facebook-pixel

QR-Code-Betrug: So Schützen Sie Sich vor Quishing 2026

L
Lunyb Sicherheitsteam
··8 min read

QR-Code-Betrug – auch bekannt als Quishing – ist eine der am schnellsten wachsenden Betrugsmaschen in Deutschland. Kriminelle nutzen manipulierte QR-Codes, um Zugangsdaten abzugreifen, Schadsoftware zu verbreiten oder Zahlungen umzuleiten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie zahlreiche Verbraucherzentralen warnen inzwischen regelmäßig vor dieser Betrugsform. In diesem Leitfaden erfahren Sie, wie QR-Code-Betrug funktioniert, an welchen Anzeichen Sie ihn erkennen und wie Sie sich effektiv schützen.

Was ist QR-Code-Betrug (Quishing)?

QR-Code-Betrug bezeichnet eine Phishing-Variante, bei der Kriminelle manipulierte QR-Codes einsetzen, um Opfer auf gefälschte Websites zu locken oder Schadsoftware zu installieren. Der Begriff Quishing setzt sich aus "QR-Code" und "Phishing" zusammen.

Anders als klassische Phishing-Mails umgehen QR-Codes häufig E-Mail-Filter, da sie als Bilddateien versendet werden und der eigentliche Link erst beim Scannen sichtbar wird. Genau darin liegt die besondere Gefahr: Sie sehen die Ziel-URL erst, nachdem Ihr Smartphone den Code interpretiert hat – und viele Nutzer prüfen sie an dieser Stelle nicht mehr sorgfältig.

Warum QR-Codes so attraktiv für Betrüger sind

  • Unsichtbare Ziel-URL: Der Link ist im Code versteckt und für das menschliche Auge nicht lesbar.
  • Vertrauensvorschuss: Seit der Pandemie sind QR-Codes im Alltag etabliert (Speisekarten, Tickets, Zahlungen).
  • Mobile Angriffe: Smartphones haben oft schwächere Sicherheitsvorkehrungen als Desktop-Rechner.
  • Physische Verbreitung: Aufkleber lassen sich schnell und anonym anbringen.

Die häufigsten Formen von QR-Code-Betrug

1. Manipulierte Aufkleber an öffentlichen Orten

Betrüger kleben eigene QR-Codes über echte Codes – zum Beispiel an Parkscheinautomaten, E-Ladesäulen, Restauranttischen oder Aushängen. Ein besonders bekannter Fall in Deutschland: Gefälschte QR-Codes an Parkautomaten leiteten Autofahrer auf betrügerische Bezahlseiten, die Kreditkartendaten abgriffen.

2. Quishing per E-Mail

Sie erhalten eine E-Mail, angeblich von Ihrer Bank, DHL oder Microsoft, mit der Aufforderung, einen QR-Code zu scannen – etwa zur "Konto-Verifizierung" oder zur "Zwei-Faktor-Aktivierung". Der Code führt auf eine täuschend echte Login-Seite, die Ihre Zugangsdaten stiehlt.

3. Gefälschte Rechnungen und Briefe

Kriminelle versenden postalische Schreiben mit QR-Codes, die vermeintlich zu einer Zahlungsseite führen. Besonders perfide: Die Absender geben sich als Behörden, Energieversorger oder Inkassounternehmen aus.

4. Falsche Krypto- oder Investment-Angebote

Über soziale Medien oder Werbeanzeigen werden QR-Codes verbreitet, die zu betrügerischen Krypto-Plattformen führen. Nach der "Registrierung" verschwinden die eingezahlten Beträge spurlos.

5. Malware-Downloads

Statt zu einer Website führt der QR-Code direkt zu einer APK-Datei (Android) oder einem Konfigurationsprofil (iOS), das Schadsoftware installiert – etwa Banking-Trojaner oder Spyware.

