommen | Betrugsversuche mit Aufklebern auf legitimen Zahlungsterminals, gefälschte Rabatt- oder Treue-Buchungscodes |
| Gastronomie & Tourismus | Häufige Nutzung von QR-Codes, öffentliche Platzierung | Ersetzen von QR-Codes auf Speisekarten durch gefälschte Bestellseiten, gefälschte WLAN-Portale in Lobbys |
| Regierung | Ausnutzung des öffentlichen Vertrauens | Gefälschte Genehmigungsformulare, gefälschte Steuerzahlungsportale, die offizielle Websites imitieren |
| Logistik | Dringlichkeit der Paketzustellung | Gefälschte Tracking-URLs per SMS, QR-Codes auf gefälschten Lieferscheinen |
| Immobilien | Hochwertige Transaktionen | Gefälschte Immobilienanzeigen, betrügerische Formulare zur Unterzeichnung von Dokumenten mit Diebstahl von Zugangsdaten |
Mitarbeiter im Einzelhandel weisen die höchste Fehlerquote bei der Erkennung böswilliger Aktivitäten mit QR-Codes auf, während die Finanzbranche, das verarbeitende Gewerbe und das Gesundheitswesen durchweg zu den am häufigsten angegriffenen Sektoren gehören. Insbesondere Sicherheitsprobleme mit QR-Codes im Gesundheitswesen haben besonders schwerwiegende Folgen – Patientendaten, Versicherungsdaten und interne Systeme stehen auf dem Spiel.
Erstellen Sie jetzt einen QR-Code!
Fügen Sie Ihren QR-Code-Link ein, fügen Sie einen Namen für Ihren QR hinzu, wählen Sie eine Inhaltskategorie aus und generieren Sie!
Hier finden Sie eine praktische Übersicht, wie Sie sich schützen können – egal, ob Sie ein privater Nutzer, ein Unternehmer oder für Marketingmaterialien mit QR-Codes verantwortlich sind.
Die meisten modernen Smartphones zeigen Ihnen den Ziel-Link unmittelbar nach dem Scannen an, noch bevor Ihr Browser etwas lädt. Diese zehnsekündige Gewohnheit ist die Grundlage für die Sicherheit von QR-Codes – lassen Sie sie nicht aus.
Achten Sie beim Überprüfen der URL auf Folgendes:
Verwenden Sie eine sichere QR-Code-Scanner-App – nicht nur die Standardkamera Ihres Smartphones. Ein guter QR-Code-Sicherheitsprüfer markiert bekannte bösartige Domains, bevor etwas geöffnet wird, und bietet Ihnen so echten Schutz statt nur Bequemlichkeit.
Die Manipulationserkennung ist an stark frequentierten Orten ein echtes Problem. Bevor Sie etwas in der Öffentlichkeit scannen, schauen Sie genau hin: Liegt der Code bündig auf der Oberfläche auf oder sieht er leicht erhaben aus? Sind die Ränder sauber oder sieht es so aus, als wäre ein Aufkleber über etwas anderes geklebt worden?
Dies ist besonders wichtig an Parkuhren, Haltestellen und überall dort, wo es um die Sicherheit von QR-Code-Zahlungen geht – genau die Orte, auf die Betrüger es am meisten abgesehen haben, da Eile und Ablenkung ihnen in die Hände spielen.
Hier richtet QR-Phishing den größten Schaden an. Seriöse Unternehmen – Banken, Softwareanbieter, Personalabteilungen – bitten Sie nicht per E-Mail, einen QR-Code zu scannen, um Ihre Identität zu bestätigen oder Ihr Passwort zurückzusetzen. Wenn Sie eine solche Nachricht erhalten, rufen Sie die offizielle Website des Unternehmens direkt auf, indem Sie die Adresse manuell eingeben.
Scannen Sie niemals einen QR-Code aus einem Bild oder einem PDF-Anhang, den Sie nicht erwartet haben, egal wie offiziell er aussieht. Dies gilt auch für WhatsApp-Weiterleitungen und SMS-Nachrichten – Hacker, die QR-Codes nutzen, sind längst über E-Mails hinausgegangen.
Nicht alle Scan-Apps bieten das gleiche Maß an Schutz. Eine einfache Kamera liest lediglich das Muster – ein besonders sicherer QR-Code-Scanner gleicht die Ziel-URL in Echtzeit aktiv mit Bedrohungsdatenbanken ab. Suchen Sie nach Apps, die ausdrücklich Sicherheitsfunktionen für QR-Code-Scanner bieten: URL-Vorschau, Malware-Erkennung und Überprüfung der Domain-Reputation.
Das Überprüfen von QR-Codes, bevor Sie darauf reagieren, ist die effektivste Gewohnheit, die Sie sich aneignen können. Wenn eine App Ihnen den Link nicht anzeigt, bevor Sie ihn öffnen, suchen Sie sich eine, die dies tut.
