
Quishing Betrug QR-Code – Die neue Phishing-Gefahr
Quishing-Betrug mit QR-Codes: Die neue Phishing-Gefahr
Kriminelle nutzen zunehmend manipulierte QR-Codes, um ahnungslose Nutzer auf gefälschte Websites zu locken. Die Betrugsmethode Quishing verzeichnet in Deutschland steigende Fallzahlen und betrifft sowohl Privatpersonen als auch Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Angriffswelle, bei der gefälschte Codes an Parkscheinautomaten, E-Ladesäulen und sogar in persönlicher Post platziert werden.
Anders als klassisches Phishing per E-Mail erzeugt Quishing ein besonderes Risiko: Mit bloßem Auge lässt sich nicht erkennen, wohin ein QR-Code führt. Viele Scanner zeigen die versteckten Links zudem nur in gekürzter oder unvollständiger Form an. Die Polizeiliche Kriminalprävention der Länder und des Bundes meldet eine deutliche Zunahme der Meldungen seit 2024.
Die Masche funktioniert, weil QR-Codes in der Alltagswahrnehmung fest mit schnellem und bequemem Bezahlen verknüpft sind. Zeitdruck oder Unachtsamkeit genügen, damit Opfer ihre sensiblen Daten preisgeben. Experten raten daher zu erhöhter Wachsamkeit bei allen gescannten Codes – insbesondere an öffentlichen Orten.
Was ist Quishing?
Der Begriff Quishing setzt sich aus den Wörtern „QR-Code” und „Phishing” zusammen. Es handelt sich um eine Variante des klassischen Phishings, bei der Betrüger keine betrügerischen E-Mail-Links versenden, sondern QR-Codes an physischen Orten oder in Dokumenten platzieren. Diese Codes verbergen Links zu gefälschten Webseiten, die darauf ausgelegt sind, persönliche und finanzielle Daten abzufangen.
Hybrid aus QR-Code und Phishing
Steigende Fälle seit 2022
Malware-Installation und Datenklau
Nicht blind scannen
Das Hauptrisiko besteht darin, dass Nutzer die Zieladresse vor dem Öffnen nicht überprüfen können. Ein QR-Code sieht offiziell aus, führt jedoch zu einer täuschend echten Phishing-Seite. Die gefälschten Websites imitieren bekannte Zahlungsdienste, Banken oder Paketdienstleister, um Vertrauen zu erwecken.
Wichtige Fakten im Überblick
- Der Begriff „Quishing” wurde erstmals 2022 in großem Umfang verwendet
- Hauptplattformen für die Betrugsmasche sind gefälschte Rechnungen und Paketbenachrichtigungen
- Das Risiko reicht von Identitätsdiebstahl bis zu erheblichen Finanzverlusten
- Sowohl Privatpersonen als auch Unternehmen sind betroffen
- Die Dunkelziffer wird als hoch eingeschätzt, da viele Fälle nicht gemeldet werden
- QR-Code-Reader zeigen URLs häufig nur unvollständig oder gekürzt an
- Zeitdruck und Gewohnheit machen Nutzer besonders anfällig
| Fakt | Details |
|---|---|
| Erstes Auftreten | 2022 (Begriff Quishing geprägt) |
| Hauptplattformen | Rechnungen, Paketbenachrichtigungen |
| Risiko | Identitätsdiebstahl, Finanzverlust |
| Betroffene | Privatpersonen, Unternehmen |
| Typische Tarnung | Offizielle Zahlungsseiten, Bankportale |
Wie funktioniert Quishing-Betrug mit QR-Codes?
Der Ablauf eines Quishing-Angriffs folgt einem systematischen Muster. Zunächst erstellen Kriminelle eine gefälschte Website, die das Design einer vertrauenswürdigen Institution kopiert – etwa einer Bank, eines Parkdienstes oder eines Paketdienstleisters. Anschließend generieren sie einen QR-Code, der auf diese Fälschung verweist.
Die platzierten Codes finden sich an Orten, wo Nutzer routinemäßig scannen und bezahlen. Parkscheinautomaten, E-Ladesäulen und Fahrkartenautomaten gehören zu den bevorzugten Zielen. Die Betrüger überkleben dabei originale, legitime QR-Codes mit eigenen Aufklebern, die nur schwer zu erkennen sind.
