18.06.2026
18.06.2026

Quishing: Wenn der QR-Code zur Falle wird

daonware 0 Kommentare

QR-Codes sind aus dem Alltag kaum noch wegzudenken: auf Speisekarten, Parkscheinautomaten, Werbeplakaten, in Bank- und Behördenbriefen. Das Scannen mit dem Smartphone dauert eine Sekunde – und genau diese Sekunde nutzen Kriminelle aus. Unter dem Begriff Quishing hat sich eine Betrugsmasche etabliert, die klassisches Phishing mit manipulierten QR-Codes kombiniert. Sie ist schwer zu erkennen, umgeht technische Sicherheitsfilter und verbreitet sich rasant. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt sie mittlerweile zu den akutesten Bedrohungen für Verbraucher und Unternehmen.

Beitrag von der DaonWare-Redaktion | Stand Juni 2026

Foto: Markus Winkler / Unsplash

Eine neue Masche mit altem Prinzip

Der Begriff setzt sich aus „QR“ (Quick Response) und „Phishing“ zusammen. Dabei generieren Betrüger manipulierte QR-Codes, die beim Scannen auf gefälschte Webseiten leiten oder Schadsoftware auf dem Gerät installieren. Der entscheidende Vorteil für Angreifer: Der bösartige Link ist im Code versteckt und für das menschliche Auge unsichtbar. Nutzer können vor dem Scannen nicht erkennen, wohin der Code sie führt.

Quishing im Vergleich zu anderen Betrugsformen

Phishing gibt es in vielen Varianten – alle nutzen andere Kanäle, verfolgen aber dasselbe Ziel: sensible Daten zu stehlen.

  • Klassisches Phishing läuft über E-Mails mit bösartigen Links oder Anhängen. Angreifer imitieren das Design von Banken, Behörden oder Internetanbietern.
  • Smishing (SMS-Phishing) nutzt Kurznachrichten oder Messenger – bekannte Beispiele sind Fake-SMS zur Paketverfolgung oder der sogenannte Enkeltrick per WhatsApp.
  • Vishing (Voice-Phishing) funktioniert per Telefon. Täter geben sich als Polizei, Bankangestellte oder IT-Support aus und bauen emotionalen Druck auf.
  • Quishing kombiniert die Unsichtbarkeit des QR-Codes mit analogen und digitalen Verbreitungswegen. Manipulierte Codes landen nicht nur in E-Mails, sondern auch auf Parkscheinautomaten, Werbeplakaten oder in gefälschten Bankbriefen.

Der Angriff Schritt für Schritt

Ein Quishing-Angriff verläuft systematisch und lässt sich in fünf Schritte unterteilen:

  1. Erstellung des manipulierten Codes: Kriminelle erstellen einen QR-Code, der mit einer bösartigen URL verknüpft ist.
  2. Verbreitung: Der Code gelangt in Umlauf – digital als Bilddatei in E-Mails oder PDF-Anhängen, analog auf gefälschten Briefen, Plakaten oder über echte Codes, die einfach überklebt werden. Gängige E-Mail-Sicherheitsfilter interpretieren eingebettete QR-Codes als harmlose Bilddateien – die Nachricht landet ungefiltert im Posteingang.
  3. Scannen: Durch emotionalen Druck – eine angebliche Kontosperrung, eine ausstehende Zahlung, ein dringender Sicherheitshinweis – werden Opfer zum Scannen verleitet.
  4. Weiterleitung: Das Smartphone öffnet die von den Tätern kontrollierte Webseite.
  5. Datenabgriff oder Infektion: Auf der Zielseite schnappt die Falle zu. Entweder gibt das Opfer Zugangsdaten auf einer täuschend echten Login-Maske ein, oder allein der Seitenaufruf startet unbemerkt den Download einer Schadsoftware.

Sonderform: QRLjacking

Eine besonders raffinierte Variante ist das sogenannte QRLjacking (Quick Response Login Jacking). Dabei klonen Angreifer legitime QR-Codes, die Dienste für die Anmeldung per Zweitgerät anbieten, in Echtzeit und manipulieren sie so, dass der Login auf ihren Servern landet. Scannt das Opfer den präparierten Code, autorisiert es unwissentlich den Kontozugriff der Täter – ohne zusätzliche Zwei-Faktor-Authentifizierung sofort und vollständig.

