QR-Code-Betrug (Quishing): Die Bedrohung, die sich vor aller Augen verbirgt
QR-Code-Betrug, auch Quishing genannt, nimmt 2026 rapide zu. Erfahren Sie, wie gefälschte QR-Codes Ihr Geld und Ihre Daten stehlen, wo Betrüger sie platzieren und wie Sie vor dem Tippen sicher scannen.
· Truvizy Research Team · 8 min read
TL;DR
Quishing ist QR-Code-Phishing: Betrüger ersetzen legitime QR-Codes auf Restaurantmenüs, Parkuhren, Paketetiketten und öffentlichen Plakaten durch Codes, die auf Websites zur Datenerfassung umleiten. Da die Kamera Ihres Smartphones nur eine kurze URL-Vorschau anzeigt, bevor Sie den Link öffnen, bemerken die meisten Menschen den Austausch nie. Überprüfen Sie stets die Ziel-URL, bevor Sie einen QR-Code-Link öffnen, verwenden Sie einen QR-Scanner mit integrierten Sicherheitsprüfungen, und geben Sie im Zweifel die offizielle Webadresse manuell ein.
Sie fahren in ein Parkhaus, scannen den QR-Code am Bezahlautomaten und geben Ihre Kreditkarte ein, um Ihren Parkplatz zu bezahlen. Die Transaktion scheint durchzugehen. Am Abend ruft Ihre Bank wegen drei betrügerischer Abbuchungen aus dem Ausland an. Sie haben niemandem Ihre Karte gegeben. Sie haben nie auf eine verdächtige E-Mail geklickt. Alles, was Sie getan haben, war einen QR-Code zu scannen, und das war genug. Willkommen bei Quishing: dem am schnellsten wachsenden Betrug, von dem die meisten Menschen noch nie gehört haben.
QR-Codes wurden für Bequemlichkeit entwickelt, scannen und los. Aber genau dieses reibungslose Erlebnis, das sie für Unternehmen attraktiv macht, macht sie in den Händen von Betrügern gefährlich. Anders als ein verdächtiger E-Mail-Link, über den Sie mit der Maus fahren können, um eine Vorschau zu sehen, zeigt ein QR-Code nichts, bis Sie Ihre Kamera bereits darauf gerichtet haben. Wenn Sie die Ziel-URL sehen, haben viele Opfer bereits auf "Öffnen" getippt. Diese Sekundenbruchteile sind genau das, was Quishing ausnutzt.
Was ist Quishing?
Quishing, ein Kofferwort aus "QR" und "Phishing", bezeichnet die Praxis, bösartige URLs in QR-Codes einzubetten, um Opfer auf betrügerische Websites umzuleiten. Der Betrug kann verschiedene Formen annehmen: das physische Ersetzen eines legitimen Codes durch einen gefälschten Aufkleber an öffentlichen Orten, das Versenden von QR-Codes per E-Mail oder SMS, die herkömmliche Spam-Filter umgehen, oder das Erstellen gefälschter Dokumente (Rechnungen, Strafzettel, Paketbenachrichtigungen), die prominent betrügerische Codes enthalten.
Das Internet Crime Complaint Center des FBI stufte Quishing 2024 als aufkommende Prioritätsbedrohung ein, und die Zahlen haben sich seitdem nur verschlechtert. Cybersecurity-Unternehmen dokumentierten einen Anstieg von 587% bei QR-Code-basierten Phishing-Angriffen zwischen 2024 und 2025. Die Technik ist bei organisierten Betrugsringen beliebt, weil sie billig durchzuführen, schwer in großem Maßstab zu erkennen und speziell darauf ausgelegt ist, E-Mail-Sicherheitstools zu umgehen, die in Bildern eingebettete URLs nicht lesen können.
Quishing ist Teil eines breiteren Wandels in den Betrugstaktiken hin zu Mobile-First-Angriffen. Wie wir in unserer Analyse darüber dokumentiert haben, wie KI die Raffinesse von Betrug beschleunigt, zielen Betrüger gezielt auf die Werkzeuge und Gewohnheiten ab, die Menschen während der Smartphone-Ära übernommen haben, und QR-Codes sind eine der am weitesten verbreiteten mobilen Gewohnheiten der letzten fünf Jahre.
