QR-Code-Phishing (Quishing) — Gefalschte QR-Codes erkennen und sich schutzen
Ein QR-Code-Scan kann Ihre persoenlichen Daten in Sekunden stehlen. Erfahren Sie, was Quishing ist, wie Sie gefalschte QR-Codes erkennen und sich vor QR-Code-Betrug schutzen.
QR-Code-Phishing (Quishing) — Der Betrug, der sich vor aller Augen versteckt
Sie scannen einen QR-Code im Restaurant, um die Speisekarte zu sehen. Am Parkautomaten scannen Sie einen Code zum Bezahlen. Den QR-Code einer Paketbenachrichtigung scannen Sie, um die Lieferung zu verfolgen. Alles scheint harmlos. Aber was, wenn dieser QR-Code nicht echt ist?
QR-Phishing-Angriffe sind zwischen 2025 und 2026 um 270% pro Monat gestiegen, und 12% aller Phishing-Angriffe enthalten mittlerweile QR-Codes. In Grossbritannien wurden 784 Quishing-Faelle mit Verlusten von 3,5 Millionen Pfund gemeldet. Es ist an der Zeit, QR-Codes mit der gleichen Vorsicht zu behandeln wie verdaechtige Links.
Was ist Quishing?
Quishing = QR + Phishing
Beim klassischen Phishing wird Ihnen ein gefaelschter Link per WhatsApp oder E-Mail geschickt. Beim Quishing wird ein gefaelschter QR-Code verwendet, um Sie auf eine boesartige Website umzuleiten. Der entscheidende Unterschied: Sie koennen einen QR-Code nicht mit blossem Auge lesen — das macht ihn noch gefaehrlicher als einen Textlink.
Reale Quishing-Betrugsmaschen in Deutschland
1. Gefaelschte QR-Codes an Parkautomaten
Betrueger kleben einen Aufkleber ueber den echten QR-Code
→ Sie scannen und landen auf einer gefaelschten Bezahlseite
→ Kartendaten eingegeben → sofort gestohlen
In deutschen Staedten wurden gefaelschte QR-Aufkleber an Parkautomaten, E-Scooter-Stationen und Ladesaeulen fuer Elektroautos entdeckt.
2. Gefaelschte Speisekarten in Restaurants
Betrueger platzieren einen gefaelschten QR-Code ueber dem echten Speisekarten-Code des Restaurants. Statt der Speisekarte werden Sie auf eine Seite geleitet, die persoenliche Daten oder Zahlungsinformationen abfragt.
3. QR-Codes in Phishing-E-Mails
"Ihr Konto erfordert eine Sicherheitsueberpruefung — scannen Sie den QR-Code"
→ Gefaelschte Login-Seite
→ Firmenzugangsdaten gestohlen
KI- und LLM-Tools werden jetzt eingesetzt, um ueberzeugendere Phishing-E-Mails mit eingebetteten QR-Codes zu erstellen. Diese umgehen herkoemmliche E-Mail-Filter, weil die boesartige URL im Bild versteckt ist.
4. Gefaelschte Paketbenachrichtigungen mit QR
"Zustellung verschoben — scannen Sie diesen QR-Code fuer neue Lieferoptionen"
→ Gefaelschte DHL/Hermes-Website
→ Name, Adresse und Zahlungsdaten abgegriffen
WhatsApp-Nachrichten und E-Mails, die sich als DHL, Hermes oder Deutsche Post ausgeben und QR-Codes enthalten, gehoeren zu den am schnellsten wachsenden Betrugsarten.
5 Anzeichen fuer einen gefaelschten QR-Code
| # | Warnsignal | Worauf Sie achten sollten |
|---|---|---|
| 1 | Aufkleber ueber dem Original | Fuehlen Sie die Oberflaeche — wenn ein Aufkleber darueber klebt, ist er wahrscheinlich gefaelscht |
| 2 | URL stimmt nicht mit der erwarteten Domain ueberein | Die gescannte URL sollte zum Unternehmen passen (z.B. stadtparken.de, nicht p4rken-bezahlung.net) |
| 3 | Fordert sofort persoenliche Daten oder Zahlung | Legitime QR-Codes verlangen selten sofortige Kartendaten |
| 4 | Kein HTTPS | Beginnt die URL mit http:// statt https://, ist die Verbindung nicht sicher |
| 5 | Weiterleitung ueber gekuerzte URLs | Mehrfache Weiterleitungen, die das endgueltige Ziel verschleiern, sind ein Warnsignal |
So scannen Sie QR-Codes sicher
Schritt 1: Nutzen Sie die eingebaute Kamera Ihres Smartphones
Die Kamera Ihres iPhones oder Android-Geraets zeigt eine URL-Vorschau an, bevor der Link geoeffnet wird. Verwenden Sie keine Drittanbieter-Apps, die Links automatisch oeffnen.
Schritt 2: Ueberpruefen Sie die URL vor dem Oeffnen
Lesen Sie die URL sorgfaeltig. Sollte es stadtparken.de sein? Wenn dort st4dt-parken-zahlung.com steht, oeffnen Sie es nicht.
