facebook-pixel
L
Lunyb

QR-Code-Betrug: So schützen Sie sich vor Quishing 2026

L
Lunyb Sicherheitsteam
··8 min read

QR-Codes sind in Deutschland allgegenwärtig: auf Speisekarten, Parkscheinautomaten, Werbeplakaten, Rechnungen und sogar auf Strafzetteln. Was ursprünglich als praktische Brücke zwischen analoger und digitaler Welt gedacht war, ist 2026 zu einem der bevorzugten Angriffsvektoren für Cyberkriminelle geworden. Das sogenannte Quishing – eine Wortkombination aus QR und Phishing – verursacht jährlich Schäden in Millionenhöhe. Dieser Leitfaden zeigt Ihnen, wie Sie QR-Code-Betrug erkennen, welche Maschen aktuell kursieren und mit welchen konkreten Schritten Sie sich wirksam schützen können.

Was ist QR-Code-Betrug (Quishing)?

QR-Code-Betrug, fachsprachlich Quishing, bezeichnet Betrugsversuche, bei denen Kriminelle manipulierte oder gefälschte QR-Codes einsetzen, um Opfer auf bösartige Webseiten zu locken, Schadsoftware zu verbreiten oder Zahlungs- und Zugangsdaten abzugreifen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) warnen seit mehreren Jahren verstärkt vor dieser Betrugsform.

Der entscheidende Punkt: QR-Codes sind für das menschliche Auge nicht lesbar. Anders als bei einem klassischen Hyperlink können Sie nicht auf den ersten Blick erkennen, ob sich hinter dem schwarz-weißen Muster eine legitime Webseite oder eine Phishing-Falle verbirgt. Genau diese Eigenschaft machen sich Angreifer zunutze.

Wie funktioniert ein typischer QR-Code-Angriff?

Ein Quishing-Angriff verläuft in der Regel in fünf nachvollziehbaren Schritten:

  1. Vorbereitung: Der Angreifer registriert eine Domain, die einer bekannten Marke ähnelt (z. B. „spark-asse.de" statt „sparkasse.de").
  2. Erstellung: Es wird eine Phishing-Webseite aufgesetzt, die exakt wie die echte Login-Seite einer Bank, eines Paketdienstes oder einer Behörde aussieht.
  3. Verbreitung: Der QR-Code wird gedruckt und an strategischen Orten platziert – etwa über echten Codes geklebt oder per Brief versendet.
  4. Interaktion: Das Opfer scannt den Code mit dem Smartphone und gibt auf der gefälschten Seite Anmelde-, Kreditkarten- oder TAN-Daten ein.
  5. Ausnutzung: Die Daten werden in Echtzeit abgegriffen und für Kontoübernahmen, Überweisungen oder Identitätsdiebstahl missbraucht.

Die häufigsten QR-Code-Betrugsmaschen 2026

1. Manipulierte Parkscheinautomaten

In zahlreichen deutschen Städten – darunter Berlin, München, Köln und Hamburg – wurden Aufkleber mit gefälschten QR-Codes auf offiziellen Parkscheinautomaten entdeckt. Beim Scannen landen Autofahrer auf einer täuschend echten Bezahlseite, die Kreditkartendaten und teils sogar TANs abfragt. Das Geld fließt direkt an Kriminelle, ein Parkschein wird nie ausgestellt.

2. Fake-Briefe von Banken und Behörden

Eine besonders perfide Variante: Postalisch versendete Schreiben, die angeblich von der Sparkasse, der Volksbank oder der Bundesbank stammen. Sie enthalten einen QR-Code mit der Aufforderung, das pushTAN-Verfahren neu zu aktivieren. Wer den Code scannt, installiert eine manipulierte App oder gelangt auf eine Phishing-Seite.

3. Quishing per E-Mail

Da klassische Phishing-Links zunehmend von E-Mail-Filtern erkannt werden, betten Angreifer den schädlichen Link als QR-Code-Bild in die E-Mail ein. Filter scannen Bilder seltener auf Bedrohungen, und Nutzer öffnen den Code oft mit dem Privathandy – wodurch unternehmenseigene Sicherheitsmaßnahmen umgangen werden.

4. Restaurant- und Speisekarten-Codes

Auf manipulierten Speisekarten oder Tischaufstellern leiten QR-Codes auf gefälschte Reservierungs- oder Bezahlseiten. Da Gäste den Codes vertrauen, geben sie häufig sorglos Daten preis.