Wie QR-Code-Betrug funktioniert
Die Mechanik eines Quishing-Angriffs ist täuschend einfach. Ein Angreifer generiert einen QR-Code, der eine bösartige URL codiert, typischerweise eine geklonte Version einer Bank-Login-Seite, eines Zahlungsportals oder eines Behördendienstes. Die gefälschte Seite sieht identisch mit der legitimen aus und erfasst alle Anmeldedaten oder Zahlungsinformationen, die das Opfer eingibt.
Bei physischen Angriffen druckt der Betrüger den betrügerischen Code auf einen Aufkleber und platziert ihn über dem legitimen Code an einer Parkuhr, einem Restaurant-Tischaufsteller oder einer öffentlichen Pinnwand. Der Austausch dauert Sekunden. Der Angreifer kann dann den Bereich verlassen und gestohlene Daten aus der Ferne sammeln. Ein einzelner gut platzierter Aufkleber an einer vielfrequentierten Parkuhr kann Dutzende von Opfern pro Tag erfassen.

E-Mail-basiertes Quishing folgt einem anderen Drehbuch. Angreifer versenden Nachrichten, die sich als Banken, HR-Abteilungen oder Paketdienste ausgeben und behaupten, der Empfänger müsse sein Konto verifizieren oder eine Lieferung verfolgen, und fügen einen QR-Code bei, den man "mit dem Handy scannen soll, für zusätzliche Sicherheit". Diese Anweisung ist absichtlich: Die Interaktion auf ein Mobilgerät zu verlagern, bringt das Opfer weg vom Firmencomputer mit seinen Sicherheitstools und auf ein persönliches Telefon mit weniger Schutz.
Auf der gefälschten Seite sieht sich das Opfer einem ausgefeilten Formular zur Datenerfassung gegenüber. Fortgeschrittenere Angriffe verwenden Echtzeit-Relay-Techniken: Während das Opfer seinen Benutzernamen und sein Passwort eingibt, verwendet der Angreifer diese Anmeldedaten gleichzeitig auf der echten Website und leitet dann die Zwei-Faktor-Authentifizierungsaufforderung zurück an das Opfer, wobei der 2FA-Schutz vollständig umgangen wird.
Unsicher über einen Link aus einem QR-Code? Fügen Sie die URL in Truvizy ein, um sie auf Phishing-Indikatoren zu prüfen, bevor Sie Daten eingeben.
Wo gefälschte QR-Codes auftauchen
Parkuhren und Bezahlautomaten gehören zu den am häufigsten anvisierten Standorten in den USA. Das Texas Department of Transportation dokumentierte 2024 Dutzende von gefälschten QR-Code-Aufklebern an Parkuhren in Großstädten. Opfer gaben vollständige Kreditkartendaten ein, in der Erwartung, für das Parken zu bezahlen, und übergaben ihre Finanzdaten stattdessen direkt an Betrüger. Der Betrug funktioniert besonders gut, weil das Parken stressig ist, Fahrer sind oft in Eile und prüfen die Zahlungsschnittstelle nicht genau.
Restaurant-Tischaufsteller und Menüs wurden zu einem wichtigen Angriffsvektor, als kontaktloses Essen nach der Pandemie Verbreitung fand. Ein Aufkleber mit einem betrügerischen QR-Code, der über oder neben einem legitimen platziert wird, kann Gäste auf eine gefälschte Menü- oder Zahlungsseite umleiten. In einigen Fällen zeigt die gefälschte Seite sogar ein überzeugendes Menü an, bevor sie zu einem Datenerfassungsformular weiterleitet, das behauptet, das Restaurant habe auf Online-Bestellung umgestellt.
Paket-Rücksendeetiketten stellen eine schnell wachsende Angriffskategorie dar. Opfer erhalten Pakete, manchmal unaufgefordert, manchmal als Teil einer gefälschten Gewinnkampagne, die Rücksendeetiketten mit QR-Codes enthalten. Das Scannen des Codes soll angeblich eine Rücksendung einleiten, führt aber stattdessen zu einem gefälschten Händlerportal, das Kreditkarteninformationen für die "Rückerstattungsverarbeitung" anfordert.