Schritt 3: Geben Sie niemals Zahlungsdaten auf einer per QR geoeffneten Seite ein
Wenn ein QR-Code zu einer Zahlungsseite fuehrt, schliessen Sie sie. Gehen Sie direkt zur offiziellen App oder Website, um zu bezahlen.
Schritt 4: Verwenden Sie einen QR-Scanner mit URL-Pruefung
Sicherheitsorientierte QR-Scanner koennen bekannte boesartige URLs erkennen, bevor Sie sie oeffnen.
Schritt 5: Pruefen Sie den QR-Code physisch
An oeffentlichen Orten pruefen Sie, ob der QR-Code ein Aufkleber ueber einem anderen ist. Wenn er erhoeht ist, sich abloest oder schief sitzt — scannen Sie ihn nicht.
Sichere QR-Codes vs gefaehrliche QR-Codes
Legitime Verwendung
- WLAN-Freigabe: Cafes und Hotels, die WLAN-Zugangsdaten per QR bereitstellen
- Offizielle Speisekarten: QR-Codes aus dem eigenen Bestellsystem des Restaurants
- Vertrauenswuerdige Zahlungen: QR-Codes, die in offiziellen Bank- oder Bezahl-Apps generiert werden
- LOCK.PUB-Linkfreigabe: Passwortgeschuetzte QR-Links mit der vertrauenswuerdigen Domain
lock.pub
Gefahrensignale
- QR-Codes in unaufgeforderten E-Mails
- Aufkleber an oeffentlichen Orten von unbekannter Quelle
- QR-Codes auf unbekannten Flyern, Plakaten oder Visitenkarten
- QR-Codes, die per WhatsApp von unbekannten Absendern kommen
Was tun, wenn Sie einen verdaechtigen QR-Code gescannt haben
Keine Panik. Folgen Sie diesen Schritten sofort:
- Browser schliessen — wenn Sie keine Daten eingegeben haben, sind Sie wahrscheinlich sicher
- Wenn Sie Zugangsdaten eingegeben haben, aendern Sie sofort Ihr Passwort
- Wenn Sie Zahlungsdaten eingegeben haben, kontaktieren Sie Ihre Bank, um die Karte zu sperren
- Pruefen Sie, ob unbekannte Apps installiert wurden und loeschen Sie diese
- Melden Sie es bei der Polizei oder beim BSI (Bundesamt fuer Sicherheit in der Informationstechnik)
Wie LOCK.PUB QR-Codes sicher einsetzt
LOCK.PUB ermoeglicht es Ihnen, Links per QR-Code zu teilen — aber mit integrierten Sicherheitsfunktionen:
- Passwortschutz: Auch nach dem Scannen des QR-Codes ist ein Passwort erforderlich, um auf den Inhalt zuzugreifen
- Vertrauenswuerdige Domain: Verweist immer auf
lock.pub— leicht zu verifizieren - Ablauf: Links werden nach dem festgelegten Zeitraum automatisch deaktiviert
- Zugriffsverfolgung: Sehen Sie genau, wer Ihren Link wann geoeffnet hat
Das Problem sind nicht die QR-Codes selbst, sondern unbekannte QR-Codes aus unbekannten Quellen. Scannen Sie nur QR-Codes aus vertrauenswuerdigen Quellen und pruefen Sie immer die URL, bevor Sie darauf tippen.
Fazit
QR-Codes sind ueberall, weil sie praktisch sind. Aber genau diese Bequemlichkeit nutzen Betrueger aus. Ein einziger Scan kann Ihre Kreditkartendaten, Ihre Anmeldedaten oder den Zugang zu Ihrem Firmennetzwerk preisgeben.
Bevor Sie einen QR-Code scannen, nehmen Sie sich 3 Sekunden Zeit zur Ueberpruefung. Diese 3 Sekunden koennen Ihre Identitaet, Ihr Geld und Ihre Sicherheit schuetzen.
Schlüsselwörter
Das könnte Sie auch interessieren
So verwaltest du die Online-Konten und Passwörter deiner Kinder sicher
Eltern-Ratgeber für die sichere Verwaltung von Gaming-, Schul- und Social-Media-Passwörtern deiner Kinder. Mit altersgerechten Strategien und Notfalltipps.
Uebergabe beim Ausscheiden: So verwalten Sie Uebergabematerialien sicher
Erfahren Sie, wie Sie beim Mitarbeiteraustritt Kontodaten, API-Schluessel und Projektdateien sicher uebergeben, mit Checklisten fuer beide Seiten.
Phishing-Links erkennen: Sichere Links vs gefaehrliche Links
Lernen Sie, Phishing-Links vor dem Klicken zu erkennen. Praktische Checkliste, Warnsignale und der Unterschied zwischen seriösen Link-Diensten und Betrugsseiten.
Erstellen Sie jetzt Ihren passwortgeschützten Link
Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.
Kostenlos Starten