Quishing: Vorsicht vor Phishing-Betrug mit QR-Codes
Bereits seit 2021 ist eine Betrugsmasche im Umlauf, bei der Kriminelle QR-Codes nutzen, um an das Geld ihrer Opfer zu gelangen. Diese Täuschung mit QR-Codes wird in der Cyberkriminalität als "Quishing" bezeichnet und ist eine Kombination aus den Wörtern "QR-Code" und "Phishing". In einem aktuellen Fall aus dem Juni 2025 wurde einem Opfer im Raum Goslar (Niedersachsen) eine vierstellige Summe abgebucht, nachdem es bargeldlos seinen Parkschein bezahlen wollte. Wie "Quishing" funktioniert und wie potenzielle Opfer sich vor dem Betrug schützen können, erklären wir in unserem Ratgeber.
QR-Code-Phishing - Das Wichtigste im Überblick:
QR-Code-Phishing beschreibt den Betrug mit gefälschten QR-Codes.
Die Masche ist auch als "Quishing" bekannt.
Die Opfer scannen falsche QR-Codes, zum Beispiel an Parkautomaten oder auf Bankbriefen.
Die QR-Codes führen auf Webseiten der Betrüger und sind Angriffe auf Daten oder Geld.
Schutz ist durch Achtsamkeit möglich.
Technische Möglichkeiten helfen auf dem Smartphone.
Versicherung gegen Cyberbetrug
Quishing: Wie funktioniert QR-Code-Phishing?
E-Mails mit schädlichen QR-Codes im Jahr 2021 markierten den Beginn der Masche "Quishing". Kriminelle machten sich die zunehmende Bekanntheit der QR-Codes in der Corona-Pandemie zunutze und stellten selbst Fälschungen von Kachelbildern her. In den besagten E-Mails aus dem Jahr 2021 waren die Logos bekannter Banken zu sehen. Fielen die Opfer auf die vermeintlichen Anschreiben ihrer Bank herein und scannten den QR-Code mit ihrer Handykamera ab, gelangten sie auf die Website der Täter. Nach entsprechender Eingabe durch die Opfer konnten die Kriminellen dort zum Beispiel Daten für das Online-Banking abgreifen oder über die Gelder verwalten und den gewünschten Schaden anrichten.
Die E-Mails waren jedoch für geschulte Augen leicht zu erkennen, weshalb sich die Cyberkriminellen offenbar weiterentwickeln konnten. So berichtet das Landeskriminalamt Niedersachsen im Jahr 2025 von einer erweiterten Form der Betrugsmasche "Quishing". Die Täter hatten dabei gedruckte Fälschungen von QR-Codes an Parkautomaten angebracht. Sie überklebten die echten Codes des Parkanbieters "Pay by Phone" mit ihren eigenen Fälschungen, was von außen nicht ersichtlich war. Die Betroffenen scannen somit einen QR-Code, der sie auf die Website der Täter bringt. Über diese Homepage können die Kriminellen während des Angriffs Zugangsdaten erlangen oder zumindest die tatsächliche Überweisung der Parkgebühr umleiten, um einen Vermögensvorteil zu erlangen.
QR-Code
Ein QR-Code (Quick Response Code) ist ein zweidimensionaler Barcode, mit dem sich Informationen wie Texte, URLs, Kontaktdaten und vieles andere mehr verbreiten lassen. Aufgrund der doppelten Leserichtung können deutlich mehr Daten in einem QR-Code gespeichert werden als in einem herkömmlichen Barcode. Smartphones und Lesegeräte scannen die Muster und lesen die gespeicherten Daten innerhalb weniger Sekunden aus. Selbst wenn ein QR-Code beschädigt oder verschmutzt ist, lässt er sich noch nutzen.
Das "Quishing" ist überall dort möglich, wo QR-Codes zum Bezahlen genutzt werden können. Dies ist beim Einkaufen, in der Gastronomie, im Taxi, an der Tankstelle, im ÖPNV oder bei Spendenaufrufen auf Plakaten denkbar. Den Möglichkeiten der Kriminellen für diese Form des Phishings sind kaum Grenzen gesetzt, während die Anbieter - wie Taxifahrer oder Barkeeper - in der ersten Zeit nichts von dem Angriff auf ihr Bezahlungsangebot mitbekommen. Erst wenn sich die Betroffenen beim Anbieter sowie bei der Polizei melden oder der Umsatz über das Scannen des QR-Codes plötzlich entfällt, können die Fälschungen entfernt werden. Die zuvor gestohlenen Daten oder Gelder sind jedoch verloren.
Versicherung gegen Cyberbetrug
Wie enttarne ich QR-Code-Phishing?
Ein gut gemachtes QR-Code-Phishing ist allein anhand des Codes kaum zu erkennen. Vielmehr sollten die weiteren Umstände genutzt werden, um Aufmerksamkeit zu erregen, wobei dies stark von der jeweiligen Masche abhängt. Wenn die Täter E-Mails mit gefälschten QR-Codes verschicken, können die Empfänger die allgemeinen Tipps zum Schutz vor Phishing beachten. Hierzu zählen für Briefe und E-Mails:
Absenderadresse auf Schreibfehler und Unlogiken überprüfen
Den Sprachstil auf Grammatikfehler, untypische Formulierungen und Satzstellungen checken
Links mit den originalen Adressen vergleichen
Anhänge nur öffnen, wenn die E-Mail erwartet wird
Dringlichkeiten und Drohungen kritisch betrachten
Handelt es sich nicht um einen QR-Code in einer E-Mail oder einem Brief, wird die Enttarnung des Betrugs noch schwieriger. Hier kann nur ein genauer Blick auf den QR-Code selbst helfen. Ist dieser nicht ganz gerade, ist bereits höchste Vorsicht geboten. Außerdem kleben Anbieter nur sehr selten ihre QR-Codes auf. Normalerweise sind sie auf Schildern, an Automaten oder auf Menükarten aufgedruckt. Ist das Scannen des Codes bereits erfolgt, ist eine Überprüfung der Zieladresse absolut ratsam. Zudem müssen die Alarmglocken läuten, wenn die aufgerufene Website direkt nach Daten fragt oder vom bekannten Layout abweicht.
"Wir beobachten, dass die Zahl der Betrugsversuche mit QR-Codes zunimmt. Daher sollte man sie nicht unbedacht scannen,
sondern mit gesundem Misstrauen vorher immer erst prüfen, wohin sie führen."
Ralf Scherfling, Verbraucherzentrale Nordrhein-Westfalen
Gibt es einen Schutz vor Quishing?
Smartphone-Nutzer können sich technisch vor der Betrugsmasche mit QR-Codes schützen. In erster Linie sind hier sichere Apps zum QR-Scannen zu nennen. Diese Programme ersetzen die Handykamera und warnen direkt vor verdächtigen Seiten. Außerdem sollte das automatische Ausführen von QR-Links blockiert sein. So kann zunächst der Link manuell überprüft werden, bevor das Smartphone mit dem Internet verbunden wird. Selbstverständlich sind auch Anti-Viren-Apps sowie ein Phishing-Filter im Browser wichtige Bestandteile für den sicheren Umgang mit mobilen Daten.
Wichtig zu wissen ist, dass viele Anbieter von QR-Codes eine eigene App besitzen. Ein Scan des Codes sollte daher nicht auf eine Website führen, sondern die App des Anbieters öffnen, sofern diese auf dem Smartphone installiert ist. Es ist also ratsam, die Apps der Park-, Tank- oder Gastroanbieter auf dem eigenen Handy zu haben. Ein weiterer wichtiger Schutz ist der Abschluss einer Versicherung gegen Cyberkriminalität, wie du sie bei SaferYou findest. Im Fall der Fälle helfen unsere Experten bei einem Internetbetrug schnell und sicher weiter.
FAQ
Mo's Tipp: Die Cyberversicherung von SaferYou unterstützt dich bei Schäden durch Internetbetrug mit rechtlichem Beistand und Schadenersatz. Schütze dich jetzt und schließe noch heute die leistungsstarke Cyberversicherung von SaferYou ab!

Schließe hier unsere Cyberversicherung ab:
Jetzt abschließen