facebook-pixel
L
Lunyb

QR-Code-Betrug: So Schützen Sie Sich vor Quishing 2026

L
Lunyb Sicherheitsteam
··8 min read

QR-Codes sind aus dem Alltag nicht mehr wegzudenken – ob im Restaurant, auf Parkscheinautomaten, in Werbeanzeigen oder auf Rechnungen. Doch genau diese Allgegenwart machen sich Kriminelle zunutze. Sogenanntes Quishing (QR-Code-Phishing) ist 2026 eine der am schnellsten wachsenden Betrugsformen in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der BfDI warnen verstärkt vor manipulierten Codes, die Nutzer auf Phishing-Seiten leiten oder Schadsoftware installieren.

In diesem Leitfaden erfahren Sie, wie QR-Code-Betrug funktioniert, welche Maschen Kriminelle aktuell einsetzen und mit welchen konkreten Maßnahmen Sie sich – privat wie beruflich – wirksam schützen können.

Was ist QR-Code-Betrug (Quishing)?

QR-Code-Betrug ist eine Form des Phishings, bei der Kriminelle manipulierte QR-Codes einsetzen, um sensible Daten zu stehlen oder Schadsoftware auf das Gerät des Opfers zu schleusen. Der Begriff Quishing setzt sich aus „QR" und „Phishing" zusammen.

Im Gegensatz zu klassischem Phishing per E-Mail umgehen QR-Codes viele technische Schutzmaßnahmen: Spam-Filter, URL-Scanner und sogar geschulte Mitarbeiter erkennen die schädliche Adresse oft nicht, weil sie hinter einem unscheinbaren schwarz-weißen Muster verborgen ist. Erst beim Scannen wird die URL geladen – und dann meist direkt im mobilen Browser, wo Sicherheitswarnungen weniger sichtbar sind.

Warum Quishing 2026 boomt

  • Vertrauensvorschuss: Nutzer scannen QR-Codes oft ohne nachzudenken.
  • Mobile Endgeräte: Smartphones haben in der Regel weniger Schutzsoftware als Desktops.
  • Schwer erkennbar: Die Ziel-URL ist vor dem Scan nicht sichtbar.
  • Niedrige Hürde: Aufkleber mit gefälschten Codes kosten Cent-Beträge.
  • KI-Unterstützung: Phishing-Seiten lassen sich heute in Minuten täuschend echt klonen.

Die häufigsten QR-Code-Betrugsmaschen 2026

Kriminelle werden immer kreativer. Die folgenden Methoden treten in Deutschland besonders häufig auf:

1. Manipulierte Parkscheinautomaten

Auf echten Parkautomaten kleben Betrüger gefälschte QR-Codes über die originalen Codes für Bezahl-Apps. Nutzer landen auf nachgebauten Websites und geben dort Kreditkartendaten ein. Allein in München, Berlin und Köln wurden 2025 hunderte Fälle dokumentiert.

2. Gefälschte Strafzettel und Bußgeldbescheide

Unter Scheibenwischern auftauchende „Strafzettel" oder per Post zugestellte falsche Bußgeldbescheide enthalten einen QR-Code zur „schnellen Bezahlung". Die Zahlung landet direkt bei Kriminellen.

3. Restaurant-Speisekarten

In gastronomischen Betrieben werden Originalcodes auf Tischen überklebt. Statt der Speisekarte erscheint eine Phishing-Seite, die nach Login-Daten oder Zahlungsinformationen fragt.

4. Quishing per E-Mail

Geschäfts-E-Mails mit Betreffzeilen wie „Bitte Multi-Faktor-Authentifizierung erneuern" enthalten einen QR-Code. Da der Mitarbeiter den Code mit dem privaten Handy scannt, umgeht der Angriff alle Firmen-Sicherheitssysteme.

5. Gefälschte Paket-Benachrichtigungen

Zettel im Briefkasten oder an der Haustür imitieren DHL, Hermes oder DPD. Der QR-Code soll angeblich zur Sendungsverfolgung führen – tatsächlich werden Bankdaten abgegriffen.

6. Spendenaufrufe und gefälschte Wohltätigkeit

Besonders nach Katastrophen tauchen Plakate mit QR-Codes für angebliche Spenden auf. Die Empfänger sind keine Hilfsorganisationen, sondern Betrüger.

