QR-Code-Betrug 2026: So Schützen Sie Sich vor Quishing & Co.
QR-Codes haben sich seit der Corona-Pandemie in Deutschland endgültig etabliert: Auf Restaurantkarten, Parkautomaten, Werbeplakaten, Rechnungen und sogar an Ladesäulen. Was als bequeme Brücke zwischen analoger und digitaler Welt gedacht war, hat jedoch eine Schattenseite. Cyberkriminelle haben QR-Codes als neues Einfallstor entdeckt – das Phänomen heißt Quishing (QR-Code-Phishing) und nimmt laut BSI seit 2023 stark zu.
In diesem Leitfaden zeigen wir Ihnen, wie QR-Code-Betrug funktioniert, an welchen Anzeichen Sie ihn erkennen und mit welchen technischen sowie organisatorischen Maßnahmen Sie sich, Ihre Familie und Ihr Unternehmen wirksam schützen können.
Was ist QR-Code-Betrug? Eine kurze Definition
QR-Code-Betrug bezeichnet jede Form der Cyberkriminalität, bei der manipulierte oder gefälschte QR-Codes eingesetzt werden, um Opfer auf Phishing-Seiten zu locken, Schadsoftware zu installieren oder Zahlungen umzuleiten. Der bekannteste Fall ist das sogenannte Quishing – eine Wortschöpfung aus „QR-Code" und „Phishing".
Anders als bei klassischen Phishing-Mails ist die Ziel-URL hinter einem QR-Code für das menschliche Auge nicht direkt lesbar. Genau das macht diese Angriffsform so gefährlich: Sicherheitsfilter in E-Mail-Postfächern erkennen einen QR-Code oft nur als Bild und prüfen den enthaltenen Link nicht.
Wie funktioniert Quishing? Die typischen Angriffsmuster
Kriminelle nutzen verschiedene Techniken, um QR-Codes zu missbrauchen. Die folgenden fünf Methoden machen den Großteil aller in Deutschland gemeldeten Fälle aus:
1. Überklebte QR-Codes im öffentlichen Raum
Besonders an Parkscheinautomaten, E-Ladesäulen und Speisekarten kleben Betrüger eigene Codes über die Originale. Scannt das Opfer den Code, landet es auf einer täuschend echten Bezahlseite – das eingegebene Geld und die Kreditkartendaten gehen direkt an die Täter. In München, Berlin und Frankfurt wurden 2024 hunderte solcher Fälle dokumentiert.
2. Quishing per E-Mail
Sie erhalten eine angebliche E-Mail von Microsoft, Ihrer Bank oder dem Finanzamt mit der Aufforderung, einen QR-Code zu scannen, um Ihr Konto zu „verifizieren". Da viele Nutzer geschäftliche Mails am Desktop öffnen, den Code aber mit dem privaten Smartphone scannen, umgehen Angreifer gezielt die Unternehmens-Firewall.
3. Gefälschte Rechnungen und Briefe
Immer häufiger landen physische Briefe mit QR-Codes im Briefkasten – etwa angeblich von Stadtwerken, Inkassobüros oder dem ADAC. Der Code führt zu einer Phishing-Seite oder löst eine Sofortüberweisung aus.
4. QR-Codes auf Werbeflyern und Plakaten
Manipulierte Aufkleber werden auf Werbeplakate, in Aufzüge oder an Bushaltestellen geklebt. Lockmittel sind oft kostenlose Gewinnspiele, Coupons oder vermeintliche WLAN-Zugänge.
5. Krypto- und Investment-Scams
Über QR-Codes werden Opfer zu betrügerischen Krypto-Plattformen oder Wallet-Adressen geleitet. Einmal überwiesene Coins sind praktisch nicht mehr zurückzuholen.
Warum QR-Codes so gefährlich sind
Ein klassischer Phishing-Link lässt sich vor dem Klick prüfen – bei einem QR-Code ist das deutlich schwieriger. Diese vier Faktoren machen Quishing besonders effektiv:
- Visuelle Intransparenz: Niemand kann eine URL aus einem QR-Code-Muster ablesen.