Vier Faktoren, die Quishing so wirksam machen

  • Unsichtbarkeit: Der bösartige Link ist im Code versteckt, eine Vorabprüfung durch den Nutzer kaum möglich.
  • Filterumgehung: Virenscanner und E-Mail-Filter erkennen QR-Codes in Bilddateien nicht als Bedrohung.
  • Schwächere Endgeräte: Smartphones verfügen häufig über geringere Sicherheitseinstellungen als Firmencomputer – und QR-Codes werden fast immer mit dem Handy gescannt.
  • Gewöhnung durch die Pandemie: Die COVID-19-Pandemie hat den Einsatz von QR-Codes normalisiert. Kontaktlose Speisekarten, Check-ins und Bezahlvorgänge haben das Scannen zur Gewohnheit gemacht. Diese Selbstverständlichkeit nutzen Kriminelle gezielt aus.
  • Direkter Kontozugriff: Beim QRLjacking reicht ein einziger Scan, um Angreifern vollständigen Zugriff auf Bankkonten oder andere Dienste zu verschaffen.

Fünfmal mehr Angriffe in drei Monaten

Die Zahlen sind eindeutig. Laut einer Analyse des Sicherheitsunternehmens Kaspersky verfünffachte sich die Zahl entdeckter schädlicher QR-Codes allein zwischen August und November 2025. Das BSI stuft Quishing neben klassischem Phishing inzwischen als eine der akutesten Bedrohungen für Verbraucher ein.

Aktuell rollt eine neue Welle über Deutschland. Behörden und Polizeidienststellen warnen gezielt vor laufenden Kampagnen – darunter eine Serie mit gefälschten Bankbriefen, die im Namen von Volks- und Raiffeisenbanken verschickt wurden.

Falsche Bankbriefe, überklebte Automaten, gekaperter Login

Foto: Growtika / Unsplash

Falsche Bankbriefe: In Sachsen-Anhalt verschickten Kriminelle täuschend echte Schreiben im Namen von Volksbanken und Raiffeisenbanken. Die enthaltenen QR-Codes leiteten auf professionell gestaltete Phishing-Seiten weiter, auf denen Empfänger unter dem Vorwand einer „Datenaktualisierung“ ihre Kontodaten eingeben sollten.

Überklebte Codes im öffentlichen Raum: An Parkscheinautomaten und E-Ladesäulen kleben Kriminelle eigene QR-Codes über die originalen. Nutzer scannen sie, weil sie einen regulären Bezahlvorgang erwarten. Die vertraute Situation – ein offiziell wirkender Code an einem öffentlichen Gerät – weckt kaum Misstrauen.

ING-Bank-Angriff: Täter nutzten eine Login-Funktion aus, mit der Kunden sich per QR-Code auf einem Zweitgerät authentifizieren konnten. Sie klonten und manipulierten diese Codes und leiteten sie auf eigene Server um. Das Ergebnis: unbemerkt gewährter Kontozugriff und Tausende Euro Schaden.

Gezielte Opfer, klare Muster

Quishing trifft nicht jeden gleich. Es gibt klare Muster, welche Branchen und Personengruppen Angreifer bevorzugt ins Visier nehmen.

Kleine und mittlere Unternehmen machen 99,4 Prozent aller Unternehmen in Deutschland aus – und sind daher ein attraktives Massenziel. Ihnen fehlt es häufig an Fachpersonal und IT-Sicherheitsbudget.

IT-Dienstleister und Softwarelieferketten stehen zunehmend im Fokus, weil ein einziger erfolgreicher Angriff auf einen Managed Service Provider sich wie ein Dominoeffekt auf hunderte Endkunden ausweiten kann.

Betreiber kritischer Infrastrukturen – Energie, Wasser, Gesundheit – sind durch geopolitische Spannungen stärker exponiert.

Bankkunden werden gezielt über das Corporate Design bekannter Institute angesprochen.

Interessant ist der Befund zu Altersgruppen: Jüngere zwischen 16 und 29 Jahren setzen im Schnitt nur 3,5 IT-Schutzmaßnahmen ein, 60- bis 69-Jährige hingegen durchschnittlich 4,7.

So erkennt man einen verdächtigen QR-Code

Vor dem Scannen:

  • Unaufgefordert zugeschickte QR-Codes aus unbekannten Quellen sind grundsätzlich verdächtig.
  • Emotionaler Druck – drohende Kontosperrung, ablaufendes Passwort, dringende Sicherheitswarnung – ist ein klassisches Mittel des Social Engineering.
  • Nutzen Sie bevorzugt den integrierten Scanner Ihrer Smartphone-Kamera. Ein guter Scanner öffnet Seiten nicht automatisch, sondern zeigt die Ziel-URL als Vorschau an.

Nach dem Scannen:

  • Prüfen Sie die angezeigte URL auf Auffälligkeiten: hinzugefügte Wörter, vertauschte Buchstaben, ungewöhnliche Zeichenfolgen.
  • Wenn Sie nach dem Scannen sofort zur Eingabe von Passwörtern, PINs oder Kreditkartendaten aufgefordert werden, brechen Sie ab.
  • Geben Sie die offizielle Adresse der Bank oder des Dienstleisters lieber manuell im Browser ein.
  • Im Zweifel: Rufen Sie den vermeintlichen Absender über einen bekannten Kanal an, bevor Sie handeln.