So funktioniert ein typischer Quishing-Angriff

Ein klassischer QR-Code-Betrug läuft in der Regel in fünf Schritten ab:

  1. Vorbereitung: Der Angreifer klont eine seriöse Website (z. B. Bezahl-Portal, Bank-Login) und registriert eine ähnliche Domain.
  2. Code-Erstellung: Ein QR-Code wird generiert, der auf die gefälschte Seite verweist.
  3. Verteilung: Der Code wird als Aufkleber, E-Mail-Anhang, Plakat oder Brief verteilt.
  4. Scan und Weiterleitung: Das Opfer scannt den Code und landet auf der Phishing-Seite – oft mit korrektem Logo und Design.
  5. Datendiebstahl: Eingaben (Login, Zahlungsdaten, TANs) werden direkt an die Angreifer übermittelt.

Wie Sie gefälschte QR-Codes erkennen

Es gibt mehrere visuelle und kontextuelle Warnsignale, die auf einen manipulierten QR-Code hinweisen können:

Visuelle Anzeichen

  • Aufkleber über Aufkleber: Achten Sie auf Ränder, Wölbungen oder unterschiedliches Material.
  • Schiefe Platzierung: Offizielle Codes sind meist exakt ausgerichtet.
  • Fehlende Logos oder Branding: Seriöse Unternehmen integrieren QR-Codes meist in ein Design.
  • Druckqualität: Verpixelte oder unsaubere Codes sind verdächtig.

Kontextuelle Anzeichen

  • Der Code befindet sich an einem ungewöhnlichen Ort (z. B. auf einer Straßenlaterne).
  • Dringlichkeitsappelle („Sofort bezahlen", „Konto sperrt in 24 Stunden").
  • Die URL-Vorschau zeigt eine kryptische oder fremdsprachige Domain.
  • Die Zielseite fordert sofort sensible Daten an.

Vergleich: Sichere vs. gefährliche QR-Code-Situationen

SituationRisikoEmpfehlung
QR-Code in offizieller App oder WebsiteNiedrigBedenkenlos scannen
QR-Code auf gedrucktem Buch oder MagazinNiedrigScannen, URL prüfen
QR-Code auf Restaurant-TischMittelAuf Aufkleber-Manipulation prüfen
QR-Code auf ParkautomatHochLieber App direkt nutzen
QR-Code in unerwarteter E-MailSehr hochNicht scannen, löschen
QR-Code auf Strafzettel/Brief ohne AbsenderSehr hochIgnorieren, ggf. Polizei melden
QR-Code auf öffentlichem PlakatMittel bis hochURL vor Aufruf prüfen

10 konkrete Schutzmaßnahmen gegen QR-Code-Betrug

Mit den folgenden Maßnahmen reduzieren Sie das Risiko deutlich:

  1. URL-Vorschau aktivieren: Nutzen Sie eine Scanner-App, die die Ziel-URL vor dem Öffnen anzeigt. iOS- und Android-Standard-Kameras tun dies meist automatisch.
  2. Domain prüfen: Achten Sie auf Tippfehler, ungewöhnliche Endungen (.xyz, .top) oder verdächtige Subdomains.
  3. HTTPS kontrollieren: Seriöse Seiten verwenden HTTPS – wobei das allein kein Sicherheitsgarant ist.
  4. Keine sensiblen Daten eingeben: Geben Sie nach einem QR-Code-Scan niemals TANs, Passwörter oder Kreditkartendaten ein, ohne die URL doppelt geprüft zu haben.
  5. App statt Code: Bei Parkscheinautomaten und ähnlichen Anwendungen lieber die offizielle App direkt öffnen.
  6. QR-Codes auf Aufklebern misstrauen: Lösen Sie verdächtige Aufkleber vorsichtig ab und melden Sie den Vorfall dem Betreiber.
  7. Mobiles Betriebssystem aktuell halten: Sicherheitsupdates schließen viele Browser-Schwachstellen.
  8. Sichere DNS-Resolver verwenden: Verschlüsseltes DNS (DoH/DoT) bei Anbietern wie Quad9 blockiert viele bekannte Phishing-Domains automatisch.
  9. Browser-Schutz aktivieren: Funktionen wie „Safe Browsing" in Chrome/Firefox warnen vor bekannten Betrugsseiten.
  10. Schulungen im Unternehmen: Sensibilisieren Sie Mitarbeiter regelmäßig für Quishing-Risiken.