Öffentlicher Nahverkehr und Bushaltestellen bergen ein erhebliches Risiko, da die Beschilderung von Kommunen mit begrenzter Überwachungskapazität verwaltet wird. Betrügerische Codes auf Nahverkehrsplänen, Fahrkartenkiosken oder Fahrpreiszahlungsbildschirmen können tagelang unbemerkt bleiben, bevor sie entfernt werden. In Großbritannien entfernte Transport for London 2025 Hunderte von betrügerischen QR-Codes aus Bahnhöfen.
E-Mail- und dokumentenbasierte Angriffe zielen genauso auf Unternehmen wie auf Verbraucher. Gefälschte Rechnungen mit QR-Codes für "sichere Zahlung", betrügerische HR-Benachrichtigungen, die Mitarbeiter auffordern, einen Code zu scannen, um ihre Gehaltsdaten zu aktualisieren, und gefälschte Paketlieferungsbenachrichtigungen sind häufige Angriffsvektoren für Unternehmen. Wie in unserem Leitfaden zur Erkennung von Phishing-E-Mails beschrieben, werden E-Mail-basierte Angriffe in ihrer Verwendung visueller Elemente zur Umgehung automatisierter Filter immer ausgefeilter.
Gefälschte Spenden- und Fundraising-Flyer nutzen Großzügigkeit aus. Nach Naturkatastrophen oder großen Nachrichtenereignissen erscheinen betrügerische Flyer mit Spenden-QR-Codes an schwarzen Brettern, in Supermärkten und in sozialen Medien. Die Codes führen zu überzeugenden gefälschten Spendenseiten, die Spenden und Kartendaten erfassen, ohne jemals eine echte Spende zu tätigen.
Warum QR-Betrug so effektiv ist
Die Wirksamkeit von Quishing beruht auf einer grundlegenden Vertrauensdiskrepanz. QR-Codes werden mit Bequemlichkeit und Modernität assoziiert, sie werden von legitimen Unternehmen auf offiziellen Materialien platziert. Menschen wurden durch jahrelange Nutzung darauf trainiert, dem physischen Kontext eines QR-Codes mehr zu vertrauen als einem zufälligen E-Mail-Link. Ein Code auf einem Restauranttisch oder einer Parkuhr trägt eine implizite Empfehlung des Standorts selbst.
Kamera-Apps bieten minimalen Widerstand. Die meisten Smartphones erkennen QR-Codes automatisch und zeigen eine kleine URL-Vorschau an, die Benutzer instinktiv übersehen, ohne sie zu lesen. Das Vorschaufenster ist klein, die URL ist oft lang oder gekürzt, und die natürliche Tendenz des Gehirns zum Mustererkennen bedeutet, dass Benutzer häufig sehen, was sie erwarten, statt was tatsächlich da ist. Eine URL wie "secure-payment-parkingzone.com" liest sich für einen abgelenkten Benutzer als "Parken", obwohl sie für einen aufmerksamen Benutzer Gefahr signalisiert.
Sie kommen an einer Parkuhr an und scannen den QR-Code. Die Kamera Ihres Telefons zeigt eine Vorschau-URL: 'parking-pay-secure-city.com/pay'. Die Parkuhr steht in einer großen Stadt. Was sollten Sie tun?
- Den Link sofort öffnen, er erwähnt die Stadt, also muss er legitim sein
- Die URL sorgfältig prüfen: Stimmt sie mit der offiziellen Parkdomain Ihrer Stadt überein?
- Den Code scannen und Ihre Kartendaten eingeben, weil Parkuhren immer sicher sind
- Die URL ignorieren und direkt auf Öffnen tippen, um Zeit zu sparen
Answer: Generisch klingende Domains wie 'parking-pay-secure-city.com' sind ein großes Warnsignal. Das offizielle Parksystem Ihrer Stadt hat eine bestimmte, bekannte Domain (z.B. paybyphone.com oder die offizielle.gov-Seite Ihrer Stadt). Überprüfen Sie immer, ob die Ziel-URL mit der erwarteten offiziellen Domain übereinstimmt, bevor Sie Zahlungsinformationen eingeben, oder nutzen Sie den physischen Kartenschlitz, falls vorhanden.