- Vertrauensvorschuss: QR-Codes wirken offiziell und technisch.
- Kontextwechsel: Der Scan erfolgt meist auf dem privaten Smartphone, das oft schlechter geschützt ist als der Firmenrechner.
- Filter-Umgehung: E-Mail-Sicherheitslösungen erkennen Bilder mit QR-Codes häufig nicht als Bedrohung.
QR-Code-Betrug erkennen: Die wichtigsten Warnsignale
Bevor Sie einen QR-Code scannen, sollten Sie auf folgende Warnzeichen achten:
- Aufkleber statt Aufdruck: Wenn der QR-Code auf einem Automaten oder Schild offensichtlich überklebt wurde, Finger weg.
- Unerwartete Aufforderungen: Banken, Behörden und seriöse Unternehmen fordern Sie niemals per E-Mail oder Brief auf, einen QR-Code zur „Konto-Verifizierung" zu scannen.
- Zeitdruck: Formulierungen wie „Konto wird in 24 Stunden gesperrt" sind ein klassisches Phishing-Indiz.
- Verkürzte oder kryptische URLs: Nach dem Scan zeigt das Smartphone die Ziel-URL kurz an. Ungewöhnliche Domains (z.B.
bank-de-login-secure.xyz) sind ein Alarmsignal. - Aufforderung zum App-Download: Echte Apps gibt es ausschließlich im offiziellen App Store oder bei Google Play – niemals über einen QR-Code-Direktlink.
So schützen Sie sich: 10 konkrete Maßnahmen
Mit diesen Schritten reduzieren Sie das Risiko, Opfer eines QR-Code-Betrugs zu werden, erheblich:
1. URL vor dem Öffnen prüfen
Moderne Smartphones (iOS ab 11, Android ab 9) zeigen die Ziel-URL nach dem Scan in einer Vorschau an. Tippen Sie erst, wenn Sie die Domain als seriös erkannt haben.
2. Seriöse QR-Code-Scanner verwenden
Nutzen Sie die integrierte Kamera-App Ihres Smartphones statt unbekannter Drittanbieter-Apps. Viele kostenlose Scanner-Apps sind selbst mit Adware oder Trackern verseucht.
3. URL-Checker einsetzen
Bei Unsicherheit kopieren Sie die Ziel-URL und prüfen sie über Dienste wie VirusTotal oder URLVoid. Wenn Sie selbst Links teilen, setzen Sie auf vertrauenswürdige URL-Shortener wie Lunyb, die Phishing-Schutz, Linkvorschau und Statistiken bieten – so wissen Empfänger, dass der Link nicht missbraucht wurde.
4. Niemals sensible Daten nach QR-Scan eingeben
Wenn nach dem Scan ein Login-Formular für Bank, E-Mail oder Cloud-Dienst erscheint, schließen Sie die Seite sofort. Loggen Sie sich stattdessen wie gewohnt über Ihren Browser oder die offizielle App ein.
5. Zwei-Faktor-Authentifizierung (2FA) aktivieren
Selbst wenn Angreifer Ihre Zugangsdaten erbeuten, scheitern sie an der zweiten Faktor-Abfrage – idealerweise per Authenticator-App, nicht per SMS.
6. Smartphone aktuell halten
Installieren Sie Sicherheitsupdates für Betriebssystem und Browser umgehend. Viele Quishing-Angriffe nutzen bekannte Schwachstellen aus.
7. Mobile Security-App installieren
Lösungen wie Bitdefender Mobile, Norton Mobile oder Avira Antivirus erkennen schädliche URLs und blockieren den Aufruf in Echtzeit.
8. VPN nutzen – besonders im öffentlichen WLAN
Ein VPN verschlüsselt Ihren Datenverkehr und erschwert Man-in-the-Middle-Angriffe. Welche Lösung sich lohnt, lesen Sie in unserem Vergleich VPN Kostenlos vs. Bezahlt.
9. Bezahlung mit Kreditkarte statt Sofortüberweisung
Bei Zahlungen via QR-Code: Kreditkarten bieten Chargeback-Möglichkeiten, eine SEPA-Überweisung lässt sich kaum zurückholen.
10. Schulung im Familien- und Unternehmenskontext
Klären Sie Familienmitglieder und Mitarbeitende aktiv auf. Für KMU empfehlen wir unseren Leitfaden zur Cybersicherheit 2026 – die Prinzipien gelten genauso für Deutschland.
Sicherheits-Vergleich: QR-Code-Scan-Methoden
| Methode | Sicherheit | Komfort | Empfehlung |
|---|---|---|---|
| Native Kamera-App (iOS/Android) | Hoch | Hoch | ✅ Erste Wahl |
| Browser mit URL-Vorschau | Hoch | Mittel | ✅ Empfohlen |
| Sicherheits-App mit URL-Filter | Sehr hoch | Mittel | ✅ Für sensible Nutzung |
| Unbekannte Drittanbieter-Apps | Niedrig | Hoch | ❌ Vermeiden |
| Automatischer Aufruf ohne Vorschau | Sehr niedrig | Sehr hoch | ❌ Niemals |
Was tun, wenn Sie bereits Opfer geworden sind?
Wenn Sie nach einem QR-Code-Scan sensible Daten eingegeben oder eine Zahlung autorisiert haben, handeln Sie schnell:
- Bank kontaktieren: Rufen Sie sofort den Sperr-Notruf 116 116 an und lassen Sie Karten und Online-Banking sperren.
- Passwörter ändern: Ändern Sie alle Passwörter, die mit dem betroffenen Konto verknüpft sein könnten – und 2FA aktivieren.
- Anzeige erstatten: Eine Strafanzeige bei der örtlichen Polizei oder über die Online-Wache der Landespolizei ist Pflicht – auch für spätere Versicherungsansprüche.
- BSI und Verbraucherzentrale informieren: Melden Sie den Fall, damit andere gewarnt werden können.
- Detaillierte Schritte: Eine vollständige Notfall-Anleitung finden Sie in unserem Leitfaden Datenleck: Was tun als Betroffener?
QR-Code-Betrug im Unternehmenskontext
Für Unternehmen ist Quishing ein wachsendes Risiko: Mitarbeitende scannen geschäftliche QR-Codes häufig mit privaten Smartphones, die nicht von der IT-Abteilung verwaltet werden – ein klassischer Bring-your-own-Device-Albtraum.
Empfehlungen für Unternehmen
- Mitarbeiter-Schulungen mit konkreten Quishing-Beispielen mindestens jährlich durchführen.
- Mobile Device Management (MDM) einführen – auch für privat genutzte Geräte mit Geschäftszugang.
- E-Mail-Gateways nutzen, die Bilder auf eingebettete QR-Codes scannen können.
- Klare Richtlinien: Welche QR-Codes dürfen Mitarbeitende scannen, welche nicht?
- DSGVO-Pflichten beachten: Bei einem erfolgreichen Quishing-Angriff mit Datenabfluss greift die 72-Stunden-Meldepflicht. Mehr dazu in unseren Artikeln zu DSGVO-Rechten und zum Datenschutz für Unternehmen.
Sichere Alternative: QR-Codes selbst seriös einsetzen
Wenn Sie als Unternehmen, Verein oder Selbstständiger QR-Codes nutzen möchten, sollten Sie auf Transparenz und Vertrauen setzen:
- Verwenden Sie eigene Domains oder einen vertrauenswürdigen Kurzlink-Dienst wie Lunyb, der den Empfängern eine erkennbare, sichere Domain bietet.
- Drucken Sie QR-Codes direkt auf das Material, nicht als Aufkleber.
- Geben Sie die Ziel-URL zusätzlich in Klartext an, damit Nutzer sie verifizieren können.
- Prüfen Sie regelmäßig Plakate und Automaten auf überklebte Codes.
FAQ: Häufige Fragen zu QR-Code-Betrug
Kann ich mir durch das bloße Scannen eines QR-Codes einen Virus einfangen?
Ein QR-Code an sich enthält nur Text – meistens eine URL. Eine Infektion erfolgt erst, wenn Sie die geöffnete Webseite besuchen und dort Schadsoftware heruntergeladen oder eine Schwachstelle im Browser ausgenutzt wird. Halten Sie Ihr Smartphone aktuell, ist das Risiko gering, aber nicht null.