QR-Codes und Link-Kürzer: Doppelte Vorsicht geboten

Viele QR-Codes verstecken gekürzte URLs. Das ist nicht per se schlecht – verkürzte Links sind übersichtlicher und können wertvolle Klick-Statistiken liefern. Doch sie erschweren die Erkennung gefälschter Adressen, weil das eigentliche Ziel verborgen bleibt.

Achten Sie deshalb darauf, dass der eingesetzte Kürzungsdienst Transparenz bietet. Seriöse Anbieter wie Lunyb stellen eine Link-Vorschau bereit, ermöglichen es, die Ziel-URL vor dem Aufruf zu prüfen, und blockieren bekannte Phishing-Adressen aktiv. Eine vertiefte Übersicht finden Sie in unserem Vergleich der URL-Kürzungsdienste 2026 sowie im umfassenden großen Anbieter-Test.

Für Unternehmen, die selbst QR-Codes und Kurzlinks einsetzen, lohnt sich zusätzlich ein Blick auf Link-Tracking-Tools mit DSGVO-Check, um Compliance und Sicherheit zu vereinen.

Was tun, wenn Sie auf einen gefälschten QR-Code hereingefallen sind?

Falls Sie versehentlich Daten auf einer Phishing-Seite eingegeben haben, handeln Sie schnell:

  1. Konten sichern: Ändern Sie sofort betroffene Passwörter, idealerweise über ein anderes Gerät.
  2. Bank informieren: Lassen Sie Karten sperren und prüfen Sie Transaktionen.
  3. Multi-Faktor-Authentifizierung aktivieren: Für alle wichtigen Konten.
  4. Gerät auf Schadsoftware prüfen: Mit einer aktuellen Sicherheitslösung scannen.
  5. Anzeige erstatten: Bei der örtlichen Polizei oder online über die jeweilige Landeskriminalamt-Plattform.
  6. Vorfall melden: An die Verbraucherzentrale und ggf. den BfDI, sofern personenbezogene Daten betroffen sind.

QR-Code-Sicherheit im Unternehmen

Für Unternehmen ist Quishing besonders gefährlich, da ein einziger erfolgreicher Angriff auf einen Mitarbeiter weitreichende Konsequenzen haben kann – von Datenlecks bis zu Ransomware-Befall.

Pros und Cons des unternehmensweiten QR-Code-Einsatzes

Vorteile:

  • Effiziente Verteilung von Informationen und Marketing-Material
  • Messbare Kampagnen durch verknüpftes Tracking
  • Kontaktloser Zugang zu Dokumenten und Services

Nachteile und Risiken:

  • Manipulation in öffentlichem Raum schwer kontrollierbar
  • Mitarbeiter umgehen mit privaten Geräten Sicherheitsbarrieren
  • Reputationsrisiko bei gefälschten Codes mit Firmenlogo

Empfohlene Maßnahmen für Unternehmen

  • Klare Richtlinien zum Umgang mit QR-Codes in der Mitarbeiterschulung verankern
  • Eigene QR-Codes nur über verifizierte Domains und mit Markenkennzeichnung
  • Regelmäßige Sichtprüfungen von Codes an Standorten und auf Printmaterial
  • Mobile Device Management (MDM) für Firmen-Smartphones
  • Phishing-Simulationen mit QR-Codes durchführen
  • DSGVO-Konformität sicherstellen – Details finden Sie in unserem DSGVO-Praxis-Leitfaden 2026

Die Rolle von KI bei QR-Code-Betrug

Künstliche Intelligenz hat das Quishing-Problem verschärft. Mit KI-Tools können Angreifer Phishing-Seiten in Minuten täuschend echt klonen, Texte fehlerfrei lokalisieren und personalisierte Köder generieren. Gleichzeitig hilft KI aber auch bei der Abwehr – etwa durch Echtzeitanalyse verdächtiger URLs. Mehr zu diesem Spannungsfeld lesen Sie in unserem Artikel KI und Datenschutz 2026.