5. Falsche Strafzettel und Mahnungen

An Windschutzscheiben angebrachte „Strafzettel" mit QR-Code zur Sofortzahlung sind 2025 vermehrt aufgetaucht. Die Codes führen zu Bezahlseiten, die mit echten Bußgeldportalen nichts zu tun haben.

Warnsignale: So erkennen Sie einen betrügerischen QR-Code

Folgende Indikatoren sollten Sie aufmerksam werden lassen:

  • Aufkleber über Aufkleber: Wenn ein QR-Code offensichtlich über einen anderen geklebt wurde, ist höchste Vorsicht geboten.
  • Ungewöhnliche Zeitdruck-Kommunikation: „Sofort handeln", „Konto wird gesperrt", „Letzte Mahnung" – klassische Social-Engineering-Trigger.
  • Vorschau-URL passt nicht zur erwarteten Domain: Achten Sie auf Tippfehler, ungewöhnliche Endungen (.xyz, .top) oder unbekannte Subdomains.
  • Aufforderung zur App-Installation: Seriöse Banken verlangen niemals per QR-Code die Installation neuer Apps außerhalb der offiziellen Stores.
  • Eingabe sensibler Daten direkt nach dem Scan: Login, TAN, Kreditkarte – immer skeptisch sein.
  • Schlechte Druckqualität oder verpixelte Codes: Hinweis auf nachträglich angebrachte Fälschungen.

10 konkrete Schutzmaßnahmen gegen QR-Code-Betrug

  1. URL-Vorschau aktivieren: Nutzen Sie eine Scanner-App oder die System-Kamera, die vor dem Öffnen die vollständige URL anzeigt.
  2. URL kritisch prüfen: Lesen Sie die Adresse Zeichen für Zeichen. Achten Sie besonders auf die Domain direkt vor der Endung (.de, .com).
  3. Niemals sensible Daten nach QR-Scan eingeben: Öffnen Sie Bankportale grundsätzlich manuell über die App oder eingegebene URL.
  4. Aufkleber prüfen: Tasten Sie an Automaten und öffentlichen Aushängen ab, ob der Code überklebt wurde.
  5. Verkürzte Links auflösen: Bei unbekannten Kurz-URLs nutzen Sie einen seriösen Dienst zur Vorabprüfung. Plattformen wie Lunyb bieten transparente Link-Vorschauen und Sicherheitsmechanismen, die Ihnen die Ziel-URL vor dem Klick offenlegen.
  6. Browser mit Phishing-Schutz nutzen: Firefox, Brave und Chrome verfügen über integrierte Warnsysteme bei bekannten Phishing-Domains.
  7. Zwei-Faktor-Authentifizierung (2FA): Selbst wenn Zugangsdaten abgegriffen werden, verhindert eine starke 2FA per Authenticator-App (nicht SMS) den Kontozugriff.
  8. Smartphone aktuell halten: Sicherheitsupdates schließen Lücken, über die manipulierte Webseiten Schadcode einschleusen könnten.
  9. Apps nur aus offiziellen Stores: Installieren Sie niemals APK-Dateien oder Profile, die per QR-Code angeboten werden.
  10. Verdachtsfälle melden: Verdächtige Codes können Sie bei der Polizei (Anzeige), dem BSI oder der Verbraucherzentrale melden.

Vergleich: QR-Code-Scanner-Apps mit Sicherheitsfunktion

Nicht jeder Scanner ist gleich sicher. Die folgende Übersicht zeigt empfehlenswerte Optionen:

Lösung Plattform URL-Vorschau Phishing-Warnung Kosten
iOS Kamera (nativ) iPhone Ja Eingeschränkt Kostenlos
Google Lens Android Ja Über Safe Browsing Kostenlos
Kaspersky QR Scanner iOS / Android Ja Ja, Echtzeit Kostenlos
Trend Micro QR Scanner iOS / Android Ja Ja Kostenlos
Norton Snap iOS / Android Ja Ja Kostenlos

Vor- und Nachteile dedizierter Sicherheits-Scanner

Vorteile:

  • Aktive Phishing-Datenbank-Abfrage in Echtzeit
  • Warnung vor Schadsoftware-Downloads
  • Erkennung manipulierter Weiterleitungsketten
  • Datenschutzfreundliche Verarbeitung lokal auf dem Gerät

Nachteile:

  • Zusätzliche App-Installation notwendig
  • Manche Scanner sammeln Nutzungsstatistiken
  • Keine 100-prozentige Erkennung neuer Phishing-Domains

