Wie QR-Code-Angriffe funktionieren (und wie man sicher bleibt)

Cybersicherheit14. März 2026·7 Minuten Lesezeit

QR-Codes sind allgegenwärtig – Restaurantmenüs, Parkuhren, Produktverpackungen, Veranstaltungstickets. Ihre Bequemlichkeit brachte uns dazu, ihnen bedingungslos zu vertrauen. Aber genau dieses Vertrauen nutzen Cyberkriminelle in einer wachsenden Angriffswelle namens quishing (QR-Phishing) aus.

Was ist Quishing?

Quishing kombiniert „QR“ und „Phishing“. Anstatt Ihnen einen verdächtigen E-Mail-Link zu senden, platzieren Angreifer bösartige QR-Codes in der physischen Welt oder in digitalen Dokumenten. Wenn diese Codes gescannt werden, werden Sie auf überzeugende gefälschte Websites weitergeleitet, die darauf abzielen, Ihre Anmeldedaten und Finanzinformationen zu stehlen oder Malware zu installieren.

Das FBI meldete zwischen 2023 und 2025 einen Anstieg der QR-Code-Betrugsfälle um 300 %, wobei die Verluste allein in den USA 150 Millionen US-Dollar überstiegen.

5 Reale QR-Code-Angriffsmethoden

1. Aufkleber für Parkuhren

Kriminelle platzieren gefälschte QR-Code-Aufkleber über legitimen Zahlungscodes auf Parkuhren. Opfer scannen den Code und denken, dass sie für das Parken bezahlen würden. In Wirklichkeit geben sie jedoch ihre Kreditkartendaten auf einer Phishing-Seite ein. Dieser Angriff wurde in über 40 US-Städten dokumentiert.

2. Restaurantmenü-Overlays

Während der Pandemie wurden QR-Menüs zum Standard. Angreifer nutzen dies aus, indem sie transparente Aufkleber mit bösartigen QR-Codes über Tischzelten in Restaurants anbringen. Der gefälschte Code führt zu einer Website, die ein Menü nachahmt, aber Zahlungsinformationen oder die Installation einer App anfordert.

3. Gefälschte Paketzustellbenachrichtigungen

Sie erhalten eine Karte in Ihrem Briefkasten: „Wir haben versucht, Ihr Paket zuzustellen. Scannen, um einen neuen Termin zu vereinbaren.“ Der QR-Code führt zu einer Phishing-Seite, die sich als Lieferdienst ausgibt und Ihre Anmeldedaten und persönlichen Daten abfragt.

4. Geschäfts-E-Mail-QR-Codes

Angreifer betten QR-Codes in E-Mails ein, weil QR-Codes die meisten E-Mail-Sicherheitsfilter umgehen. Die E-Mail könnte angeblich vom IT-Support stammen und Sie auffordern, „zu scannen, um Ihr Konto zu verifizieren“ – was zu einer Seite zum Sammeln von Anmeldedaten führt.

5. Öffentliche WLAN-QR-Codes

Gefälschte „Free Wi-Fi“-QR-Codes in Flughäfen, Cafés oder Hotels können Sie zu einem Captive-Portal weiterleiten, das ein Konfigurationsprofil auf Ihrem Telefon installiert und so Man-in-the-Middle-Angriffe auf Ihren gesamten Datenverkehr ermöglicht.

🧪 QR-Sicherheitsquiz

1. Auf einer Parkuhr finden Sie einen QR-Code. Was sollten Sie zuerst tun?

Scannen Sie es und zahlen Sie sofortÜberprüfen Sie, ob es sich um einen Aufkleber handelt, der über dem Originalcode angebracht istMachen Sie ein Foto und scannen Sie es später

2. In einer QR-Code-E-Mail vom „IT-Support“ werden Sie aufgefordert, Ihr Konto zu verifizieren. Was ist die sicherste Maßnahme?

Scannen Sie den QR-Code mit Ihrem TelefonLeiten Sie ihn zur Überprüfung an Kollegen weiterGehen Sie ohne direkt zur Website des Unternehmens scannen

3. Nach dem Scannen eines QR-Codes zeigt Ihr Telefon eine URL-Vorschau an. Welche URL ist verdächtig?

https://paypal.com/paymenthttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

So schützen Sie sich

Vorschau vor dem Tippen: Überprüfen Sie nach dem Scannen immer die URL, die Ihr Telefon anzeigt. Suchen Sie nach falsch geschriebenen Domänen oder verdächtigen Zeichen.
Auf Manipulation prüfen: Achten Sie bei physischen Codes auf Aufkleber, die über dem Original angebracht sind. Legitime Codes werden normalerweise direkt auf die Oberfläche gedruckt.
Eingebaute Kamera verwenden: Die native Kamera-App Ihres Telefons ist sicherer als QR-Scanner-Apps von Drittanbietern, die möglicherweise weniger Sicherheitsschutz bieten.
Geben Sie niemals Anmeldeinformationen ein: Wenn ein QR-Code zu einer Anmeldeseite führt, schließen Sie diese und navigieren Sie manuell über Ihren Browser zur Website.
Vermeiden Sie QR-WLAN-Codes: Anstatt QR-Codes für WLAN zu scannen, fragen Sie das Personal direkt nach dem Netzwerknamen und dem Passwort.

FAQ

Was ist Quishing?

Quishing ist Phishing über QR-Codes. Angreifer ersetzen legitime QR-Codes durch bösartige Codes, die Opfer auf gefälschte Anmeldeseiten umleiten oder Malware-Downloads auslösen.

Kann das Scannen eines QR-Codes Malware installieren?

Auf den meisten modernen Telefonen wird durch einfaches Scannen eines QR-Codes zunächst eine URL-Vorschau angezeigt. Wenn Sie jedoch auf den Link tippen, kann dies zu einer Seite führen, die Browser-Schwachstellen ausnutzt oder Sie dazu verleitet, eine schädliche App herunterzuladen.

Wie kann ich feststellen, ob ein QR-Code sicher ist?

Verwenden Sie die integrierte Kamera Ihres Telefons (keine Apps von Drittanbietern), überprüfen Sie die URL-Vorschau vor dem Öffnen, suchen Sie nach Anzeichen von Manipulation an physischen QR-Codes und scannen Sie niemals Codes von nicht vertrauenswürdigen Quellen.

Wie QR-Code-Angriffe funktionieren (und wie man sicher bleibt)

Was ist Quishing?

5 Reale QR-Code-Angriffsmethoden

1. Aufkleber für Parkuhren

2. Restaurantmenü-Overlays

3. Gefälschte Paketzustellbenachrichtigungen

4. Geschäfts-E-Mail-QR-Codes

5. Öffentliche WLAN-QR-Codes

🧪 QR-Sicherheitsquiz

So schützen Sie sich

FAQ

Was ist Quishing?

Kann das Scannen eines QR-Codes Malware installieren?

Wie kann ich feststellen, ob ein QR-Code sicher ist?

Verwandte Tools