FAQ – Häufige Fragen zu QR-Code-Betrug

Wie erkenne ich, ob ein QR-Code gefälscht ist?

Achten Sie auf überklebte Aufkleber, ungewöhnliche Platzierung, fehlendes Branding und prüfen Sie immer die URL-Vorschau vor dem Öffnen. Bei sensiblen Vorgängen (Bezahlung, Login) nutzen Sie lieber die offizielle App oder die direkt eingegebene Website-Adresse.

Ist es gefährlich, einen QR-Code nur zu scannen?

Das reine Scannen ist meist ungefährlich, solange Sie nicht automatisch auf die Ziel-URL weitergeleitet werden. Moderne Smartphones zeigen die URL zunächst zur Bestätigung an. Gefährlich wird es erst, wenn Sie die Seite öffnen, Daten eingeben oder Apps installieren.

Können QR-Codes Schadsoftware direkt installieren?

Ein QR-Code an sich enthält keinen Schadcode – er ist lediglich eine kodierte URL oder Textinformation. Schadsoftware wird erst nach Aufruf der verlinkten Seite und meist durch Nutzeraktion (Download, Berechtigung) installiert. Aktuelle Systeme und Berechtigungs-Hygiene reduzieren das Risiko erheblich.

Wohin kann ich gefälschte QR-Codes melden?

Wenden Sie sich an die örtliche Polizei oder die Online-Wache des jeweiligen Bundeslandes. Bei Betroffenheit personenbezogener Daten ist zusätzlich eine Meldung an die zuständige Datenschutzbehörde (BfDI oder Landesdatenschutzbeauftragte) sinnvoll. Auch die Verbraucherzentralen sammeln Hinweise zu aktuellen Betrugsmaschen.

Sind dynamische QR-Codes sicherer als statische?

Dynamische QR-Codes leiten über einen Kurzlink, der nachträglich änderbar ist. Das ist praktisch, kann aber missbraucht werden, falls der Anbieter unsicher ist. Setzen Sie auf seriöse Dienste mit Phishing-Schutz, Link-Vorschau und transparenten Statistiken – so vereinen Sie Komfort und Sicherheit.

Fazit

QR-Code-Betrug ist 2026 eine reale und wachsende Bedrohung – aber kein Grund, das praktische Format gänzlich zu meiden. Mit gesundem Misstrauen, technischer Hygiene und klaren Prozessen lassen sich die Risiken minimieren. Prüfen Sie URLs vor dem Aufruf, vertrauen Sie keinen unerwarteten Codes und sensibilisieren Sie Ihr Umfeld. So bleibt der QR-Code, was er sein soll: ein praktisches Werkzeug – und kein Einfallstor für Kriminelle.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Ende-zu-Ende-Verschlüsselung einfach erklärt: Der Leitfaden 2026

Ende-zu-Ende-Verschlüsselung schützt Ihre Kommunikation davor, dass selbst Anbieter mitlesen können. Dieser Leitfaden erklärt einfach und verständlich, wie die Technologie funktioniert, welche Dienste sie nutzen und wo ihre Grenzen liegen.

8 min

Cybersicherheit in der Schweiz 2026: Bedrohungen, Gesetze und Schutz

Cybersicherheit in der Schweiz 2026: Ein umfassender Leitfaden zu aktuellen Bedrohungen, gesetzlichen Pflichten wie der BACS-Meldepflicht und revDSG sowie konkreten Schutzmassnahmen für KMU und Privatpersonen. Mit Vergleichstabellen, Checklisten und FAQ.

7 min

Was Google über Sie weiß: Der komplette Daten-Leitfaden 2026

Google speichert erstaunlich viele Daten über Sie – von Suchanfragen über Standorte bis zu Sprachaufnahmen. Erfahren Sie, wie Sie diese Daten einsehen, löschen und Ihre Privatsphäre nach DSGVO wirksam schützen.

7 min

Passwortsicherheit: Der Ultimative Leitfaden für 2026

Passwörter sind die erste Verteidigungslinie für Ihre digitalen Konten. Dieser ultimative Leitfaden zeigt Ihnen, wie Sie starke Passwörter erstellen, Passwortmanager nutzen, Zwei-Faktor-Authentifizierung einrichten und sich vor Datenlecks schützen.

8 min