Der mobile Kontext entfernt auch viele der Sicherheitstools, die Menschen auf Desktop-Computern haben. Unternehmens-Endpunktschutz, Browser-Erweiterungen, die Phishing-Seiten markieren, und die Gewohnheit, über Links zu fahren, um eine Vorschau zu sehen, lassen sich nicht auf Mobilgeräte übertragen. Auf dem Telefon ist der Benutzer weitgehend auf sich allein gestellt.
Wie Sie einen gefälschten QR-Code erkennen
Untersuchen Sie den Code physisch. Achten Sie auf Aufkleber, die auf gedrucktes Material aufgeklebt wurden. Gefälschte Aufkleber haben oft leicht abweichendes Papier, eine leichte Fehlausrichtung mit den umgebenden Gestaltungselementen oder sichtbare Ränder, wo der Aufkleber gedruckten Text überlappt. Fahren Sie mit dem Fingernagel über die Oberfläche, ein geschichteter Aufkleber hat in der Regel eine subtile erhabene Kante.
Lesen Sie die vollständige URL, bevor Sie tippen. Nachdem Ihre Kamera einen Code gescannt hat, erscheint eine Vorschau-Benachrichtigung oder ein Banner. Halten Sie inne, bevor Sie darauf tippen, und lesen Sie die vollständige URL. Achten Sie auf: den erwarteten Unternehmensnamen in der Domain (nicht als Suffix oder Präfix), eine seriöse Top-Level-Domain (.com,.gov,.org, nicht ungewöhnliche Endungen wie.xyz oder.top) und das Fehlen zusätzlicher Wörter wie "secure", "login", "verify" oder "payment", die an etwas angehängt werden, das wie ein Markenname aussieht.
Seien Sie skeptisch bei Dringlichkeit. Codes, die mit Formulierungen wie "Jetzt sofort scannen", "Zeitlich begrenztes Angebot" oder "Erforderlich für den Zugang" gepaart sind, sind darauf ausgelegt, Sie zum Handeln zu bringen, bevor Sie nachdenken. Seriöse Unternehmen verwenden bei QR-Zahlungscodes normalerweise keine dringliche, hochdruckhafte Sprache.
Abgleich mit offiziellen Kanälen. Bevor Sie einen QR-Code aus einer E-Mail oder einem Dokument scannen, das angeblich von Ihrer Bank, HR-Abteilung oder einem Paketdienst stammt, überprüfen Sie, ob diese Organisation die Kommunikation tatsächlich gesendet hat, indem Sie sie direkt über ihre offizielle Website oder App kontaktieren. Verwenden Sie niemals Kontaktinformationen aus derselben Nachricht, die den QR-Code enthält. Für die Bewertung verdächtiger Links und Inhalte aus unbekannten Quellen kann das Scan-Tool von Truvizy Ihnen helfen, das Risiko einzuschätzen, bevor Sie handeln.
Nutzen Sie die Alternative, wenn verfügbar. Wenn ein QR-Code die einzige Zahlungsoption an einer Parkuhr oder einem Kiosk ist, erwägen Sie, den physischen Kartenschlitz zu verwenden, über eine spezielle offizielle App zu bezahlen, die Sie aus einem verifizierten App-Store heruntergeladen haben, oder eine andere Methode zu finden. Bequemlichkeit sollte niemals über Sicherheit gehen, wenn Zahlungs- oder persönliche Daten im Spiel sind.

Was tun, wenn Sie betrogen wurden
Wenn Sie einen Code gescannt, den Link geöffnet und Informationen eingegeben haben, handeln Sie schnell. Jede Minute Verzögerung gibt dem Angreifer mehr Zeit, Ihre Daten zu nutzen.
Wenn Sie Zahlungskartendaten eingegeben haben: Rufen Sie sofort die Betrugsstelle Ihrer Bank an (verwenden Sie die Nummer auf der Rückseite Ihrer Karte, nicht irgendeine Nummer von der verdächtigen Website). Fordern Sie eine Kartensperre oder einen Ersatz an. Bitten Sie die Bank, alle Abbuchungen ab dem Moment zu markieren, in dem Sie die Informationen eingegeben haben.
Wenn Sie Anmeldedaten eingegeben haben: Ändern Sie Ihr Passwort sofort von einem separaten, vertrauenswürdigen Gerät aus. Aktivieren Sie die Zwei-Faktor-Authentifizierung, falls noch nicht aktiv. Überprüfen Sie, ob unbekannte Geräte oder Sitzungen in das Konto eingeloggt sind, und entfernen Sie sie. Wenn Sie dasselbe Passwort anderswo verwenden, ändern Sie diese ebenfalls.