Gängige Verbreitungswege
Kriminelle setzen verschiedene Methoden ein, um ihre manipulierten QR-Codes zu verbreiten:
- Parkscheinautomaten und E-Ladesäulen: Überkleben legitimer Bezahl-QR-Codes mit gefälschten Varianten
- Gefälschte Briefe: Falsche Bankbriefe per Post mit QR-Codes zur angeblichen „E-Banking-Aktualisierung”
- Öffentliche Verkehrsmittel: Plakate in Bussen und Bahnen mit betrügerischen QR-Codes
- Falsche Strafzettel: Gefälschte Verwarnungsgelder mit manipulierten Codes an Windschutzscheiben
- Kleinanzeigen-Portale: QR-Codes, die seriöse Bezahlmethoden imitieren
QR-Codes sind in der Alltagswahrnehmung fest mit schnellem und bequemem Bezahlen verknüpft. Nutzer haben eine entsprechende Erwartungshaltung entwickelt und neigen dazu, die versteckten Links ohne gründliche Prüfung zu öffnen. Zeitdruck oder Unachtsamkeit reichen aus, um geschädigt zu werden.
Nach dem Scannen zeigt die Kamera-App oder der QR-Reader die Internet-Adresse an – jedoch häufig nur unvollständig. Eine manipulierte URL wie „beispiel.de-123.com” unterscheidet sich entscheidend von der echten Adresse „beispiel.de/123″. Dieser Unterschied ist für ungeübte Nutzer kaum erkennbar, führt jedoch auf vollständig unterschiedliche Domains.
Sobald das Opfer die gefälschte Seite öffnet und seine Daten eingibt, haben die Betrüger Zugriff auf Kreditkartennummern, Passwörter oder Bankverbindungen. Mit diesen Informationen können sie direkt Geldotransaktionen einleiten oder Konten übernehmen.
Bekannte Beispiele und Fälle von Quishing
In mehreren deutschen Großstädten wurden in jüngster Zeit Fälle von Quishing an öffentlichen Einrichtungen bekannt. Besonders betroffen waren Parkscheinautomaten von Stadtwerken, wie das BSI in seinem Lagebericht dokumentiert.
Fälle in deutschen Großstädten
In Hannover und weiteren Städten wurden Nutzer, die ihre Parkgebühren über QR-Codes an Automaten bezahlen wollten, auf täuschend echte Phishing-Webseiten geleitet. Die Opfer gaben dort arglos ihre Zahlungsdaten ein und bemerkten die Täuschung erst, als unbefugte Abbuchungen auf ihren Konten erschienen.
Ein besonders aktueller Fall betrifft gefälschte QR-Codes, die eine EasyPark-Webseite imitieren. Kriminelle platzierten diese auf Parkautomaten und lenkten Nutzer auf eine täuschend echte Seite, wo Kreditkartendaten und persönliche Informationen abgegriffen wurden.
Gefälschte Bankbriefe
Eine Verbraucherin aus Velbert erhielt Mitte September 2025 einen gefälschten Brief, der offiziell von der Commerzbank stammte. Das Schreiben enthielt einen QR-Code mit der Aufforderung zur „Aktualisierung des E-Bankings”. Ähnliche Fälle sind dokumentiert: Eine Verbraucherin aus München erhielt bereits Ende August 2024 ein nahezu identisches Schreiben.
Die Verbraucherzentrale NRW und die Polizeiliche Kriminalprävention haben mehrere hundert Quishing-Fälle aus den Jahren 2024 und 2025 registriert. Die tatsächliche Zahl dürfte deutlich höher liegen, da viele Betroffene den Vorfall nicht melden.
