Quishing ist eine Variante des klassischen Phishings — aber es verwendet QR Codes anstelle von gefälschten Links in E-Mails. Der Betrüger druckt einen bösartigen QR Code aus oder klebt ihn über das Original und wartet darauf, dass Sie ihn gedankenlos scannen. Das Opfer wird auf eine gefälschte Zahlungs-, Login- oder App-Installationsseite weitergeleitet.

Warum hat es so stark zugenommen? Weil QR Codes zur Gewohnheit geworden sind: Restaurantmenüs, Parkplätze, Bankbelege, Bushaltestellen. Diese Gewohnheit war der fruchtbare Boden, den Betrüger brauchten. Laut Berichten aus 2024 und 2025 haben Quishing-Angriffe in zwei Jahren um mehr als 300 % zugenommen — und die meisten Menschen wissen immer noch nicht, dass dieser Betrug existiert.


🔍 Wie der Betrug funktioniert

Quishing hat drei einfache Schritte:

  1. QR-Code-Austausch. Der Kriminelle druckt einen Aufkleber mit einem gefälschten QR und klebt ihn über das Original — am Parkautomaten, auf dem Papiermenü, dem gedruckten Bankbeleg oder sogar auf Kampagnenplakaten.
  2. Unsichtbare Weiterleitung. Sie scannen, Ihr Telefon öffnet eine URL. Die Seite sieht identisch aus wie die Bank, der Parkdienst oder der ursprüngliche Dienst.
  3. Datendiebstahl oder Zahlungsbetrug. Sie geben Ihre Ausweisnummer, Ihr Passwort ein oder tätigen eine Zahlung in dem Glauben, den richtigen Dienst zu bezahlen. Das Geld geht auf das Konto des Betrügers.

Wo Angriffe am häufigsten vorkommen

  • Parkautomaten und Parkplätze
  • Restauranttische (Menü/Zahlungs-QR)
  • Physische Bankbelege mit von Dritten gedrucktem QR
  • Ladestationen für Elektrofahrzeuge
  • „Unsere App herunterladen"-Plakate in physischen Standorten

Das grausame Detail: Das Telefon zeigt eine sehr kleine URL an und viele Menschen lesen sie nicht, bevor sie auf „Weiter" klicken.


🛡️ So schützen Sie sich

Befolgen Sie diese Praktiken, bevor Sie einen QR Code scannen:

URL vor dem Handeln prüfen

Lesen Sie nach dem Scannen die vollständige Adresse, bevor Sie sie öffnen. Domains wie bank-sicher.app oder zahlung-link.de sind keine offiziellen Websites. Überprüfen Sie immer, ob die Domain mit der bekannten offiziellen Adresse des Unternehmens übereinstimmt.

Misstrauen Sie Zahlungen per QR Code zweifelhafter Herkunft

  • Bezahlen Sie niemals per QR Code, der auf einem losen Zettel über WhatsApp oder E-Mail erhalten wurde.
  • Wenn der QR von einem Parkplatz stammt, prüfen Sie, ob der Aufkleber intakt ist — ohne Blasen, Kratzer oder Überlappungen.
  • Bevorzugen Sie es, Ihren eigenen Zahlungs-QR in der App Ihrer Bank zu generieren.

Laden Sie keine Apps über unbekannte QR Codes herunter

Plakate mit „App herunterladen, hier scannen" sind perfekte Angriffsvektoren. Suchen Sie die App lieber direkt im Google Play Store oder App Store, indem Sie den Firmennamen eingeben.

Aufkleber physisch überprüfen

An Parkautomaten und Restauranttischen versuchen Sie, die Ecke des Aufklebers anzuheben. Ein legitimer QR Code ist in der Regel direkt auf dem Gerät oder einem offiziellen Träger aufgedruckt. Aufkleber über Aufkleber ist ein Warnsignal.

Link-Vorschau nutzen

Die meisten Android- und iOS-Kamera-Apps zeigen die URL vor dem Öffnen an. Überspringen Sie diesen Bildschirm nie — er ist Ihre erste Verteidigungslinie.

Lesen Sie auch: Ist QR Code sicher? Was Sie wissen müssen, um die allgemeinen Risiken der QR-Code-Nutzung im Alltag zu verstehen.