QR-Code-Betrug in Unternehmen: Besondere Risiken

Unternehmen sind durch Quishing besonders gefährdet, da Mitarbeitende oft ihr privates Smartphone verwenden und damit firmeneigene Sicherheitsmechanismen umgehen. Die wichtigsten Schutzmaßnahmen für Organisationen umfassen:

  • Awareness-Schulungen mit konkreten Quishing-Beispielen und Phishing-Simulationen
  • Mobile Device Management (MDM) mit Phishing-Schutz auf dienstlichen Geräten
  • Klare Richtlinien: Keine QR-Codes aus E-Mails scannen, keine geschäftlichen Logins über gescannte Codes
  • Branded Short Links: Unternehmen sollten für eigene Kampagnen ausschließlich gebrandete Kurz-URLs einsetzen, um Vertrauen zu signalisieren. Eine Anleitung dazu finden Sie in unserem Beitrag zu gebrandeten Kurzlinks.
  • Incident-Response-Plan für den Fall, dass Mitarbeitende auf Quishing hereinfallen

Rechtliche Lage: Was sagt die DSGVO?

Werden durch einen QR-Code-Angriff personenbezogene Daten abgegriffen, liegt eine Datenschutzverletzung nach Art. 33 DSGVO vor. Unternehmen sind verpflichtet, den Vorfall binnen 72 Stunden an die zuständige Landesdatenschutzbehörde oder die BfDI zu melden. Betroffene Personen müssen informiert werden, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.

Für Privatpersonen gilt: Bei finanziellem Schaden sollten Sie umgehend Strafanzeige erstatten und Ihre Bank kontaktieren. Im D-A-CH-Raum gelten je nach Land unterschiedliche Vorschriften; Details zu den Unterschieden finden Sie im Vergleich DSG vs. DSGVO.

Was tun, wenn Sie auf einen QR-Betrug hereingefallen sind?

Reagieren Sie schnell und methodisch:

  1. Internetverbindung trennen: Schalten Sie WLAN und Mobilfunkdaten aus, falls Sie eine schädliche App installiert haben.
  2. Bank informieren: Lassen Sie betroffene Konten und Karten sofort sperren (Sperr-Notruf 116 116).
  3. Passwörter ändern: Beginnen Sie mit E-Mail-Konto und Online-Banking, am besten von einem anderen, vertrauenswürdigen Gerät aus.
  4. Gerät prüfen: Lassen Sie das Smartphone mit einer aktuellen Sicherheitslösung scannen oder setzen Sie es im Zweifel auf Werkseinstellungen zurück.
  5. Strafanzeige erstatten: Bei der Polizei oder online über die Onlinewache Ihres Bundeslandes.
  6. Schufa-Eintrag prüfen: Bei Identitätsdiebstahl eine Selbstauskunft einholen.
  7. Vorfall dokumentieren: Screenshots, URLs und Zeitstempel für Bank und Behörden sichern.

Quishing-Trends 2026: Was kommt auf uns zu?

Sicherheitsforscher beobachten 2026 mehrere besorgniserregende Entwicklungen:

  • KI-generierte Phishing-Seiten: Täuschend echte Replikate werden in Minuten erstellt und sind kaum vom Original zu unterscheiden.
  • Dynamische QR-Codes: Angreifer können das Ziel eines bereits gedruckten Codes nachträglich ändern, sobald erste Scans erfolgen.
  • Quishing über Wallet-Pässe: Apple- und Google-Wallet-Pässe mit eingebetteten QR-Codes als neuer Angriffsvektor.
  • Zielgerichtete Angriffe auf Senioren: Schreiben an ältere Menschen mit angeblichen Renten- oder Krankenkassenthemen nehmen zu.

Wer sich generell intensiver mit dem Thema digitale Selbstverteidigung beschäftigen möchte, findet umfassende Empfehlungen in unserem Leitfaden zum Schutz der Online-Privatsphäre, dessen Prinzipien auch in Deutschland gelten.

Fazit: Aufmerksamkeit ist der beste Schutz

QR-Code-Betrug funktioniert vor allem deshalb, weil wir der Technologie blind vertrauen. Wer einige einfache Grundregeln beherzigt – URL vor dem Öffnen prüfen, sensible Daten niemals direkt nach einem Scan eingeben, Aufkleber an öffentlichen Geräten kritisch begutachten und einen Scanner mit Phishing-Schutz verwenden – senkt das eigene Risiko drastisch. Für Unternehmen kommt die Verantwortung hinzu, Mitarbeitende zu schulen und eigene Kampagnen über vertrauenswürdige, gebrandete Kurz-URLs auszuspielen. Die Bedrohung wird 2026 nicht verschwinden, sondern raffinierter werden – ein bewusster Umgang mit jedem einzelnen Scan ist deshalb die wirksamste Verteidigung.