Setzen Sie eine Betrugswarnung bei Ihrer Kreditdatei bei einer der drei großen Auskunfteien (Equifax, Experian, TransUnion), dies benachrichtigt die anderen beiden automatisch. Wenn Sie glauben, dass Ihre Identität kompromittiert wurde, erwägen Sie eine Kreditsperre, die kostenlos ist und verhindert, dass neue Konten in Ihrem Namen eröffnet werden. Unser umfassender Leitfaden zur Prävention von Identitätsdiebstahl behandelt den vollständigen Wiederherstellungsprozess im Detail.
Schützen Sie sich vor QR-Code-Betrug und anderen mobilen Bedrohungen mit KI-gestützter Betrugserkennung.
Schützen Sie sich in Zukunft
Die wichtigste Gewohnheit ist Innehalten, bevor Sie tippen. Das gesamte Design von Quishing beruht darauf, dass QR-Scannen sich automatisch und sofort anfühlt. Diese automatische Reaktion zu durchbrechen, selbst für zwei Sekunden, um die URL zu lesen, unterbricht den Angriff. Machen Sie es zur Regel: Zuerst URL-Vorschau lesen, dann öffnen.
Verwenden Sie eine dedizierte QR-Scanner-App, die Echtzeit-Sicherheitsprüfungen der decodierten URL durchführt, bevor sie Ihnen angezeigt wird. Diese Apps, die kostenlos von großen Sicherheitsanbietern erhältlich sind, funktionieren wie ein URL-Checker, der in Ihren Scan-Workflow integriert ist. Sie sind das mobile Äquivalent zum Überfahren eines Links mit der Maus vor dem Klicken.
Halten Sie das Betriebssystem und den Browser Ihres Smartphones aktuell. Sicherheitsupdates schließen häufig Schwachstellen, die Drive-by-Download-Angriffe ausnutzen, wenn eine bösartige Website besucht wird. Ein nicht aktualisiertes Smartphone ist deutlich anfälliger für die zweite Stufe eines Quishing-Angriffs, selbst wenn Ihre Anmeldedaten sicher bleiben.
Aktivieren Sie die Zwei-Faktor-Authentifizierung mit einer Authenticator-App, nicht per SMS. Wie wir in unserem Leitfaden zu Smishing und SMS-Betrug angemerkt haben, kann SMS-basierte 2FA abgefangen werden. Eine Authenticator-App generiert Codes lokal auf Ihrem Gerät, was Echtzeit-Relay-Angriffe erheblich erschwert.
Melden Sie verdächtige Codes, wo immer Sie sie finden. Wenn Sie einen verdächtig aussehenden Aufkleber auf einem öffentlichen QR-Code entdecken, fotografieren Sie den Standort und melden Sie es dem Unternehmen oder den lokalen Behörden. Die Entfernung eines bösartigen Aufklebers innerhalb von Stunden kann Dutzende anderer potenzieller Opfer schützen.
Key Takeaways
- Lesen Sie immer die vollständige Ziel-URL in der Kamera-Vorschau, bevor Sie auf einen QR-Code-Link tippen, besonders an Parkuhren, in Restaurants und an Haltestellen.
- Gefälschte QR-Code-Aufkleber können über legitimen Codes angebracht werden und sind ohne physische Inspektion auf überlappende Kanten fast unmöglich zu erkennen.
- QR-Codes in E-Mails umgehen die meisten Phishing-Filter von Unternehmen, behandeln Sie sie mit derselben Skepsis, die Sie auf jeden E-Mail-Link anwenden würden.
- Wenn Sie Zahlungs- oder Anmeldedaten auf einer verdächtigen Website eingegeben haben, kontaktieren Sie sofort Ihre Bank und ändern Sie betroffene Passwörter von einem separaten Gerät aus.
