So schützen sich Verbraucher:innen vor betrügerischen QR-Codes

QR-Codes erleichtern uns den Alltag in vielen Bereichen: Beim Scannen von Speisekarten, beim Abrufen von Informationen, beim Einchecken am Flughafen oder beim Bezahlen. Doch was als praktische Lösung begann, birgt auch Risiken. Mit dem sogenannten Quishing setzen Betrüger:innen auf gefälschte QR-Codes, um Nutzer:innen auf betrügerische Websites zu locken oder Schadsoftware zu verbreiten.

Wie funktioniert Quishing?

Ein offiziell aussehender Brief einer Bank weist auf ein dringendes Update hin und enthält einen QR-Code zur schnellen Anmeldung. Wird dieser Code gescannt, öffnet sich eine täuschend echt aussehende Website. Nach Eingabe der Anmeldedaten erhalten die Betrüger:innen Zugriff auf das Konto. Das ist Quishing – eine sprachliche Kombination aus „QR-Code“ und „Phishing“.

Während beim klassischen Phishing verdächtige Links in E-Mails oder SMS verwendet werden, ersetzen Betrüger:innen diese beim Quishing durch QR-Codes. Diese unscheinbaren Muster leiten unbemerkt auf gefälschte Websites oder veranlassen den automatischen Download von Schadsoftware. Das Problem dabei: Viele Sicherheitsprogramme überprüfen zwar die Inhalte von URLs und Links, erkennen jedoch den hinter einem QR-Code verborgenen Link oft nicht automatisch. Dadurch bleibt die tatsächliche Bedrohung verborgen.

Warum ist Quishing gefährlich?

Quishing nutzt das Vertrauen der Nutzer:innen in QR-Codes, um sie auf betrügerische Websites zu locken. Beim Scannen ist nicht direkt erkennbar, wohin der Code führt – eine Schwäche, die von Betrüger:innen gezielt ausgenutzt wird. QR-Codes lassen sich zudem leicht auf verschiedenen Oberflächen platzieren – auf Flyern, in E-Mails, auf Plakaten und sogar in vermeintlich offiziellen Schreiben von Finanzinstituten oder Mobilfunkanbietern. Diese Masche spricht somit auch Zielgruppen an, die klassischen Phishing-Mails gegenüber skeptischer sind. Dass diese Gefahr real ist, zeigt eine aktuelle Visa‑Umfrage: 58 % der Verbraucher:innen in Deutschland haben bereits von Quishing gehört, und 8 % waren selbst betroffen.

Wie nah das am Alltag ist, zeigt ein aktueller Fall: In Baden-Baden und Landau wurden Parkautomaten mit betrügerischen QR-Codes überklebt, die Nutzer:innen auf gefälschte Zahlungsseiten führten. Derartige Angriffe zielen darauf ab, möglichst viele sensible Informationen abzugreifen – wie Onlinebanking-Logins, Kreditkartendaten oder Passwörter. Mit diesen Daten können Betrüger:innen unberechtigte Transaktionen ausführen, Zahlungslimits erhöhen oder die vollständige Kontrolle über Konten übernehmen.

Ein zusätzliches Risiko besteht in sogenannten „Drive-by-Downloads“: Beim Scannen schadhafter QR-Codes kann automatisch Schadsoftware heruntergeladen werden, ohne dass Nutzer:innen dies aktiv genehmigen. Dadurch können Betrüger:innen die Kontrolle über das Smartphone oder den Computer erlangen und für betrügerische Transaktionen nutzen.

Wie schütze ich mich vor Quishing?

Um sich vor Quishing-Angriffen zu schützen, sollten Verbraucher:innen besonders vorsichtig beim Scannen von QR-Codes sein. Die folgenden Tipps sollte man daher beachten.

• URL vor dem Öffnen prüfen: Viele QR-Code-Scanner zeigen die Zieladresse an, bevor die Website lädt. Verbraucher:innen sollten diese URL genau überprüfen und mit der offiziellen Adresse der Institution vergleichen. Achtung: Manche Geräte zeigen in der Vorschau nur einen Teil der Adresse an, sodass versteckte Subdomains oder Pfade nicht sichtbar sind. In manchen Fällen kann sogar eine andere Adresse angezeigt werden. Im Zweifel daher die vollständige URL einblenden lassen oder besser selbst eingeben.

• Misstrauisch bei Dringlichkeitswarnungen sein: Briefe oder Nachrichten, die Empfänger:innen unter Druck setzen und negative Konsequenzen androhen („Ihr Konto wird gesperrt, wenn Sie nicht sofort…“) sollten stets kritisch hinterfragt werden.

• Verträge überprüfen: Bei einer Aufforderung zur Eingabe von Vertragsdaten sollten Verbraucher:innen zuerst prüfen, ob sie überhaupt eine Geschäftsbeziehung mit der jeweiligen Institution haben. Sie sollten sich nicht von vermeintlich offiziellen Schreiben täuschen lassen.

• Nur offizielle Kanäle nutzen: Bei Unsicherheiten lieber über bekannte Kanäle wie die offizielle Website oder Hotline der Bank nachfragen – niemals QR-Codes aus verdächtigen Nachrichten scannen.

• Vorsicht bei QR-Codes aus unbekannten Quellen: QR-Codes aus öffentlichen Bereichen, E-Mails oder verdächtigen Briefen lieber ignorieren, wenn die Herkunft nicht eindeutig vertrauenswürdig ist.

• Sicherheitstechnologien auf allen Geräten nutzen: Das Installieren von Schadsoftware-Erkennung auf allen Geräten (Desktop, Handy, Tablet) sorgt für eine höhere Sicherheit. Die Software sollte dafür stets aktualisiert werden und auch in der Lage sein, QR-Codes zu analysieren.

• Regelmäßige Updates durchführen: Antivirus-Programme und Betriebssysteme sollten auf dem neuesten Stand gehalten werden, um gegen aktuelle Bedrohungen gewappnet zu sein.

Was tun, wenn ich betroffen bin?

Falls versehentlich ein betrügerischer QR-Code gescannt und sensible Daten eingegeben wurden, ist schnelles Handeln gefragt:

• Die Bank umgehend informieren und betroffene Karten sofort sperren lassen. 

• Den zentralen Sperrnotruf 116 116 nutzen, um Kreditkarten und Konten schnell und weltweit zu sperren.

• Onlinebanking-Limit vorübergehend auf null setzen, bis der Vorfall geklärt ist.

• Kontoauszüge regelmäßig überprüfen, um ungewöhnliche Aktivitäten sofort zu erkennen.

• Antivirensoftware aktualisieren und das betroffene Gerät vollständig überprüfen lassen.

Dieser Blogpost wurde am 2. Oktober 2025 aktualisiert.