🏢 Für Unternehmen

Wenn Sie QR Codes an Ihren physischen Standorten verwenden, liegt die Verantwortung, Ihre Kunden zu schützen, auch bei Ihnen.

Dynamische QR Codes verwenden

Dynamische QR Codes ermöglichen es Ihnen, das Ziel zu ändern, ohne den Code neu zu drucken. Das bedeutet: Wenn jemand einen gefälschten QR über Ihren klebt, können Sie das Original sofort deaktivieren oder umleiten — und den Zugriff verfolgen.

Mit dem dynamischen QR-Code-Generator von Code2Scan kontrollieren Sie die Ziel-URL, überwachen Scans nach Datum, Uhrzeit und Standort und erkennen abnormale Zugriffsspitzen, die darauf hinweisen können, dass Ihr QR geklont wurde.

Scans überwachen

Ein legitimer Restaurant-QR-Code hat ein Nutzungsmuster: Mittag- und Abendessen, Werktage und Wochenenden. Wenn Sie Scans um 3 Uhr morgens oder aus verschiedenen Städten bemerken, stimmt etwas nicht. Nutzen Sie das Analytics-Dashboard, um Anomalien zu erkennen.

Sehen Sie, wie Sie bedingte Weiterleitungen einrichten, um Zugriffe außerhalb der Geschäftszeiten zu blockieren.

Bei Bedarf mit Passwort schützen

Für QR Codes mit eingeschränktem Zugriff — interne Dokumente, HR-Formulare, Intranet-Links — verwenden Sie passwortgeschützte QR Codes. So kann selbst wenn jemand scannt nicht ohne Zugangsdaten auf den Inhalt zugegriffen werden.

Originale und versiegelte Materialien verwenden

  • Drucken Sie QR Codes auf robustes oder laminiertes Papier.
  • Verwenden Sie Träger mit festen Rändern oder Schrauben — schwieriger zu überkleben.
  • Überprüfen Sie Ihre QR Codes an jedem Verkaufsort wöchentlich physisch.
  • Erwägen Sie, das Firmenlogo in der Mitte des QR einzubetten — jeder Austausch wird optisch erkennbar.

❌ Häufige Fehler, die den Betrug erleichtern

  • Scannen ohne URL lesen — der häufigste Fehler. Die Vorschau existiert, nutzen Sie sie.
  • Dem Erscheinungsbild der Seite vertrauen — gefälschte Seiten sind nahezu perfekte Kopien.
  • Denken, „das passiert hier nicht" — Quishing-Angriffe nehmen weltweit zu.
  • Kamera-App nicht aktualisieren — ältere Versionen können die URL direkt ohne Vorschau öffnen.
  • QR-Code-Fotos über WhatsApp teilen — der Empfänger weiß nicht, woher das Original stammt.
  • Unternehmen, die ihre eigenen QRs nicht überwachen — ohne Analytics wissen Sie nicht, ob Ihr Code kompromittiert wurde.

Vermeiden Sie auch die häufigen Fehler bei der QR-Code-Nutzung, die die Erfahrung und Sicherheit Ihrer Kunden gefährden.


📋 Zusammenfassung

  1. Quishing = Phishing über einen gefälschten QR Code, der über das Original geklebt wurde.
  2. Der Betrug geschieht an Parkautomaten, in Restaurants, auf Belegen und Plakaten.
  3. Lesen Sie vor dem Handeln die vollständige URL, die Ihr Telefon anzeigt.
  4. Zahlen Sie niemals per QR Code unbekannter Herkunft.
  5. Laden Sie keine Apps per QR Code herunter — nutzen Sie den offiziellen Store.
  6. Prüfen Sie physisch auf überlagerte Aufkleber.
  7. Unternehmen sollten dynamische QR Codes mit Überwachung einsetzen, um Angriffe zu erkennen.
  8. Schützen Sie sensible Inhalte mit passwortgeschütztem QR Code.

Erstellen Sie dynamische QR Codes, die Sie kontrollieren — überwachen Sie Scans in Echtzeit, ändern Sie Ziele ohne Neudruck und schützen Sie Ihre Kunden mit Code2Scan vor Quishing.

Oder wenn Sie einen einfachen und schnellen QR benötigen, nutzen Sie unseren kostenlosen QR-Code-Generator.