Quishing: Wie QR-Code-Phishing funktioniert und wie du dich schützt

QR-Codes sind aus dem Alltag nicht mehr wegzudenken: Du scannst sie am Parkautomaten, an der E-Ladesäule, im Restaurant oder auf Plakaten. Genau diese Selbstverständlichkeit machen sich Betrüger zunutze. Beim sogenannten Quishing wird ein QR-Code als Köder eingesetzt, um dich auf eine gefälschte Website zu locken und dort Zugangs- oder Zahlungsdaten abzugreifen. Das Tückische daran: Das Ziel hinter dem schwarz-weißen Muster ist mit bloßem Auge nicht zu erkennen. Dieser Artikel erklärt nüchtern, wie Quishing funktioniert, warum es so gut klappt und mit welchen einfachen Gewohnheiten du dich wirksam schützt. Stand 2026.

Was Quishing eigentlich bedeutet

Der Begriff Quishing setzt sich aus »QR« und »Phishing« zusammen. Gemeint ist eine Phishing-Variante, bei der nicht ein klassischer Link in einer E-Mail, sondern ein QR-Code als Einstieg dient. Du scannst den Code mit dem Smartphone, landest auf einer Seite, die täuschend echt aussieht, und gibst dort im schlechtesten Fall deine Anmeldedaten ein.

Technisch ist ein QR-Code dabei nichts anderes als ein optisch kodierter Text. In den allermeisten Quishing-Fällen steckt darin eine URL, also eine Webadresse. Das Prinzip ist nicht neu, aber es hat in den vergangenen Jahren stark zugenommen, weil QR-Codes mittlerweile überall akzeptiert werden und niemand mehr stutzig wird, wenn er einen sieht.

Behörden wie das BSI warnen seit geraumer Zeit vor dieser Masche, und auch Verbraucherzentralen greifen das Thema regelmäßig auf. Quishing trifft Privatpersonen genauso wie Unternehmen, denn die Hürde für Angreifer ist niedrig und die Wirkung oft beachtlich.

Die typischen Angriffswege

Der vielleicht bekannteste Weg ist der gefälschte QR-Aufkleber, der über einen echten Code geklebt wird. Beliebte Ziele sind Parkautomaten, E-Ladesäulen, Restaurant-Tische und -Menüs sowie Plakate. Du willst nur schnell den Parkschein bezahlen, scannst den Aufkleber und landest auf einer betrügerischen Bezahlseite, die dein Geld einsammelt, ohne dass jemals ein Ticket entsteht.

Ein zweiter Weg führt über E-Mails und PDF-Dokumente. Hier ist der QR-Code als Bild eingebettet, oft begleitet von der Aufforderung, sich aus Sicherheitsgründen erneut bei deiner Bank oder deinem Microsoft-365-Konto anzumelden. Auch vermeintliche Paketbenachrichtigungen mit einem Code zum »Verfolgen der Sendung« gehören in diese Kategorie.

Der dritte Weg ist erstaunlich klassisch: der Brief auf Papier. Gefälschte Bankschreiben, angebliche Bußgeldbescheide oder rührselige Spendenaufrufe enthalten einen QR-Code, der angeblich direkt zur Zahlung oder zum Login führt. Gerade weil ein gedruckter Brief seriös wirkt, sinkt hier die Wachsamkeit besonders stark.

Warum QR-Code-Phishing so gut funktioniert

Der wichtigste Grund ist die fehlende Sichtprüfung. Bei einem getippten Link in einer E-Mail kannst du wenigstens die Buchstaben lesen. Ein QR-Code dagegen ist für dich ein undurchsichtiges Muster. Du erfährst erst beim Scannen, wohin die Reise geht, und selbst dann nur, wenn dein Scanner die Adresse überhaupt anzeigt.

Hinzu kommt, dass Smartphone-Browser die URL stark kürzen oder in der Adressleiste fast verstecken. Die wirklich entscheidende Information, nämlich die echte Domain, geht im kleinen Display schnell unter. Eine Adresse wie sparkasse.sicher-login.xyz sieht auf den ersten Blick vertraut aus, obwohl die eigentliche Domain hier sicher-login.xyz ist und mit der echten Sparkasse nichts zu tun hat.

Zwei weitere Faktoren spielen Angreifern in die Hände. Erstens umgeht ein QR-Code teilweise klassische E-Mail-Filter, weil im Text gar kein anklickbarer Link steht, sondern nur ein Bild. Zweitens vertrauen Menschen Codes an »offiziell« wirkenden Standorten wie einem Behördenautomaten oder einem Ladepunkt fast blind.

Was die Angreifer wirklich wollen

In den meisten Fällen geht es um den Diebstahl von Zugangs- und Zahlungsdaten. Die gefälschte Seite imitiert ein Login oder ein Bezahlformular, und alles, was du dort eintippst, fließt direkt zu den Betrügern. Mit erbeuteten Bankzugängen oder Kreditkartendaten lässt sich anschließend bequem Geld abbuchen.

Ein zweites Ziel ist das Verteilen von Schadsoftware. Manche Quishing-Seiten versuchen über einen sogenannten Drive-by-Download, unbemerkt Code auf dein Gerät zu bringen, oder sie drängen dich zur Installation einer angeblich nötigen App. Auf veralteten Systemen ist das Risiko hier deutlich höher.

Drittens existiert reiner Abo- und Zahlungsbetrug. Du gibst Zahlungsdaten für einen vermeintlich einmaligen Kleinbetrag ein, etwa eine Parkgebühr, und schließt damit in Wahrheit ein teures Abonnement ab oder autorisierst eine wiederkehrende Belastung.

QR-Codes verstehen: ein wenig technischer Hintergrund

Es hilft, sich klarzumachen, dass ein QR-Code kein magisches Tor ist, sondern nur ein Container für Text. In der Praxis ist dieser Text fast immer eine URL. Sobald du den Code scannst, liest die Kamera-App den enthaltenen Text aus und schlägt vor, die Adresse zu öffnen. Genau in diesem Moment solltest du innehalten und die Adresse lesen.

Manche Quishing-Links sind zusätzlich verschleiert, etwa durch sogenanntes URL-Encoding, bei dem Zeichen wie %2F oder %3A auftauchen. Das ist an sich harmlos und technisch normal, kann aber dazu dienen, die echte Domain im Wust der Zeichen zu verstecken. Wenn du eine verdächtige, kryptisch aussehende Adresse vor dir hast, kannst du sie mit einem URL-Decoder wieder in Klartext umwandeln und dann in Ruhe prüfen, welche Domain wirklich angesteuert wird.

Wichtig ist die Reihenfolge: Lies den Link, bevor du ihn öffnest. Viele Scanner zeigen die Ziel-URL als Vorschau an, ohne sie sofort aufzurufen. Diese Vorschau ist deine beste Verteidigungslinie, denn sie verwandelt das undurchsichtige Muster in eine lesbare Adresse.

So erkennst du einen verdächtigen QR-Code

Beginne immer bei der Domain. Lies sie von rechts nach links bis zum ersten Punkt vor der Endung. Bei login.sparkasse.de ist die Domain sparkasse.de, bei sparkasse.sicher-login.xyz dagegen sicher-login.xyz. Achte auf Tippfehler, vertauschte Buchstaben und fremde Subdomains, die einen vertrauten Namen nur vorgaukeln.

Im echten Raum lohnt der Blick auf den Aufkleber selbst. Wirkt der Code wie nachträglich aufgeklebt, sitzt er schief, überdeckt er einen darunterliegenden Code oder löst sich an den Rändern, ist Vorsicht geboten. Seriöse Codes sind in der Regel fest aufgedruckt und nicht als billiger Sticker angebracht.

Misstrauisch machen sollte dich außerdem jeder Zeitdruck. Formulierungen wie »Ihr Konto wird in 24 Stunden gesperrt« oder »Letzte Mahnung vor Inkasso« sind klassische Druckmittel. Echte Banken und Behörden zwingen dich nicht über einen QR-Code zu einer sofortigen Anmeldung.

Die wichtigsten Schutzregeln im Alltag

Die mit Abstand wirksamste Regel lautet: Gib niemals Logins über einen gescannten Link ein. Wenn dich ein QR-Code zur Anmeldung bei deiner Bank oder einem anderen Konto auffordert, schließe die Seite. Rufe den Dienst stattdessen über die offizielle App oder ein selbst gesetztes Lesezeichen auf. So umgehst du jede gefälschte Adresse zuverlässig.

Stelle deinen QR-Scanner so ein, dass er die Adresse als Vorschau anzeigt statt sie automatisch zu öffnen. Bei Briefen und vermeintlichen Behördenschreiben verifiziere den Absender über offizielle Kanäle, also über die Telefonnummer von der echten Website oder vom letzten Originalschreiben, niemals über Kontaktdaten aus dem verdächtigen Brief selbst.

Halte schließlich Betriebssystem und Browser aktuell. Viele Drive-by-Angriffe scheitern an einem gepflegten System, weil bekannte Lücken längst geschlossen sind. Diese banale Routine erspart dir im Ernstfall den größten Ärger.

Phishing-resistent anmelden: 2FA und Passkeys

Selbst die beste Wachsamkeit kann einmal versagen. Deshalb lohnt es sich, die Anmeldung von vornherein so abzusichern, dass ein abgegriffenes Passwort allein nutzlos ist. Der erste Schritt ist die Zwei-Faktor-Authentifizierung, kurz 2FA, bei der zum Passwort ein zweiter Faktor kommt, etwa ein Einmalcode aus einer App.

Noch deutlich robuster sind Passkeys auf Basis von FIDO2. Sie sind an die echte Domain gebunden und lassen sich auf einer gefälschten Quishing-Seite gar nicht erst verwenden. Selbst wenn du also versehentlich auf einer Betrugsseite landest, können Angreifer mit einem Passkey nichts anfangen, weil die kryptografische Bindung nicht passt.

Wer tiefer einsteigen möchte, findet die Unterschiede im Detail in unserem Artikel Passkeys gegen Passwörter. Die Kurzfassung lautet: Wo immer ein Dienst Passkeys anbietet, solltest du sie nutzen, denn sie nehmen dem Quishing einen großen Teil seiner Wirkung.

Was Tools auf CalcSI helfen

Wenn du eine verdächtige, lange oder kryptisch aussehende Adresse aus einem QR-Code prüfen willst, hilft dir der URL-Encoder/Decoder. Damit machst du Zeichenfolgen wie %2F oder %3A wieder lesbar und erkennst auf einen Blick, welche Domain tatsächlich angesteuert wird, bevor du irgendetwas öffnest.

Wenn du selbst QR-Codes für vertrauenswürdige Zwecke brauchst, etwa für ein eigenes Plakat oder eine Visitenkarte, erstellst du sie sauber mit dem QR-Code-Generator. So weißt du genau, welche Adresse hinter deinem Code steckt, und gibst sie transparent an.

Für phishing-resistente Konten brauchst du außerdem starke, einzigartige Zugangsdaten. Diese erzeugst du mit dem Passwort-Generator. Und wenn du prüfen möchtest, ob eine heruntergeladene Datei unverändert ist, vergleichst du ihre Prüfsumme mit dem Hash-Generator gegen den offiziell angegebenen Wert.

Comments