Wie Sie QR-Code-Betrug erkennen: 8 Warnsignale

  1. Aufkleber wirkt aufgeklebt: Der QR-Code überdeckt sichtbar einen anderen Code oder ist schief angebracht.
  2. Dringlichkeit: Nachrichten fordern sofortiges Handeln ("Ihr Konto wird in 24 Stunden gesperrt").
  3. Unerwarteter Kontext: Sie erhalten einen QR-Code, ohne ihn angefordert zu haben.
  4. Verkürzte oder kryptische URL: Nach dem Scan erscheint eine ungewöhnliche Domain.
  5. Rechtschreibfehler: Die Ziel-Website enthält Tippfehler oder ungewöhnliche Formulierungen.
  6. Falsche Domain: Statt sparkasse.de steht dort sparkasse-sicherheit.com.
  7. Login-Aufforderung: Die Seite verlangt sofort Zugangsdaten oder Zahlungsinformationen.
  8. Zertifikatswarnungen: Ihr Browser meldet ein ungültiges SSL-Zertifikat.

10 Schutzmaßnahmen gegen QR-Code-Betrug

1. URL vor dem Öffnen prüfen

Die wichtigste Regel: Öffnen Sie nach dem Scan die URL nicht sofort. Moderne Smartphone-Kameras zeigen die Ziel-Adresse in einer Vorschau an. Prüfen Sie diese sorgfältig auf Tippfehler und verdächtige Zusatzdomains.

2. QR-Codes im öffentlichen Raum kritisch betrachten

Prüfen Sie an Automaten, Ladesäulen oder Plakaten, ob der Code aufgeklebt wurde. Bei Zweifeln: Nutzen Sie die offizielle App des Anbieters oder tippen Sie die URL manuell ein.

3. Keine Zugangsdaten nach QR-Code-Scan eingeben

Seriöse Anbieter fordern Sie nie per QR-Code auf, sich einzuloggen oder Zahlungsdaten einzugeben. Öffnen Sie stattdessen die App oder Website direkt.

4. Vertrauenswürdige URL-Shortener verwenden

Wenn Sie selbst QR-Codes erstellen (etwa für Ihr Unternehmen), setzen Sie auf transparente Kurz-URL-Dienste, die klar erkennen lassen, wohin der Link führt. Dienste wie Lunyb bieten sichere Kurz-URLs mit Klick-Analyse und schützen Ihre Kunden vor missbräuchlichen Umleitungen. Weitere seriöse Optionen finden Sie in unserem Vergleich der besten Bitly-Alternativen 2026.

5. Zwei-Faktor-Authentifizierung aktivieren

Selbst wenn Ihre Zugangsdaten gestohlen werden, verhindert 2FA in vielen Fällen den Kontozugriff. Nutzen Sie Authenticator-Apps statt SMS, da SIM-Swapping-Angriffe zunehmen.

6. Passwort-Manager einsetzen

Ein Passwort-Manager füllt Logins nur auf der korrekten Domain automatisch aus. Landen Sie auf einer gefälschten Seite, bleibt das Feld leer – ein starkes Warnsignal. Eine Übersicht empfehlenswerter Tools finden Sie in unserem Ratgeber zu den besten Passwort-Managern 2026.

7. Sicheren Browser mit Phishing-Schutz nutzen

Datenschutzfreundliche Browser mit integriertem Phishing- und Tracking-Schutz warnen Sie vor bekannten Betrugsseiten. Unser Vergleich der besten datenschutzfreundlichen Browser 2026 zeigt geeignete Alternativen.

8. Betriebssystem und Apps aktuell halten

Viele Angriffe nutzen bekannte Sicherheitslücken. Aktualisieren Sie Android bzw. iOS regelmäßig und installieren Sie Sicherheitsupdates zeitnah.

9. Downloads aus unbekannten Quellen blockieren

Deaktivieren Sie auf Android die Installation aus unbekannten Quellen. Auf iOS installieren Sie keine Konfigurationsprofile, die Ihnen per QR-Code angeboten werden.