QR-Codes werden nicht verschwinden, und die Betrüger, die sie ausnutzen, auch nicht. Da kontaktloses Bezahlen, digitale Menüs und Mobile-First-Dienste immer stärker in den Alltag eingebettet werden, wird Quishing raffinierter und allgegenwärtiger. Das Gegenmittel ist Bewusstsein: zu wissen, dass jeder physische QR-Code ausgetauscht werden kann, jeder Code in einer E-Mail überallhin verlinken kann, und die zwei Sekunden, die es braucht, um eine URL vor dem Tippen zu lesen, die zwei Sekunden sein könnten, die Sie vor einer sehr teuren Lektion bewahren.
Truvizys Schutzpläne umfassen Tools zur Analyse verdächtiger URLs und Links, fügen Sie eine aus einem QR-Code decodierte URL in Truvizy ein, bevor Sie sie öffnen, und erhalten Sie eine sofortige KI-gestützte Bewertung ihrer Legitimität. In einer Bedrohungslandschaft, in der Betrüger bösartige Links in Bildern verstecken, ist ein Tool, das das tatsächliche Ziel überprüft, nicht mehr optional, es ist unverzichtbar.
Smishing: Warum diese SMS von Ihrer Bank wahrscheinlich ein Betrug ist — SMS-basiertes Phishing, das dasselbe psychologische Drehbuch wie Quishing verwendet.
Phishing-E-Mail-Erkennung — So erkennen Sie E-Mail-basierte Angriffe, einschließlich solcher, die QR-Codes zur Umgehung von Filtern verwenden.
Social Engineering-Angriffe — Die psychologischen Manipulationstechniken hinter Quishing und allen modernen Betrugsmaschen.
FAQ
Was ist Quishing?
Quishing ist QR-Code-Phishing, ein Betrug, bei dem Angreifer legitime QR-Codes ersetzen oder gefälschte erstellen, die Opfer auf bösartige Websites umleiten, die darauf ausgelegt sind, Anmeldedaten, Zahlungsinformationen zu stehlen oder Malware auf dem Gerät zu installieren.
Wie erkenne ich, ob ein QR-Code gefälscht ist, bevor ich ihn scanne?
Untersuchen Sie den Code physisch: Achten Sie auf Aufkleber, die über einen Originalcode angebracht wurden, auf Beschädigungen des umgebenden Materials oder auf Codes, die im Vergleich zu benachbarten leicht verändert aussehen. Überprüfen Sie nach dem Scannen stets die vollständige Ziel-URL in der Kamera-App-Vorschau, bevor Sie auf "Öffnen" tippen. Stimmt die URL nicht genau mit der erwarteten Unternehmens-Domain überein, fahren Sie nicht fort.
Kann das Scannen eines QR-Codes Malware auf meinem Smartphone installieren?
Das bloße Scannen eines QR-Codes mit Ihrer Kamera installiert keine Malware, aber das Öffnen des daraus resultierenden Links kann dies tun. Bösartige Websites können Drive-by-Downloads, Credential-Phishing versuchen oder Sie auffordern, eine gefälschte App zu installieren. Halten Sie das Betriebssystem Ihres Smartphones aktuell, vermeiden Sie die Installation von Apps aus unbekannten Quellen und verwenden Sie einen QR-Scanner mit integrierter URL-Sicherheitsprüfung.
An welchen Orten ist das Risiko gefälschter QR-Codes am höchsten?
Orte mit hohem Risiko sind Parkuhren, Restauranttische und -menüs, Haltestellen des öffentlichen Nahverkehrs, Paket-Rücksendeetiketten, Hotelfoyers und öffentlich ausgehängte Flyer. Jeder unbewachte öffentliche Bereich, an dem jemand über Nacht einen Code ersetzen könnte, ohne entdeckt zu werden, ist ein potenzielles Ziel.
Was soll ich tun, wenn ich bereits gescannt und Daten auf einer verdächtigen Website eingegeben habe?
Handeln Sie sofort: Ändern Sie alle eingegebenen Passwörter, kontaktieren Sie Ihre Bank, wenn Sie Zahlungsdaten angegeben haben, aktivieren Sie die Zwei-Faktor-Authentifizierung für betroffene Konten und überwachen Sie Ihren Kreditbericht. Melden Sie den Vorfall bei der FTC unter reportfraud.ftc.gov und, falls der gefälschte Code auf Geschäftsgelände war, informieren Sie das Unternehmen, damit es den kompromittierten Code ersetzen und andere Kunden warnen kann.