Skip to main content
Wissen··7 Min. Lesezeit

QR-Code-Sicherheit: So erkennen Sie betrügerische QR-Codes

QR-Codes sind mittlerweile überall — und Betrüger haben das bemerkt. So unterscheiden Sie einen legitimen Code von einem, der auf Ihre Daten aus ist.

Rachel parkte letzten Oktober in einem Innenstadtparkhaus und ging zum Bezahlautomaten. Auf dem Gerät war ein QR-Code-Aufkleber mit der Aufschrift 'Hier bezahlen — Scannen zum Parken bezahlen.' Sie scannte ihn, und es öffnete sich eine scheinbar normale Bezahlseite. Sie gab ihre Kreditkartennummer ein, tippte auf Absenden und ging zu ihrem Termin. Zwei Tage später rief ihre Bank an. Jemand hatte 1.400 Dollar auf ihre Karte in einem Elektronikgeschäft 500 Kilometer entfernt belastet. Der QR-Code, den sie gescannt hatte, stammte nicht vom Parkhaus. Jemand hatte einen Aufkleber gedruckt und direkt über den echten Code geklebt.

Rachels Geschichte ist kein Einzelfall. Da QR-Codes Teil des Alltags geworden sind — auf Restauranttischen, Parkautomaten, Veranstaltungstickets und Produktverpackungen — haben Kriminelle Wege gefunden, das Vertrauen auszunutzen, das die Menschen in diese kleinen Quadrate setzen. Der Angriff hat sogar einen Namen: Quishing. Und er nimmt rasant zu.

Was ist Quishing (QR-Code-Phishing)?

Quishing ist Phishing, das über einen QR-Code statt über einen Link in einer E-Mail ausgeliefert wird. Das Konzept ist identisch mit traditionellem Phishing: Ein Betrüger erstellt eine gefälschte Webseite, die wie ein legitimer Dienst aussieht, und bringt Sie dazu, sensible Informationen wie Passwörter, Kreditkartennummern oder Zugangsdaten einzugeben. Der Unterschied liegt in der Übermittlungsmethode. Anstatt auf einen verdächtigen Link zu klicken, scannen Sie einen QR-Code, der Sie auf die gefälschte Seite führt.

Was Quishing besonders effektiv macht, ist die Undurchsichtigkeit von QR-Codes. Wenn Sie einen Link in einer E-Mail sehen, können Sie mit der Maus darüber fahren und die URL prüfen, bevor Sie klicken. Aber wenn Sie einen QR-Code scannen, sehen Sie oft erst, wohin er führt, wenn Ihr Smartphone die Seite bereits geöffnet hat. Dieser Moment des blinden Vertrauens ist genau das, was Betrüger ausnutzen.

Wie betrügerische QR-Codes in der Praxis funktionieren

Betrüger setzen gefälschte QR-Codes auf verschiedene Arten ein, und das Verständnis der gängigen Taktiken macht sie viel leichter erkennbar.

  • Aufkleber-Überklebung: Die häufigste physische Angriffsform. Ein Betrüger druckt einen Aufkleber mit seinem bösartigen QR-Code und klebt ihn direkt über einen legitimen QR-Code auf einem Parkautomaten, Restauranttisch oder öffentlichen Schild. Für den flüchtigen Betrachter sieht es wie der Originalcode aus.
  • Gefälschte Flyer und Plakate: Betrüger hängen offiziell wirkende Flyer an öffentlichen Orten auf — 'Kostenloses WLAN', 'Geschenkkarte gewinnen', 'Sonderrabatt' — mit einem QR-Code, der zu einer Phishing-Seite führt oder Schadsoftware herunterlädt.
  • E-Mail- und Post-Quishing: Anstatt einen klickbaren Link in eine Phishing-E-Mail einzufügen, betten Betrüger ein QR-Code-Bild ein. Das umgeht viele E-Mail-Sicherheitsfilter, die Links prüfen, aber keine QR-Code-Bilder analysieren.
  • Manipulierte Belege und Tickets: Gefälschte QR-Codes auf gefälschten Strafzetteln, Quittungen oder Bußgeldbescheiden, die an Autoscheiben hinterlegt werden. Der Code führt zu einer Bezahlseite, die Ihre Kartendaten abgreift.

So erkennen Sie einen gefälschten QR-Code

Sie müssen kein Sicherheitsexperte sein, um sich zu schützen. Einige Sekunden Aufmerksamkeit vor dem Scannen können die meisten Angriffe verhindern.

  • Prüfen Sie auf Aufkleber-Überklebung: Bevor Sie einen QR-Code an einem öffentlichen Ort scannen, schauen Sie genau hin, ob der Code direkt auf die Oberfläche gedruckt oder darüber geklebt ist. Fahren Sie mit dem Finger über den Rand. Wenn Sie einen Aufkleber fühlen, der über einem anderen Code liegt, scannen Sie ihn nicht.
  • Prüfen Sie die URL-Vorschau, bevor Sie öffnen: Die meisten modernen Smartphones zeigen eine URL-Vorschau, wenn Sie einen QR-Code scannen. Lesen Sie sie, bevor Sie tippen. Ein seriöser Parkservice hat eine erkennbare Domain, nicht etwas wie 'parkng-pay-now.xyz.' Achten Sie auf Tippfehler, ungewöhnliche Domain-Endungen und übermäßig lange URLs.
  • Achten Sie auf HTTPS: Seriöse Bezahl- und Anmeldeseiten verwenden HTTPS. Wenn die URL mit einfachem HTTP beginnt, seien Sie misstrauisch. Bedenken Sie jedoch, dass HTTPS allein keine Legitimität garantiert — auch Betrüger können SSL-Zertifikate erhalten.
  • Seien Sie bei Dringlichkeit vorsichtig: Wenn ein QR-Code zu einer Seite führt, die Sie zum sofortigen Handeln drängt — 'Ihr Konto wird gesperrt!' oder 'Holen Sie sich jetzt Ihren Preis!' —, halten Sie inne. Seriöse Dienste erzeugen keine Panik, um Sie zur Eingabe persönlicher Daten zu bewegen.
  • Überprüfen Sie bei der Quelle: Wenn Sie in einem Restaurant einen QR-Code scannen und die Seite seltsam aussieht, fragen Sie das Personal. Wenn ein QR-Code auf einem Parkautomaten anders aussieht als auf anderen Automaten in derselben Straße, bezahlen Sie drinnen oder verwenden Sie die offizielle App.

Auf dem iPhone zeigt die Kamera-App die URL vor dem Öffnen an. Auf Android macht Google Lens dasselbe. Lesen Sie immer die URL-Vorschau, bevor Sie tippen. Wenn etwas verdächtig aussieht, fahren Sie nicht fort.

Sicherheitstipps für Verbraucher

Als jemand, der QR-Codes im Alltag scannt, können Sie sich mit einigen einfachen Gewohnheiten schützen.

1

Verwenden Sie den eingebauten Scanner Ihres Smartphones

Die Standard-Kamera-App auf iPhone und Android bietet eine URL-Vorschau, bevor die Seite geöffnet wird. Vermeiden Sie das Herunterladen von Drittanbieter-QR-Scanner-Apps, da einige davon selbst als nützliche Tools getarnte Schadsoftware sind.

2

Geben Sie niemals impulsiv sensible Daten ein

Wenn ein QR-Code Sie zu einer Seite führt, die nach Ihrer Kreditkarte, Sozialversicherungsnummer oder Zugangsdaten fragt, halten Sie inne. Fragen Sie sich: Habe ich das erwartet? Würde diese Organisation normalerweise auf diese Weise nach diesen Informationen fragen?

3

Halten Sie Ihr Smartphone aktuell

Betriebssystem-Updates enthalten Sicherheitspatches, die vor neuen Bedrohungen schützen. Ein aktuelles Smartphone ist besser gerüstet, um Sie vor bösartigen Websites zu warnen und unautorisierte Downloads zu verhindern.

4

Melden Sie verdächtige QR-Codes

Wenn Sie einen QR-Code-Aufkleber finden, der einen legitimen Code zu überdecken scheint, melden Sie es dem Geschäft oder Eigentümer. Entfernen Sie den gefälschten Aufkleber, wenn Sie es sicher tun können. So bewahren Sie möglicherweise die nächste Person vor einem Betrug.

Sicherheitstipps für Unternehmen

Wenn Ihr Unternehmen QR-Codes verwendet — auf Tischen, Beschilderung, Verpackungen oder Marketingmaterialien — haben Sie die Verantwortung, Ihre Codes vertrauenswürdig und manipulationssicher zu gestalten.

  • Drucken Sie QR-Codes direkt auf Materialien: Wann immer möglich, drucken Sie QR-Codes direkt auf Speisekarten, Beschilderung oder Verpackungen, anstatt Aufkleber zu verwenden, die von einem Betrüger überklebt werden können. Gedruckte Codes sind viel schwerer zu manipulieren.
  • Überprüfen Sie Ihre QR-Codes regelmäßig: Machen Sie es zum Teil Ihrer Eröffnungsroutine. Gehen Sie durch den Raum und prüfen Sie, ob Ihre QR-Codes nicht überdeckt oder ausgetauscht wurden. Bei Platzierungen im Außenbereich wie Parkautomaten oder Veranstaltungsbeschilderung prüfen Sie häufiger.
  • Verwenden Sie eine erkennbare Landingpage: Wenn Kunden Ihren QR-Code scannen, sollten sie auf einer Seite mit Ihrem Branding, Ihrem Domainnamen und einer klaren Erklärung dessen landen, was sie sehen. Eine gebrandete Landingpage schafft Vertrauen und macht Fälschungen leichter erkennbar.
  • Verwenden Sie Ihre eigene Domain: Vermeiden Sie generische URL-Shortener, die das Ziel verschleiern. Ein Code, der zu 'ihrunternehmen.de/speisekarte' führt, ist weitaus vertrauenswürdiger als einer, der zu 'bit.ly/3xK9z2' führt. Kunden haben gelernt, bei gekürzten URLs misstrauisch zu sein.
  • Schulen Sie Ihr Personal: Stellen Sie sicher, dass Ihre Mitarbeiter wissen, wie Ihre QR-Codes aussehen und wo sie platziert sind. Wenn ein Teammitglied einen Code bemerkt, der anders aussieht, oder einen Aufkleber, der gestern noch nicht da war, sollte es das sofort melden.

Was tun, wenn Sie einen verdächtigen QR-Code gescannt haben

Wenn Sie einen QR-Code gescannt haben und sich etwas falsch anfühlt — die Seite sah verdächtig aus, Sie haben Daten eingegeben, die Sie jetzt bereuen, oder Ihr Smartphone verhält sich seltsam — handeln Sie sofort.

  1. Schließen Sie die Seite und löschen Sie Ihren Browserverlauf und Cache.
  2. Wenn Sie ein Passwort eingegeben haben, ändern Sie es sofort auf der legitimen Website. Wenn Sie dieses Passwort auch anderswo verwenden, ändern Sie es dort ebenfalls.
  3. Wenn Sie Kreditkartendaten eingegeben haben, rufen Sie sofort Ihre Bank oder Ihren Kartenaussteller an. Diese können die Karte sperren und betrügerische Abbuchungen rückgängig machen.
  4. Führen Sie einen Sicherheitsscan auf Ihrem Smartphone durch. Sowohl iOS als auch Android haben eingebaute Sicherheitsfunktionen, und seriöse Antivirus-Apps können auf Schadsoftware prüfen.
  5. Überwachen Sie Ihre Konten in den nächsten Wochen. Richten Sie Transaktionsbenachrichtigungen für Ihre Bank- und Kreditkartenkonten ein, damit Sie über ungewöhnliche Aktivitäten informiert werden.

Das große Ganze: QR-Codes sind weiterhin sicher — bei vernünftigem Umgang

Nichts davon bedeutet, dass Sie aufhören sollten, QR-Codes zu scannen. Die Technologie selbst ist nicht gefährlich — das Risiko liegt darin, wohin der Code Sie schickt, genau wie bei jedem Link im Internet. Ein QR-Code ist einfach eine Methode, eine URL zu kodieren. Die gleiche Vorsicht, die Sie beim Klicken auf Links in E-Mails walten lassen, sollten Sie auch beim Scannen von Codes in der realen Welt anwenden.

Die überwiegende Mehrheit der QR-Codes, denen Sie begegnen, ist legitim. Restaurant-Speisekarten, WLAN-Passwörter, Veranstaltungstickets, Visitenkarten — das sind alles sichere, nützliche Anwendungen. Der Schlüssel ist Aufmerksamkeit. Nehmen Sie sich zwei Sekunden Zeit, um die URL vor dem Tippen zu prüfen, achten Sie auf Anzeichen von Manipulation bei physischen Codes und vertrauen Sie Ihrem Instinkt. Wenn sich etwas falsch anfühlt, ist es das wahrscheinlich auch.

Häufig gestellte Fragen

Kann ein QR-Code meinem Smartphone einen Virus geben?
Ein QR-Code selbst kann keinen Virus enthalten. Er ist lediglich eine Methode, Text zu kodieren, normalerweise eine URL. Das Scannen eines bösartigen QR-Codes kann Sie jedoch auf eine Website führen, die versucht, Schadsoftware auf Ihr Smartphone herunterzuladen. Moderne Smartphones haben eingebaute Schutzmaßnahmen, die automatische Downloads verhindern, aber Sie sollten trotzdem verdächtige URLs meiden. Halten Sie das Betriebssystem Ihres Smartphones aktuell und installieren Sie niemals Apps oder Dateien von nicht vertrauenswürdigen Websites.
Sind QR-Codes auf Restaurant-Speisekarten sicher zu scannen?
Ja, QR-Codes für Restaurant-Speisekarten sind in der Regel sehr sicher. Sie werden vom Restaurant platziert, um Sie zur Speisekarte zu führen. Das Hauptrisiko wäre, wenn jemand einen gefälschten Aufkleber über den legitimen Code des Restaurants geklebt hätte, was ungewöhnlich, aber möglich ist. Wenn Sie vorsichtig sein möchten, prüfen Sie, ob die URL zum Namen oder zur Domain des Restaurants passt, wenn Ihr Smartphone die Vorschau anzeigt.
Was ist der Unterschied zwischen Quishing und normalem Phishing?
Der einzige Unterschied ist die Übermittlungsmethode. Herkömmliches Phishing verwendet klickbare Links in E-Mails, SMS oder sozialen Medien, um Sie auf eine gefälschte Website zu leiten. Quishing verwendet QR-Codes für denselben Zweck. Das Ziel ist identisch: Sie dazu zu bringen, sensible Informationen auf einer Seite einzugeben, die legitim aussieht, aber von einem Betrüger kontrolliert wird. QR-basiertes Phishing ist schwerer für Sicherheitssoftware zu erkennen, da die bösartige URL in einem Bild versteckt ist anstatt als scanbarer Text zu erscheinen.
Sollte ich eine spezielle QR-Code-Scanner-App für die Sicherheit verwenden?
Nein. Die eingebaute Kamera-App Ihres Smartphones ist die sicherste Option. Sie zeigt Ihnen eine URL-Vorschau, bevor sie navigiert, und enthält keine Werbung oder unerwünschte Funktionen. Viele Drittanbieter-QR-Scanner-Apps in den App-Stores sind selbst minderwertige Software, die möglicherweise Ihre Daten sammelt oder aufdringliche Werbung anzeigt. Bleiben Sie bei der Kamera-App, die mit Ihrem Smartphone geliefert wurde.
Wie erkenne ich, ob ein QR-Code-Aufkleber manipuliert wurde?
Achten Sie auf physische Anzeichen: ein Aufkleber, der über einem anderen Aufkleber platziert wurde, Kanten die sich lösen oder nicht bündig sitzen, ein Code der in Größe oder Druckqualität anders aussieht als die umgebende Beschilderung, oder ein Code der nicht zum Stil des Unternehmens passt. Wenn der QR-Code auf einem Parkautomaten, Bezahlterminal oder öffentlichen Schild ist, vergleichen Sie ihn mit ähnlichen Codes auf benachbarten Geräten. Wenn einer anders aussieht, scannen Sie ihn nicht und melden Sie es dem Eigentümer.

Bereit, Ihren QR-Code zu erstellen?

Für immer kostenlos. Keine Anmeldung, kein Wasserzeichen, keine Einschränkungen.

Jetzt starten