10. Verdächtige Codes melden

Informieren Sie den Betreiber (etwa die Kommune, den Restaurantinhaber oder den Ladesäulenbetreiber) und erstatten Sie bei finanziellem Schaden Anzeige bei der Polizei. Verdächtige Phishing-Mails können Sie an die Verbraucherzentrale (phishing@verbraucherzentrale.nrw) weiterleiten.

QR-Code-Betrug im Vergleich zu anderen Phishing-Formen

MerkmalQuishing (QR-Code)Klassisches E-Mail-PhishingSmishing (SMS)
Sichtbarkeit der URLErst nach ScanBeim Hover sichtbarIm Nachrichtentext
Erkennung durch FilterSehr schwerGutMittel
VerbreitungswegE-Mail, Print, AufkleberE-MailSMS, Messenger
ZielgerätMeist SmartphoneDesktop & MobilSmartphone
Risiko-Level 2026Sehr hoch (steigend)HochHoch

Was tun, wenn Sie bereits auf einen Betrug hereingefallen sind?

Sofortmaßnahmen (innerhalb weniger Minuten)

  1. Passwörter ändern: Ändern Sie umgehend das Passwort des betroffenen Kontos – idealerweise von einem anderen Gerät aus.
  2. Bank informieren: Bei eingegebenen Zahlungsdaten sofort die Karte sperren lassen (Sperr-Notruf: 116 116).
  3. 2FA aktivieren: Falls noch nicht geschehen, richten Sie Zwei-Faktor-Authentifizierung ein.
  4. Gerät prüfen: Führen Sie einen Malware-Scan durch. Bei starkem Verdacht: Werkseinstellungen wiederherstellen.

Mittelfristige Maßnahmen

  1. Anzeige bei der Polizei erstatten (online über die jeweilige Landespolizei möglich).
  2. Schufa-Selbstauskunft anfordern, um Identitätsdiebstahl auszuschließen.
  3. Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
  4. Kontoauszüge der nächsten Wochen genau prüfen.

Rechtlicher Rahmen: DSGVO und Meldepflichten

Wenn ein Unternehmen von einem QR-Code-Angriff betroffen ist und personenbezogene Daten kompromittiert werden, greifen die Meldepflichten nach Art. 33 DSGVO: Der Vorfall muss innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde (in Deutschland die jeweilige Landesdatenschutzbehörde oder den BfDI) gemeldet werden.

Für Betreiber öffentlicher QR-Codes (z. B. an Parkautomaten) besteht eine Sorgfaltspflicht, Manipulationen möglichst zu verhindern – etwa durch fälschungssichere Aufdrucke oder regelmäßige Kontrollen. Für Unternehmen in der Schweiz gelten ähnliche Regeln nach dem revidierten Schweizer Datenschutzgesetz (DSG).

QR-Codes sicher im Unternehmen einsetzen

Wenn Sie QR-Codes für Marketing, Zahlungen oder Kundenkommunikation nutzen, sollten Sie folgende Best Practices beachten:

Technische Maßnahmen

  • Kurz-URLs mit eigener Domain: Nutzen Sie Branded Short Links, damit Kunden Ihre Marke im Link erkennen.
  • Analytics einsetzen: Auffällige Klickmuster können auf Manipulationen hinweisen.
  • HTTPS erzwingen: Die Zielseite muss über ein gültiges TLS-Zertifikat verfügen.
  • Ende-zu-Ende-Verschlüsselung: Bei sensiblen Datenübertragungen. Mehr dazu in unserem Leitfaden zur Ende-zu-Ende-Verschlüsselung.

Organisatorische Maßnahmen

  • Regelmäßige Kontrolle physischer QR-Codes an Automaten und Aushängen.
  • Fälschungssichere Drucke (z. B. laminiert oder mit Hologramm).
  • Klare Kommunikation an Kunden: "Wir versenden niemals QR-Codes per E-Mail zur Kontoverifizierung."
  • Schulung der Mitarbeitenden zum Erkennen von Quishing-Versuchen.

Ausblick: QR-Code-Betrug 2026 und darüber hinaus

Sicherheitsforscher erwarten, dass Quishing-Angriffe 2026 weiter zunehmen werden. Insbesondere KI-generierte Phishing-Seiten, die täuschend echt aussehen, verschärfen die Bedrohungslage. Gleichzeitig arbeiten Betriebssystemhersteller wie Apple und Google an besseren Warnsystemen, die verdächtige URLs bereits vor dem Öffnen kennzeichnen.

Das BSI empfiehlt in seinem aktuellen Lagebericht, QR-Codes grundsätzlich wie unbekannte Links zu behandeln – also mit derselben Vorsicht, die Sie einem verdächtigen E-Mail-Anhang entgegenbringen würden.

Fazit: Wachsamkeit ist der beste Schutz

QR-Code-Betrug ist besonders heimtückisch, weil er die Bequemlichkeit von QR-Codes ausnutzt. Der beste Schutz besteht aus einer Kombination technischer Maßnahmen (2FA, Passwort-Manager, sicherer Browser) und gesunder Skepsis: Prüfen Sie jede URL, geben Sie niemals Zugangsdaten nach einem Scan ein, und misstrauen Sie unerwarteten QR-Codes – ganz gleich, ob sie per E-Mail, Post oder als Aufkleber zu Ihnen gelangen.

Wer QR-Codes selbst einsetzt, trägt Mitverantwortung für seine Kunden: Transparente Kurz-URLs, fälschungssichere Aufdrucke und klare Kommunikation reduzieren das Risiko erheblich.

Häufig gestellte Fragen (FAQ)

Kann ein QR-Code allein schon Schaden anrichten?

Ein QR-Code selbst ist nur eine Grafik und kann keinen direkten Schaden verursachen. Gefährlich wird es erst, wenn Sie die darin enthaltene URL öffnen, Daten eingeben oder Dateien herunterladen. Moderne Smartphones zeigen die Ziel-URL vor dem Öffnen an – nutzen Sie diese Vorschau immer.

Wie erkenne ich einen gefälschten QR-Code an einem Parkautomaten?

Achten Sie auf aufgeklebte Sticker, die andere Codes überdecken, ungewöhnliche Materialien oder schiefe Anbringung. Nach dem Scan sollte die URL zur offiziellen Domain des Parkplatzbetreibers führen – nicht zu einer unbekannten Drittseite. Im Zweifel nutzen Sie die offizielle App des Betreibers oder zahlen bar.

Sind QR-Codes auf Restaurant-Speisekarten sicher?

In der Regel ja, sofern der Code fest auf der Karte gedruckt und nicht aufgeklebt ist. Prüfen Sie dennoch die URL: Sie sollte zur Domain des Restaurants oder eines bekannten Menü-Anbieters führen. Geben Sie über solche Codes niemals Zahlungsdaten oder persönliche Informationen ein.

Was mache ich, wenn ich versehentlich Zugangsdaten auf einer Phishing-Seite eingegeben habe?

Ändern Sie sofort das Passwort des betroffenen Kontos – am besten von einem anderen Gerät aus. Aktivieren Sie Zwei-Faktor-Authentifizierung, kontaktieren Sie bei Bankdaten umgehend Ihre Bank (Sperr-Notruf 116 116) und erstatten Sie Anzeige bei der Polizei. Prüfen Sie in den folgenden Wochen alle Kontoauszüge sorgfältig.

Muss ein Unternehmen einen QR-Code-Angriff melden?

Wenn durch den Angriff personenbezogene Daten kompromittiert wurden, greift die 72-Stunden-Meldepflicht nach Art. 33 DSGVO. Der Vorfall muss an die zuständige Landesdatenschutzbehörde bzw. den BfDI gemeldet werden. Bei hohem Risiko für die Betroffenen müssen diese zusätzlich informiert werden (Art. 34 DSGVO).

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles