QR-Code-Betrug: So Schützen Sie Sich vor Quishing 2026

QR-Codes sind aus dem Alltag nicht mehr wegzudenken – ob beim Bezahlen, in der Speisekarte im Restaurant, am Parkscheinautomaten oder auf Plakaten. Doch genau diese Allgegenwart machen sich Kriminelle zunutze. Der sogenannte QR-Code-Betrug, auch bekannt als Quishing (eine Kombination aus „QR" und „Phishing"), gehört zu den am schnellsten wachsenden Betrugsformen in Deutschland, Österreich und der Schweiz. In diesem Leitfaden erfahren Sie, wie QR-Code-Betrug funktioniert, woran Sie ihn erkennen und wie Sie sich wirksam schützen können.

Was ist QR-Code-Betrug (Quishing)?

QR-Code-Betrug, fachsprachlich Quishing, ist eine Form des Phishings, bei der Kriminelle manipulierte QR-Codes einsetzen, um Opfer auf gefälschte Webseiten zu locken, Schadsoftware zu installieren oder direkt Geld zu stehlen. Anders als klassische Phishing-Mails umgeht Quishing viele technische Schutzmechanismen, weil der schädliche Link in einem Bild versteckt ist und nicht als Text gescannt werden kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) warnen seit 2023 verstärkt vor dieser Bedrohung. Auch Verbraucherzentralen registrieren steigende Fallzahlen – mit Schäden im sechs- bis siebenstelligen Bereich pro Jahr.

Warum QR-Codes besonders anfällig sind

• Keine Vorschau: Das menschliche Auge kann den hinterlegten Link nicht lesen.
• Vertrauensvorschuss: QR-Codes werden oft mit seriösen Anbietern (Banken, Behörden, ÖPNV) assoziiert.
• Mobile Nutzung: Smartphones zeigen URLs verkürzt an – Manipulationen fallen seltener auf.
• Schnelligkeit: Nutzer scannen meist in Eile, ohne genau hinzusehen.

Die häufigsten Maschen beim QR-Code-Betrug

Die Methoden der Täter werden immer raffinierter. Hier sind die fünf häufigsten Quishing-Varianten, die 2026 in Deutschland und der DACH-Region zirkulieren:

1. Überklebte QR-Codes an Parkautomaten

Besonders in Großstädten wie Berlin, München, Hamburg und Wien wurden zahlreiche Fälle gemeldet, bei denen Betrüger gefälschte QR-Code-Sticker über die echten Codes an Parkscheinautomaten geklebt haben. Wer scannt, landet auf einer täuschend echt aussehenden Bezahlseite – und gibt seine Kreditkartendaten direkt an Kriminelle weiter.

2. Gefälschte Briefe von Banken und Behörden

Eine besonders perfide Masche: Opfer erhalten täuschend echt wirkende Briefe – angeblich von ihrer Bank, vom Finanzamt oder vom BSI –, die einen QR-Code enthalten. Beim Scannen wird das Opfer auf eine gefälschte Login-Seite weitergeleitet, die Zugangsdaten und TAN-Codes abgreift. Da diese Briefe per Post kommen, wirken sie besonders glaubwürdig.

3. Phishing-Mails mit QR-Code im Anhang

Statt eines klickbaren Links enthält die E-Mail nur ein Bild mit einem QR-Code. Spam-Filter erkennen die schädliche URL nicht, weil sie als Bild eingebettet ist. Diese Methode richtet sich häufig gegen Unternehmen und Mitarbeiter in der Buchhaltung.

4. Manipulierte Speisekarten und Tischaufsteller

In Restaurants und Cafés werden gefälschte QR-Codes auf Tische geklebt – angeblich für die digitale Speisekarte oder Bezahlung. Tatsächlich werden Bestellungen umgeleitet oder Zahlungsdaten gestohlen.

5. Krypto- und Ladestations-Scams

An öffentlichen E-Auto-Ladestationen oder Krypto-Bitcoin-Automaten werden QR-Codes ausgetauscht. Die überwiesenen Beträge landen direkt in den Wallets der Täter und sind praktisch nicht zurückzuholen.

So erkennen Sie einen betrügerischen QR-Code

Es gibt mehrere Warnsignale, die auf einen manipulierten QR-Code hinweisen. Achten Sie auf folgende Merkmale:

1. Aufgeklebter Sticker: Wenn der QR-Code wie ein nachträglich aufgeklebter Aufkleber wirkt, ist Vorsicht geboten – besonders an öffentlichen Geräten.
2. Schiefe oder verzogene Codes: Original-Codes sind meist sauber gedruckt und exakt ausgerichtet.
3. Ungewöhnliche URL nach dem Scan: Prüfen Sie, ob die Vorschau-URL plausibel aussieht. Tippfehler oder fremde Domains sind ein Alarmzeichen.
4. Sofortige Aufforderung zur Eingabe sensibler Daten: Seriöse Anbieter fragen nicht direkt nach PIN, TAN oder Passwort.
5. Druck und Eile: „Sie müssen sofort handeln, sonst…" – ein klassisches Social-Engineering-Muster.
6. Verkürzte URLs ohne Kontext: Während seriöse Kurzlink-Dienste wie Lunyb Sicherheitsprüfungen anbieten, nutzen Betrüger oft anonyme Linkverkürzer ohne jegliche Transparenz.

Konkrete Schutzmaßnahmen: So sichern Sie sich ab

Schutz vor QR-Code-Betrug beginnt mit bewussten Gewohnheiten. Die folgenden Maßnahmen sollten Sie konsequent anwenden:

Vor dem Scannen

• Quelle prüfen: Stammt der QR-Code aus einer vertrauenswürdigen Quelle (offizielle Webseite, Original-Verpackung)?
• Physische Manipulation kontrollieren: Vorsichtig prüfen, ob ein Sticker über einem anderen Code klebt. Bei Parkautomaten lieber den Aufkleber des Betreibers suchen.
• Im Zweifel App nutzen: Bezahl- und Ticket-Vorgänge besser direkt über offizielle Apps abwickeln statt über QR-Codes.

Beim Scannen

• URL-Vorschau aktivieren: Moderne Smartphone-Kameras zeigen die Ziel-URL vor dem Öffnen an. Diese Funktion sollte immer aktiviert sein.
• Sicheren QR-Scanner verwenden: Apps wie der „BSI Sichere QR-Scanner" oder Antivirus-integrierte Scanner warnen vor bekannten Phishing-Seiten.
• HTTPS prüfen: Echte Bezahl- und Login-Seiten nutzen ausnahmslos HTTPS und gültige Zertifikate.

Nach dem Scannen

• Domain genau lesen: Heißt es wirklich „sparkasse.de" oder „sparkasse-sicherheit.com"?
• Keine Daten unter Druck eingeben: Bei jedem Verdacht: Seite schließen und beim Anbieter telefonisch nachfragen.
• Browser-Schutz aktivieren: Funktionen wie „Safe Browsing" in Chrome oder Firefox blockieren viele bekannte Phishing-Seiten.

Vergleich: Sichere vs. unsichere QR-Code-Nutzung

Merkmal	Sicher	Unsicher / Verdächtig
Herkunft	Offizielle Webseite, gedruckter Original-Flyer	Aufkleber im öffentlichen Raum
URL-Vorschau	Bekannte, plausible Domain	Fremde, kryptische oder ähnlich klingende Domain
Verbindung	HTTPS mit gültigem Zertifikat	HTTP oder Zertifikatswarnung
Datenabfrage	Nur bei klarem Kontext, keine TAN-Eingabe	Sofortige Abfrage von PIN, TAN, Passwörtern
Kurzlink-Dienst	Transparenter Dienst mit Vorschau (z. B. Lunyb)	Anonymer Dienst ohne Sicherheitsprüfung
Designqualität	Sauber gedruckt, integriert	Schief, überklebt, lose

QR-Code-Betrug im Unternehmen: Besondere Risiken

Auch Unternehmen sind zunehmend Ziel von Quishing-Angriffen – mit potenziell verheerenden Folgen. Mitarbeiter erhalten täuschend echte E-Mails mit QR-Codes, die angeblich vom Microsoft-365-Admin, von der HR-Abteilung oder vom Geschäftsführer stammen. Wer scannt, gibt Zugangsdaten preis oder installiert Schadsoftware auf dem Firmengerät.

Empfohlene Maßnahmen für Unternehmen

1. Mitarbeiterschulungen: Regelmäßige Awareness-Trainings zu Phishing und Quishing.
2. Mobile Device Management (MDM): Einschränkung von Scanner-Apps und Zwangsnutzung sicherer Lösungen.
3. Zwei-Faktor-Authentifizierung (2FA): Selbst gestohlene Passwörter sind dann meist nutzlos.
4. Incident-Response-Plan: Klare Meldewege für verdächtige QR-Codes und Mails.
5. DSGVO-konforme Dokumentation: Im Falle eines Datenlecks ist eine Meldung an die Aufsichtsbehörden binnen 72 Stunden Pflicht. Mehr dazu in unserem Leitfaden DSGVO einfach erklärt 2026.

Was tun, wenn Sie Opfer geworden sind?

Falls Sie versehentlich Daten an Betrüger weitergegeben haben, ist schnelles Handeln entscheidend. Folgen Sie diesem Notfallplan:

1. Bank sofort informieren: Karte und Konto sperren lassen (Sperrnotruf 116 116 in Deutschland).
2. Passwörter ändern: Alle betroffenen Konten, beginnend mit E-Mail und Online-Banking.
3. 2FA aktivieren: Falls noch nicht geschehen, sofort einrichten.
4. Strafanzeige stellen: Bei der Polizei (auch online über die Internetwachen der Bundesländer möglich).
5. Beweise sichern: Screenshots, Fotos des QR-Codes, E-Mails archivieren.
6. Verbraucherzentrale informieren: Hilft anderen, dieselbe Masche zu erkennen.
7. Bonität überwachen: SCHUFA-Selbstauskunft anfordern, um Identitätsdiebstahl auszuschließen.

Weiterführende Informationen zum Umgang mit einem konkreten Datenleck finden Sie in unserem ausführlichen Artikel Datenleck: Was tun als Betroffener?.

QR-Codes sicher selbst erstellen

Wer selbst QR-Codes erstellt – etwa für das eigene Unternehmen, für Visitenkarten oder Marketingaktionen – trägt Verantwortung für die Sicherheit der Nutzer. Nutzen Sie deshalb seriöse Anbieter, die Vorschau, Statistik und Missbrauchsschutz bieten. Lunyb ist ein DSGVO-konformer Dienst aus Europa, der QR-Codes mit transparenter URL-Vorschau und Sicherheitsprüfung anbietet – sowohl für private als auch geschäftliche Zwecke.

Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Tutorial QR Code kostenlos erstellen. Wer tiefer in den Datenschutz einsteigen möchte, sollte zusätzlich die Artikel Online-Privatsphäre schützen und Datenbroker: Wer verkauft Ihre Daten? lesen.

Rechtliche Lage: DSGVO und Strafrecht

QR-Code-Betrug erfüllt in Deutschland mehrere Straftatbestände: Betrug (§ 263 StGB), Computerbetrug (§ 263a StGB), Datenhehlerei und – je nach Schwere – Erpressung. Bei Identitätsdiebstahl und Missbrauch personenbezogener Daten greifen zusätzlich die Bestimmungen der DSGVO. Unternehmen, die fahrlässig betrügerische QR-Codes verbreiten oder unzureichend schützen, riskieren empfindliche Bußgelder durch die Datenschutzbehörden.

Häufig gestellte Fragen (FAQ)

Kann ein QR-Code allein durch Scannen mein Smartphone infizieren?

In der Regel nicht. Ein QR-Code enthält nur Daten – meist eine URL. Gefährlich wird es erst, wenn Sie den Link öffnen, eine App installieren oder Daten eingeben. Theoretisch sind aber Zero-Day-Lücken in Scanner-Apps denkbar. Halten Sie Ihr Betriebssystem und Ihre Apps daher immer aktuell.

Wie erkenne ich einen überklebten QR-Code an einem Parkautomaten?

Achten Sie auf Sticker-Ränder, Luftblasen oder unsauber abgeschnittene Folie. Vergleichen Sie das Design mit dem Branding des Betreibers. Im Zweifel zahlen Sie bar oder mit Karte am Automaten – nicht über den QR-Code.

Sind QR-Code-Bezahlungen grundsätzlich unsicher?

Nein. Etablierte Systeme wie Giropay, EPS oder offizielle Banking-Apps mit QR-Funktion sind sicher, solange Sie den Code aus einer vertrauenswürdigen Quelle scannen. Vorsicht ist nur bei QR-Codes aus dem öffentlichen Raum oder von unbekannten Absendern geboten.

Welche kostenlose App empfiehlt das BSI zum sicheren Scannen?

Das BSI hat keine eigene App, empfiehlt aber Scanner mit URL-Vorschau und Phishing-Schutz, etwa „Trend Micro QR Scanner", „Kaspersky QR Scanner" oder die integrierten Funktionen von iOS und Android (ab Android 8/iOS 11). Wichtig: URL-Vorschau muss aktiviert sein.

Was kostet QR-Code-Betrug die deutsche Wirtschaft jährlich?

Genaue Zahlen sind schwer zu ermitteln, weil viele Fälle nicht angezeigt werden. Schätzungen des BKA und von Cybersecurity-Unternehmen gehen für 2024 von einem Schaden im hohen zweistelligen Millionenbereich aus – mit stark steigender Tendenz für 2025 und 2026.

Fazit: Gesundes Misstrauen schützt

QR-Code-Betrug ist eine reale und wachsende Bedrohung – aber mit dem richtigen Wissen leicht zu vermeiden. Drei Grundregeln helfen Ihnen, sich zu schützen: Prüfen Sie die Quelle, kontrollieren Sie die URL vor dem Öffnen, und geben Sie niemals sensible Daten unter Zeitdruck ein. Wer QR-Codes geschäftlich nutzt, sollte auf transparente, DSGVO-konforme Dienste wie Lunyb setzen und seine Nutzer aktiv über Risiken aufklären. So bleibt der QR-Code das, was er sein soll: ein praktisches Werkzeug – und keine Falle.