Achten Sie unabhängig vom Kontext auf diese Warnsignale – egal, ob Sie einen QR-Code für eine Social-Media-Seite, ein WLAN-Netzwerk, einen vCard-Kontakt oder einen Zahlungslink scannen:
Fehler passieren – so begrenzen Sie den Schaden. Trennen Sie sofort die Verbindung zu WLAN und mobilen Daten, um die Kommunikation mit dem Server des Angreifers zu unterbrechen. Führen Sie einen Scan mit einer vertrauenswürdigen mobilen Sicherheits-App durch. Ändern Sie alle nach dem Scannen eingegebenen Passwörter, wobei Sie Finanz- und Arbeitskonten Vorrang einräumen sollten. Überprüfen Sie Ihren Installationsverlauf in den App-Stores auf unbekannte Einträge, widerrufen Sie unbekannte Berechtigungen und kontaktieren Sie sofort Ihre Bank, falls Zahlungsdaten betroffen waren.
Wenn Ihr Unternehmen QR-Codes in Marketingkampagnen, E-Commerce-Abläufen, Immobilienanzeigen, Aufnahmeformularen im Gesundheitswesen oder Speisekarten von Restaurants verwendet, gehört die Sicherung der QR-Codes zu Ihrer Verantwortung gegenüber den Nutzern.
Zu den wirksamen Sicherheitsmaßnahmen für QR-Codes in Unternehmen gehören die Verwendung stilisierter Codes mit Ihrem Logo und Ihren Markenfarben (die schwerer überzeugend zu fälschen sind), die klare Kommunikation an die Nutzer, was sie nach dem Scannen erwarten können, sowie die regelmäßige Überprüfung öffentlich zugänglicher Codes auf Anzeichen von Manipulation.
Darüber hinaus ist die Sicherheit des gewählten QR-Code-Generators von entscheidender Bedeutung. Ein besonders sicherer QR-Code-Generator überprüft die Ziel-URL bereits bei der Erstellung – und blockiert so bösartige Links, Spam und verbotene Inhalte, bevor der Code überhaupt veröffentlicht wird. Me-QR tut genau das: Jeder über den Dienst generierte dynamische QR-Code wird automatisch auf Malware, Phishing-Inhalte und Verstöße gegen Richtlinien überprüft, sodass weder Sie noch Ihre Kunden durch Ihre eigenen Materialien einem Sicherheitsrisiko durch QR-Codes ausgesetzt sind.
Die Gefahren bei der Verwendung von QR-Codes liegen nicht in der Technologie selbst – sie hängen davon ab, wohin ein Code führt und ob Sie sich die Mühe machen, dies zu überprüfen. Um sicher zu bleiben, müssen Sie QR-Codes nicht meiden – Sie müssen nur wissen, worauf Sie achten müssen, bevor Sie scannen.
Überprüfen Sie die URL. Sehen Sie sich den physischen Code genau an. Verwenden Sie einen QR-Sicherheitsscanner, der die Überprüfung für Sie übernimmt. Die Betrüger hinter diesen QR-Code-Hacks setzen darauf, dass die Nutzer auf Autopilot schalten. Und statistisch gesehen haben sie recht damit – 61 % der Menschen scannen immer noch, ohne zu überprüfen, wohin ein Code führt. Diese Zahl ist die eigentliche Schwachstelle. Schließen Sie diese Lücke, und Sie haben bereits mehr getan als die meisten anderen.
Verwalten Sie Ihre QR-Codes!
Sammeln Sie alle Ihre QR-Codes an einem Ort, zeigen Sie Statistiken an und ändern Sie Inhalte, indem Sie ein Konto erstellen
Anmelden
War dieser Artikel hilfreich?
Klicken Sie auf einen Stern, um zu bewerten!
Danke für Ihre Stimme!
Durchschnittliche Bewertung: 5/5 Stimmen: 2
Seien Sie der Erste, der diesen Beitrag bewertet!
Erstellen Sie Codes mit unserem kostenlosen QR-Codegenerator. Verständliche Schnittstelle, Abwechslung bei der Auswahl des Typs Ihres QR-Codes und der Möglichkeit, Statistiken anzusehen!
Laden Sie unsere App herunter
Jetzt ist es einfach und einfach, QR-Codes zu erstellen und zu scannen!
Information
Legal
Unterstützung
Unser Newsletter
Erstellen Sie Codes mit unserem kostenlosen QR-Codegenerator. Verständliche Schnittstelle, Abwechslung bei der Auswahl des Typs Ihres QR-Codes und der Möglichkeit, Statistiken anzusehen!
Laden Sie unsere App herunter
Jetzt ist es einfach und einfach, QR-Codes zu erstellen und zu scannen!
Copyright © 2018- Me-Team
