Cyberkriminelle nutzen QR-Codes zunehmend, um Schadsoftware zu verbreiten oder Zahlungsdaten zu stehlen. Laut europäischen Sicherheitsbehörden nimmt die Zahl dieser sogenannten Quishing-Angriffe seit 2024 rasant zu – besonders auf Smartphones, wo viele Schutzmechanismen fehlen.
Wie scannen Sie eigentlich einen QR-Code – und wer schützt Sie dabei?
In der Regel geschieht das mit dem Smartphone: Kamera öffnen, kurz auf das schwarz-weiße Muster halten, fertig. Schnell, bequem, intuitiv – aber oft auch unbedacht. Denn im Gegensatz zum PC verfügt das Smartphone über deutlich weniger Kontrollmechanismen. Browser-Erweiterungen, Sicherheitssoftware oder URL-Prüfdienste greifen hier kaum. Genau dieser Unterschied macht Quishing, also QR-Code-Phishing, so gefährlich.
Auf einem Computer hätten Sie mehrere Verteidigungsebenen: Antivirus, Phishing-Filter oder Browser-Sandbox. Auf dem Handy entscheiden Sie dagegen in Sekunden, ob Sie einer Website vertrauen. Und genau dieser Moment ist der häufigste Einstiegspunkt für Angriffe. Wer den Scan als Teil der Sicherheitskette versteht, erkennt: Nicht nur die Bezahlmethode muss sicher sein – auch der Weg dorthin.
Smartphone oder PC – wer schützt besser?
Smartphone – Schwachstellen
• QR-Reader öffnen Links oft automatisch, ohne URL-Vorschau.
• Mobile Browser zeigen Zertifikate nicht vollständig an.
• App-Downloads über QR-Links können Schadsoftware einschleusen.
Smartphone – Schutzmaßnahmen
• Nur Scanner mit URL-Vorschau nutzen.
• Keine App-Downloads über QR-Links akzeptieren.
• Sicherheits-Apps installieren und Zahlungen nur in offiziellen Apps tätigen.
PC – Vorteile
• Mehrschichtige Sicherheitssoftware und URL-Filter.
• Browser-Erweiterungen gegen Phishing.
• Leichte Kontrolle von Zertifikaten und URLs.
PC – zusätzliche Tipps
• Web-Filter aktivieren.
• Unbekannte Links in Sandbox-Umgebungen öffnen.
• QR-Codes bei Bedarf am PC prüfen, bevor Sie mobil handeln.
Diese Gegenüberstellung zeigt: Das schwächste Glied in der Sicherheitskette ist meist das mobile Endgerät – und der Mensch, der scannt.
Was ist Quishing genau und wie läuft das ab?
Quishing steht für QR-Phishing: Betrüger platzieren manipulierte QR-Codes, die Sie auf gefälschte Websites führen. Statt einer echten Bezahlseite oder Menükarte öffnet sich eine täuschend echte Fälschung, über die Angreifer an Login- oder Kontodaten gelangen.
Der Trick funktioniert, weil QR-Codes nicht lesbar sind – Sie sehen die Zieladresse erst nach dem Scan. Während klassische Phishing-Mails heute meist erkannt werden, umgehen QR-Bilder viele Filter. Quishing nutzt diese Lücke gezielt aus.
Ein kurzes Beispiel
1. Ein QR-Code wird manipuliert oder überklebt.
2. Sie scannen ihn mit dem Smartphone.
3. Eine gefälschte Seite öffnet sich, z. B. mit Zahlungsaufforderung.
4. Sie geben Ihre Daten oder TAN ein.
5. Die Betrüger verwenden diese für Abbuchungen oder Kontozugriffe.
Besonders häufig sind Fake-Parkautomaten, QR-Menüs in Restaurants oder PDF-Rechnungen mit betrügerischen Zahlungslinks. Laut Behördenmeldungen stiegen solche Fälle in Europa 2025 deutlich an.
Sind „sichere“ Bezahloptionen wirklich sicher?
Viele vertrauen modernen Zahlungsmethoden – etwa kontaktlosem Bezahlen oder Mobile Wallets. Doch auch sie sind nur so sicher wie der Weg, über den sie genutzt werden.
Kredit- und Debitkarten (EMV, kontaktlos)
EMV-Chips schützen Kartendaten, aber nicht, wenn Sie sie auf einer gefälschten Seite eingeben.
Mobile Wallets (Apple Pay, Google Pay)
Wallets sind technisch sicher, doch falsche QR-Links können Sie auf gefälschte Wallet-Seiten leiten. Betrüger nutzen Unicode-Domains als Beispiel paypaI.com mit großem „i“.
Banküberweisungen mit starker Kundenauthentifizierung
Zwei-Faktor-Schutz greift nur, wenn Sie sich auf der echten Bankseite befinden.
QR-Zahlungen und Payment-Links
Praktisch, aber riskant: Angriffe zielen genau auf diese schnellen Verfahren ab.
Tipps für Verbraucher
1. Scannen Sie QR-Codes nur mit offiziellen Apps.
2. Prüfen Sie die URL, bevor Sie etwas eingeben.
3. Bezahlen Sie ausschließlich in bekannten Wallets oder Banking-Apps.
4. Aktivieren Sie Zwei-Faktor-Authentifizierung bei allen Finanzdiensten.
5. Melden Sie verdächtige Codes an die Verbraucherzentrale oder Polizei.
Tipps für Händler und Unternehmen
Auch Firmen können Opfer oder unbeabsichtigte Überträger von Quishing werden.
• Verwenden Sie nur signierte, geprüfte QR-Codes.
• Kontrollieren Sie physische Codes regelmäßig auf Manipulation.
• Kommunizieren Sie klar, welche QR-Codes offiziell sind.
• Schulen Sie Mitarbeitende im Umgang mit Phishing-Versuchen.
• Nutzen Sie nur PCI-DSS-konforme Zahlungsanbieter mit Tokenisierung.
Bewusstsein ist der beste Schutz
Quishing funktioniert, weil wir QR-Codes blind vertrauen. Der Angriff nutzt keine technische Schwachstelle, sondern menschliche Routine. Wer QR-Codes kritisch prüft, offizielle Apps verwendet und Bezahlvorgänge nur über vertrauenswürdige Kanäle abwickelt, schützt sich effektiv – privat wie geschäftlich.
Vertrauen Sie nicht dem Code, sondern Ihrer Kontrolle.