Chronologie der Entwicklung
Die Verbreitung von Quishing lässt sich in mehreren Phasen nachvollziehbar:
- 2022: Erste Berichte über die neue Betrugsmethode erscheinen; der Begriff „Quishing” etabliert sich
- 2023: Deutliche Zunahme der Fälle in Deutschland; erste Warnungen von Verbraucherschutzorganisationen
- 2024: BSI und Polizei veröffentlichen offizielle Warnungen; Anstieg der Meldungen um einen zweistelligen Prozentsatz
- 2025: Experten erwarten den Einsatz von KI-generierten QR-Codes und zunehmende IoT-Integration
Quishing erkennen und vermeiden
Vorbeugende Maßnahmen können das Risiko einer Quishing-Attacke erheblich reduzieren. Die wichtigste Regel lautet: Niemals blind scannen, sondern immer die Herkunft und Integrität des QR-Codes prüfen.
Prüfung vor dem Scannen
Bevor ein QR-Code gescannt wird, sollten mehrere Warnsignale beachtet werden:
- Integrität kontrollieren: Handelt es sich um einen aufgeklebten Sticker oder ist der Code Teil der offiziellen Beschilderung? Ein zusätzlicher Aufkleber, der Originalbeschriftungen überdeckt, ist ein klares Warnsignal
- Anbringungsweise überprüfen: Ein vom Gerät aufgedruckter Code ist vertrauenswürdiger als ein aufgeklebter Sticker
- Ladesäulen nicht überkleben: An E-Ladesäulen sollte kein QR-Code nachträglich angebracht sein – im Zweifel die App direkt nutzen
- URL-Vorschau prüfen: Viele QR-Scanner zeigen nach dem Scan die vollständige URL an, bevor sie öffnen. Diese sollte sorgfältig geprüft werden
- Keine Eile: Zeitdruck ist ein typisches Merkmal von Betrugsmaschen
Was tun bei Verdacht?
Wer einen verdächtigen QR-Code gescannt hat, sollte umgehend handeln. Zunächst empfiehlt es sich, keine weiteren Daten einzugeben und die Webseite sofort zu verlassen. Anschließend sollten betroffene Konten überprüft und gegebenenfalls gesperrt werden. Die Polizei und die Verbraucherzentrale bieten Beratung und nehmen Strafanzeigen entgegen.
Zusammenfassung
Quishing stellt eine ernstzunehmende Erweiterung des klassischen Phishings dar, die die Schwächen des visuellen Vertrauens in QR-Codes ausnutzt. Die steigenden Fallzahlen seit 2024 zeigen, dass Kriminelle diese Methode zunehmend bevorzugen. Der Schutz vor Quishing erfordert vor allem eines: erhöhte Wachsamkeit und das Bewusstsein, dass nicht jeder QR-Code das ist, was er vorgibt zu sein.
Für weitere Informationen zum Thema IT-Sicherheit und Betrugsprävention bieten die offiziellen Stellen wie das BSI und die Polizeiliche Kriminalprävention regelmäßig aktualisierte Warnungen und Handlungsempfehlungen.
Häufig gestellte Fragen (FAQ)
Was ist Quishing?
Quishing ist eine Betrugsmethode, bei der Kriminelle QR-Codes manipulieren, um Nutzer auf gefälschte Webseiten zu leiten. Der Begriff setzt sich aus „QR-Code” und „Phishing” zusammen.
Wie erkenne ich einen gefälschten QR-Code?
Achten Sie darauf, ob der QR-Code als Aufkleber nachträglich angebracht wurde, ob er eine unvollständige oder verdächtige URL anzeigt und ob er an einem ungewöhnlichen Ort platziert ist.
Was sollte ich tun, wenn ich einen betrügerischen QR-Code gescannt habe?
Geben Sie keine Daten ein, schließen Sie die Webseite sofort und kontaktieren Sie Ihre Bank. Erstatten Sie Anzeige bei der Polizei und informieren Sie die Stelle, an der der Code angebracht war.
Sind auch Unternehmen von Quishing betroffen?
Ja, sowohl Privatpersonen als auch Unternehmen können Opfer von Quishing werden. Besonders betroffen sind Firmen, deren Mitarbeiter im Außendienst regelmäßig QR-Codes scannen.
Wo finde ich weitere Informationen und aktuelle Warnungen?
Aktuelle Warnungen bieten das Bundesamt für Sicherheit in der Informationstechnik, die Polizeiliche Kriminalprävention und die Verbraucherzentralen.