Auf immer mehr Plakaten, Werbetafeln, Speisekarten und Ladesäulen sind sie zu sehen: kleine quadratische Pixelmuster. Mit dem Smartphone fotografiert, könnt ihr die hinterlegte Webseite öffnen, ohne die Adresse manuell eingeben zu müssen. Doch seid auf der Hut – QR-Code-Phishing, auch „Quishing“ genannt, ist zu einer der häufigsten Betrugsmaschen von 2025 geworden.
Die perfide Masche wird immer raffinierter
Kriminelle gehen mittlerweile sehr systematisch vor: Sie überkleben QR-Codes auf öffentlichen Plakaten, Parkautomaten, E-Ladesäulen oder sogar in Restaurants mit eigenen, täuschend echt aussehenden Codes. Diese leiten euch dann an bösartige Webseiten weiter, die Banking-Trojaner, Ransomware oder Datensammler auf euer Smartphone schleusen können.
Besonders perfide: Oft sehen die gefälschten Websites genauso aus wie die echten. Ihr gebt dann eure Login-Daten ein, ohne zu merken, dass ihr gerade einem Phisher in die Falle getappt seid. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt seit 2024 verstärkt vor dieser Betrugsform.
Neue Angriffsvektoren: Von KI bis Banking-Apps
Die Angreifer nutzen inzwischen KI-generierte QR-Codes, die schwerer zu erkennen sind. Außerdem haben sie ihre Ziele erweitert: Neben klassischen Phishing-Seiten führen die Codes zu:
- Gefälschten Banking-Apps im Play Store oder App Store
- Krypto-Wallet-Phishing-Seiten
- Fake-Shops mit gestohlenen Produktbildern
- Malware, die sich als System-Updates tarnt
- Abofallen mit versteckten Kosten
Ein aktueller Trend: QR-Codes auf gefälschten Paketzustellungsbenachrichtigungen. Die Post und DHL warnen regelmäßig vor solchen Betrugsversuchen.
So schützt ihr euch effektiv
Meine wichtigsten Empfehlungen für sicheres QR-Code-Scanning:
1. Nutzt einen sicheren Scanner
Verwendet nicht einfach die Standard-Kamera-App. Bessere Optionen sind:
– Kaspersky QR Code Scanner (kostenlos, prüft URLs vorab)
– Norton Snap QR Code Reader (mit Malware-Check)
– Trend Micro QR Scanner (Business-tauglich)
Diese Apps zeigen euch die Ziel-URL an, bevor sie geladen wird, und warnen vor bekannten Phishing-Domains.
2. Prüft die Umgebung
Achtet darauf, ob der QR-Code aufgeklebt wirkt oder Klebereste sichtbar sind. Seriöse Codes sind meist direkt aufgedruckt oder graviert. Bei Zweifel: Finger weg!
3. URL-Check vor dem Besuch
Wenn ihr die URL seht, prüft sie genau:
– Stimmt die Domain überein? (amazon.de vs. arnazon.de)
– Ist es eine HTTPS-Verbindung?
– Wirkt die URL verdächtig lang oder mit vielen Parametern?
4. Smartphone-Security aktivieren
Nutzt die eingebauten Schutzfunktionen:
– iOS: „Fraudulent Website Warning“ in Safari aktivieren
– Android: Google Play Protect einschalten
– Zusätzlich: Mobile Security-Apps von Bitdefender, ESET oder F-Secure
Wenn’s schon passiert ist: Schadensbegrenzung
Falls ihr bereits auf einen bösartigen QR-Code hereingefallen seid:
- Sofort offline gehen – WLAN und mobile Daten deaktivieren
- Passwörter ändern – besonders Banking und wichtige Accounts
- Malware-Scan mit einer vertrauenswürdigen App durchführen
- Bank informieren bei Verdacht auf Kontomissbrauch
- Anzeige erstatten bei der örtlichen Polizei oder online bei www.bka.de
Der Ausblick: QR-Codes bleiben, werden aber sicherer
Trotz der Sicherheitsrisiken sind QR-Codes nicht mehr wegzudenken. Kontaktloses Bezahlen, digitale Speisekarten und Smart-City-Anwendungen setzen massiv darauf. Die gute Nachricht: Die Industrie arbeitet an sichereren Standards.
Ab 2026 sollen „Verified QR Codes“ mit kryptographischen Signaturen eingeführt werden. Diese können nicht einfach überklebt oder gefälscht werden. Bis dahin bleibt gesunder Menschenverstand euer bester Schutz.
Fazit: Vorsicht ist besser als Nachsicht
QR-Codes sind praktisch, aber ihr solltet sie mit der gleichen Vorsicht behandeln wie E-Mail-Links von unbekannten Absendern. Ein paar Sekunden extra für die Sicherheitsüberprüfung können euch viel Ärger ersparen. Nutzt sichere Scanner-Apps und vertraut eurem Bauchgefühl – wenn etwas komisch wirkt, ist es das wahrscheinlich auch.
Zuletzt aktualisiert am 23.04.2026