Welche QR-Code-Scanner-App ist am sichersten?
Am sichersten ist die integrierte Kamera-App Ihres iPhones oder Android-Geräts. Sie zeigt die URL als Vorschau, bevor sie geöffnet wird. Drittanbieter-Apps bringen oft Tracker, Werbung oder unnötige Berechtigungen mit.
Sind QR-Codes auf Restaurant-Speisekarten gefährlich?
In den meisten Fällen nicht – aber prüfen Sie, ob der Code aufgeklebt oder direkt aufgedruckt ist. Geben Sie nach dem Scan niemals Zahlungsdaten ein. Seriöse Restaurants erwarten Bargeld oder Kartenzahlung am Tisch.
Was kostet QR-Code-Betrug die deutsche Wirtschaft?
Laut BSI-Lagebericht 2024 ist Quishing eine der am schnellsten wachsenden Phishing-Varianten. Konkrete Schadenssummen sind schwer zu beziffern, da viele Fälle Teil größerer Phishing-Kampagnen sind. Die Verbraucherzentrale schätzt die Schäden allein durch QR-Code-Parkbetrug auf mehrere Millionen Euro pro Jahr.
Sollte ich QR-Codes generell vermeiden?
Nein – QR-Codes sind eine praktische Technologie. Wichtig ist, sie bewusst und kritisch zu nutzen: URL-Vorschau prüfen, sensible Daten niemals nach unerwarteten Scans eingeben und im Zweifel den Anbieter telefonisch kontaktieren.
Fazit: Wachsamkeit ist der beste Schutz
QR-Code-Betrug wird 2026 weiter zunehmen – getrieben von KI-generierten Phishing-Seiten und immer professionelleren Betrugsmaschen. Die gute Nachricht: Mit einer Mischung aus gesundem Misstrauen, technischer Absicherung (aktuelles Smartphone, 2FA, VPN) und einer klaren Routine beim Scannen können Sie das Risiko auf ein Minimum reduzieren.
Die wichtigste Regel bleibt einfach: Vertrauen Sie keinem QR-Code blind – egal wie offiziell er aussieht. Prüfen Sie die URL, bevor Sie tippen, und geben Sie sensible Daten nur über Wege ein, denen Sie unabhängig vertrauen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Datenleck: Was Tun als Betroffener? Der Komplette Notfall-Leitfaden 2026
Wenn Ihre persönlichen Daten durch ein Datenleck offengelegt wurden, ist schnelles Handeln entscheidend. Dieser Leitfaden zeigt Ihnen Schritt für Schritt, was Sie als Betroffener tun müssen, um Schäden zu begrenzen und sich rechtlich abzusichern.
Cybersicherheit für Österreichische KMU 2026: Der Komplette Leitfaden
Österreichische KMU stehen 2026 vor neuen Herausforderungen: NIS2-Umsetzung, KI-gestützte Angriffe und verschärfte Regulierung. Dieser Leitfaden zeigt praxisnah, wie Sie Ihr Unternehmen wirksam schützen und gleichzeitig gesetzliche Vorgaben erfüllen.
Was Google über Sie weiß: Der komplette Leitfaden zu Ihren Daten 2026
Google sammelt täglich enorme Mengen an persönlichen Daten – von Suchanfragen über Standorte bis hin zu Sprachaufnahmen. In diesem umfassenden Leitfaden erfahren Sie genau, welche Informationen Google über Sie speichert, wie Sie diese einsehen und welche konkreten Schritte Sie unternehmen können, um Ihre Privatsphäre zurückzugewinnen.
Phishing-Angriffe Erkennen und Vermeiden: Der Komplette Leitfaden 2026
Phishing-Angriffe werden 2026 immer raffinierter und stellen eine massive Bedrohung dar. Dieser umfassende Leitfaden zeigt, wie Sie Phishing zuverlässig erkennen, sich technisch und verhaltensbasiert schützen und im Ernstfall richtig reagieren – inkl. praktischer Beispiele und Tool-Vergleich.