Häufig gestellte Fragen (FAQ)

Kann ich mich allein durch das Scannen eines QR-Codes mit Schadsoftware infizieren?

In den meisten Fällen nicht direkt. Der QR-Code öffnet zunächst nur eine URL. Gefährlich wird es, wenn auf der Zielseite zur Installation einer App, eines Konfigurationsprofils oder eines Updates aufgefordert wird. Solange Sie keine Dateien installieren und keine Daten eingeben, ist das reine Öffnen einer Webseite über eine aktuelle Mobilbrowser-Version relativ sicher – aber kein Freibrief für Sorglosigkeit.

Sind QR-Codes auf Restaurantkarten generell unsicher?

Nein, sie sind grundsätzlich praktisch und sicher, solange das Restaurant einen seriösen Anbieter nutzt. Vorsicht ist geboten, wenn der Code als Aufkleber auf der Karte klebt (möglicherweise überklebt) oder zu einer Bezahlseite mit ungewöhnlichen Daten- oder Login-Anforderungen führt. Eine reine Speisekarten-Anzeige ohne Datenabfrage ist in der Regel unbedenklich.

Welche Bezahlmethode ist am sichersten, wenn ich an einem Parkautomaten per QR-Code zahlen muss?

Bevorzugen Sie offizielle Park-Apps (z. B. EasyPark, ParkNow, PayByPhone), die Sie eigenständig aus dem App Store installiert haben. Diese fordern Sie nicht per QR-Code zur Eingabe von TANs oder Kreditkarten-Vollnummern auf. Im Zweifel zahlen Sie klassisch mit Karte oder Münzen am Automaten.

Wie kann ich verkürzte URLs hinter QR-Codes sicher prüfen?

Nutzen Sie einen Browser oder Dienst, der die Endziel-URL nach Auflösung der Kurz-URL anzeigt, bevor die Seite geladen wird. Seriöse Kurz-URL-Anbieter wie Lunyb bieten transparente Linkvorschauen. Vergleiche aktueller Anbieter finden Sie in unseren Übersichten zu den besten URL-Kürzungsdiensten 2026 und speziell für Österreich.

Muss ich Quishing-Vorfälle dem BSI oder der BfDI melden?

Als Privatperson sind Sie nicht meldepflichtig, sollten aber Strafanzeige bei der Polizei erstatten und den Vorfall an die Verbraucherzentrale oder das BSI über das Meldeportal weiterleiten – damit andere gewarnt werden können. Unternehmen hingegen müssen bei einer Datenpanne mit personenbezogenen Daten innerhalb von 72 Stunden die zuständige Datenschutzaufsichtsbehörde nach Art. 33 DSGVO informieren.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Cybersicherheit für Österreichische KMU 2026: Der Praxisleitfaden

Österreichische KMU stehen 2026 vor verschärften Cyberbedrohungen und strengeren Vorgaben durch NIS2 und DSGVO. Dieser Praxisleitfaden zeigt die zehn wichtigsten Schutzmassnahmen, eine 90-Tage-Roadmap und realistische Kostenrahmen.

7 min

Datenleck: Was Tun als Betroffener? Sofortmaßnahmen-Leitfaden 2026

Ein Datenleck kann jeden treffen – doch schnelles Handeln schützt vor schweren Folgen. Dieser Leitfaden zeigt Ihnen die wichtigsten Sofortmaßnahmen, Ihre Rechte nach der DSGVO und wie Sie sich langfristig vor Identitätsdiebstahl und Phishing schützen.

7 min

Ist Mein Handy Gehackt? 10 Warnzeichen und Sofortmaßnahmen (2026)

Ein gehacktes Smartphone gefährdet Bankdaten, Identität und Privatsphäre. Erfahren Sie die 10 wichtigsten Warnzeichen für ein kompromittiertes Handy und welche Sofortmaßnahmen Sie jetzt ergreifen sollten – inklusive Prävention und rechtlicher Hinweise.

9 min

Was Google über Sie weiß: Der komplette Leitfaden zu Ihren Daten (2026)

Google sammelt umfangreiche Daten über jeden Nutzer – von Suchanfragen bis Standortverläufen. Dieser Leitfaden zeigt Ihnen, welche Informationen Google speichert, wie Sie diese einsehen und löschen können und wie Sie Ihre Privatsphäre 2026 effektiv schützen.

8 min