QR-Codes sind aus dem Alltag nicht mehr wegzudenken: Speisekarte im Restaurant, Ticket am Bahnsteig, Bezahlung am Parkautomaten – ein kurzer Scan genügt. Genau diese Selbstverständlichkeit machen sich Kriminelle zunutze. Denn anders als bei einem Link in einer E-Mail sehen Sie bei einem QR-Code nicht, wohin er führt. Sie vertrauen dem kleinen schwarz-weißen Quadrat blind. Diese Masche hat einen Namen: Quishing.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer deutlichen Zunahme solcher Angriffe. In diesem Artikel ordne ich ein, warum QR-Codes ein so dankbares Werkzeug für Betrüger sind, wo Ihnen die Falle begegnet und wie Sie sich – privat wie im Unternehmen – zuverlässig schützen. Das kurze Video oben fasst das Wichtigste in zwei Minuten zusammen; hier lesen Sie es in Ruhe nach, mit ein paar zusätzlichen Hintergründen.
Was ist Quishing?
Der Begriff setzt sich aus QR-Code und Phishing (Datenklau) zusammen. Das Prinzip ist dasselbe wie beim Smishing, dem Betrug per SMS – nur dass die gefährliche Adresse diesmal nicht als Link, sondern als QR-Code getarnt ist. Sie scannen den Code, landen auf einer täuschend echt nachgebauten Seite und sollen dort Daten eingeben oder eine vermeintliche Gebühr zahlen. Was Sie eingeben, geht direkt an die Täter.
Warum QR-Codes besonders tückisch sind
Bei einer betrügerischen E-Mail kann ein aufmerksamer Mensch den Link mit dem Mauszeiger prüfen, bevor er klickt. Bei einem QR-Code fehlt diese Möglichkeit – und genau das macht ihn so gefährlich. Drei Faktoren kommen zusammen:
- Sie sehen das Ziel nicht. Ein QR-Code ist mit bloßem Auge nicht lesbar. Erst nach dem Scan zeigt sich die Adresse – wenn überhaupt.
- Sicherheitsfilter schauen vorbei. Für Spam- und Virenfilter ist ein QR-Code nur ein Bild, kein anklickbarer Link. Die übliche Linkprüfung greift hier oft ins Leere.
- Der Scan passiert am Handy. Auf dem kleinen Display sieht man die volle Adresse schlecht, und unterwegs ist man unaufmerksamer als am Schreibtisch.
Hinzu kommt ein neuer Verstärker: Laut BSI nutzen Kriminelle inzwischen Künstliche Intelligenz, um die Begleitnachrichten perfekt zu formulieren. Die holprigen Texte mit Rechtschreibfehlern, an denen man Betrug früher erkannt hat, gehören damit der Vergangenheit an.
Was nach dem Scan passiert
Aus „nur kurz bestätigen" wird schnell ein echter Schaden:
- Daten weg – Login- oder Zahlungsdaten, die Sie auf der gefälschten Seite eingeben, landen bei den Tätern.
- Konto leer – mit erbeuteten Bankdaten wird abgebucht oder eingekauft.
- Schadsoftware – im schlimmsten Fall wird über die aufgerufene Seite ein Schadprogramm auf dem Gerät installiert.
Wo Ihnen Quishing begegnet
Das BSI beobachtet die Masche vor allem an diesen Stellen:
- Angebliche E-Mails von Banken oder Paketdiensten – mit der Bitte, sich „zur Sicherheit" über einen QR-Code anzumelden.
- Parkautomaten und Ladesäulen – hier kleben Täter in mehreren Städten gefälschte Codes einfach über den echten. Optisch fällt das kaum auf.
- Briefe, Flyer und PDF-Dokumente – gedruckte QR-Codes wirken besonders seriös und werden selten hinterfragt.
Besonders heikel für Unternehmen
Im Geschäftsalltag ist Quishing mehr als ein Privatproblem. Eine zunehmend beliebte Variante sind gefälschte Rechnungen mit manipuliertem Zahlungs-QR-Code: Die Rechnung sieht echt aus, doch der aufgedruckte Code (etwa ein GiroCode zur Überweisung) führt das Geld direkt auf das Konto der Betrüger. Wer im Unternehmen Zahlungen per QR-Code freigibt, sollte den Empfänger deshalb immer mit den hinterlegten Stammdaten abgleichen – nicht blind dem Code vertrauen.
Genauso wichtig: Sensibilisieren Sie Ihre Mitarbeiter. Ein einziger unbedachter Scan auf einem Firmengerät kann Zugangsdaten preisgeben. Schützen Sie wichtige Konten zusätzlich mit Multi-Faktor-Authentifizierung, damit ein erbeutetes Passwort allein noch keinen Schaden anrichtet.
So erkennen Sie Quishing in Sekunden
Sie müssen sich keine Technik merken – nur ein Muster, das bei praktisch jedem Betrug funktioniert:
So schützen Sie sich – die BSI-Empfehlungen
- Scannen Sie keine Codes aus unbekannten E-Mails, Briefen oder von Flyern.
- Nutzen Sie eine Scanner-App, die die Ziel-Adresse anzeigt, bevor die Seite öffnet – und prüfen Sie die Adresse auf verdächtige Domains.
- Für Dienste wie Parken: die offizielle App oder Webseite direkt nutzen, statt den Code am Automaten zu scannen.
- Am Automaten kurz prüfen: Klebt ein Aufkleber über dem eigentlichen Code? Dann Finger weg.
- Im Zweifel die Adresse selbst im Browser eintippen, statt zu scannen.
Schon gescannt – was jetzt?
Haben Sie bereits gescannt und Daten eingegeben, zählt jede Minute:
- Bank anrufen und Karte sperren lassen.
- Passwörter der betroffenen Konten ändern.
- Bei finanziellem Schaden Anzeige bei der Polizei erstatten.
Fazit
Quishing funktioniert, weil ein QR-Code vertraut und harmlos wirkt – und weil weder Auge noch Filter sehen, wohin er führt. Die Technik dahinter wird raffinierter, doch Ihre wichtigste Verteidigung bleibt einfach: kurz innehalten, statt reflexartig zu scannen. Wer den Merksatz im Kopf hat und im Zweifel den offiziellen Weg wählt, nimmt der Masche fast die ganze Wirkung.
Möchten Sie Ihre Mitarbeiter für solche Maschen schulen oder Ihre IT-Sicherheit insgesamt auf den Prüfstand stellen? Sprechen Sie mich an – ein kostenloses Erstgespräch reicht oft, um die größten Lücken zu schließen.
Haben Sie Fragen zu Ihrer IT-Sicherheit?
Kostenloses Erstgespräch