Die häufigsten Maschen im Überblick

  • Banken und Bezahldienste: Drohungen mit Kontosperrung, Hinweise auf ablaufende Kreditkarten oder angebliche Datenschutzprozesse.
  • Paketdienste: Fake-SMS zu Zustellproblemen oder plötzlichen Zollgebühren.
  • Arbeitsumfeld: Gefälschter IT-Support, CEO-Fraud mit dringenden Überweisungsanweisungen, E-Mails der angeblichen Personalabteilung.
  • Behörden und öffentlicher Raum: Gefälschte Strafzettel mit Bezahl-QR-Code, E-Mails mit angeblichen Steuererstattungen.
  • Privates Umfeld: Der Enkeltrick per Messenger – neue Nummer, erfundene Notsituation, Bitte um Überweisung.

Als Faustregel gilt: Banken, Behörden und seriöse Unternehmen fordern niemals unaufgefordert per E-Mail, SMS oder Telefon zur Eingabe sensibler Daten auf.

Schutz auf dem Smartphone: Was wirklich hilft

Foto: Franck / Unsplash
  • Automatische Updates aktivieren: Sicherheitslücken werden durch Updates geschlossen.
  • Integrierten Scanner nutzen: Kamera-Apps zeigen die Ziel-URL vor dem Öffnen an.
  • Zwei-Faktor-Authentifizierung einrichten: Bevorzugt app-basierte Verfahren wie PushTAN oder PhotoTAN, die kryptografisch an das Gerät gebunden sind.
  • Antiviren-Software und Spam-Filter: Blockieren den Aufruf bekannter Phishing-Seiten und filtern verdächtige Mails vorab aus.

Schutzmaßnahmen für Unternehmen

Mitarbeitende schulen: Regelmäßige IT-Sicherheitstrainings mit Fokus auf QR-Code-Phishing, Phishing-Simulationen und spielerische Formate erhöhen die Aufmerksamkeit nachhaltig.

Klare Meldewege etablieren: Mitarbeitende müssen wissen, an wen sie sich wenden, wenn sie eine verdächtige Nachricht erhalten haben. Eine offene Fehlerkultur ist entscheidend.

Technische Schutzmaßnahmen:

  • Aktuelle Firewalls, Antiviren-Software und Spam-Filter blockieren bekannte Phishing-Seiten.
  • Zwei-Faktor-Authentifizierung verhindert, dass erbeutete Zugangsdaten direkt zu einem Systemzugriff führen.
  • Eingeschränkte Zugriffsrechte begrenzen den Schaden bei kompromittierten Konten.
  • Regelmäßige Software-Updates schließen ausnutzbare Sicherheitslücken.
  • Verlässliche Datensicherungen schützen vor Ransomware-Erpressung.

Nach dem Scan: Sofortmaßnahmen im Ernstfall

  1. Passwort ändern – und prüfen, ob dasselbe Passwort für andere Dienste genutzt wird.
  2. Bank kontaktieren – bei eingegebenen Finanzdaten umgehend anrufen, Karten sperren lassen.
  3. Intern melden – im Arbeitsumfeld den IT-Support oder die Geschäftsführung informieren.
  4. Anzeige erstatten – den Vorfall bei der Polizei melden.

Verdächtige Codes melden – an wen, auf welchem Weg

  • BSI: Das Bundesamt für Sicherheit in der Informationstechnik nimmt Meldungen über Phishing und Quishing entgegen.
  • Polizei: Jede Polizeidienststelle nimmt Anzeigen zu Cyberbetrug auf.
  • Verbraucherzentrale: Nimmt Phishing-Meldungen entgegen und informiert über aktuelle Maschen.
  • Bank: Bei Finance-Phishing direkt die eigene Bank kontaktieren.

Fazit

Quishing ist keine abstrakte Bedrohung für IT-Experten – es ist eine Betrugsmasche, die im Alltag funktioniert, weil QR-Codes dort längst selbstverständlich sind. Die Zahlen zeigen: Die Angriffe nehmen massiv zu. Der entscheidende Schutz besteht aus drei Elementen: Wissen (die Masche kennen), Aufmerksamkeit (Warnsignale erkennen) und Technik (automatische Updates, sichere Scanner, Zwei-Faktor-Authentifizierung). Wer diese drei Bausteine ernst nimmt, macht es Angreifern erheblich schwerer. Im Zweifel gilt: einen Moment innehalten, bevor man scannt – und im Ernstfall schnell handeln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert