QR-Code-Phishing, sogenanntes „Quishing“, wird zur Massenbedrohung. Kriminelle überkleben echte Codes auf Messen, um an persönliche Daten zu gelangen. Auch staatliche Hacker nutzen die Technik bereits.
Die nächste Cyber-Gefahr lauert auf Plakaten und Infotafeln: Sicherheitsbehörden und Experten warnen eindringlich vor manipulierten QR-Codes auf großen öffentlichen Veranstaltungen. Die Methode, „Quishing“ genannt, ist simpel und gefährlich. Betrüger kleben einfach Aufkleber mit schädlichen Codes über legitime QR-Codes an stark frequentierten Orten. Wer sie scannt, landet auf gefälschten Webseiten, die Daten abgreifen, Geld stehlen oder Schadsoftware installieren. Die Bedrohung wächst rasant und erreicht nun auch das breite Publikum – parallel berichten Behörden wie das FBI von immer raffinierteren Angriffen staatlich unterstützter Hacker mit derselben Technik.
Behörden warnen vor Betrug auf Messen und Großevents
Die Gefahr ist alles andere als theoretisch. Anlässlich der bevorstehenden Detroit Auto Show hat Michigans Generalstaatsanwältin Dana Nessel am 13. Januar 2026 eine Verbraucherwarnung erneuert. Die Messe, die Tausende Besucher anzieht, nutzt QR-Codes für Informationen und Zahlungen – ein perfektes Umfeld für Kriminelle. Die Taktik: Ein Aufkleber mit bösartigem Code wird über den echten geklebt. Ein ahnungsloser Besucher scannt ihn und wird auf eine Phishing-Website geleitet. Bereits am 6. Januar warnte die Cybersecurity Association of Pennsylvania (PennCyber) vor ähnlichen Angriffen auf der Pennsylvania Farm Show, die über eine halbe Million Besucher hat. Solche Großveranstaltungen seien ein „dichtes und attraktives Ziel“, so die Experten.
QR-Code-Betrüger zielen oft auf ungeschützte Smartphones ab – viele Android-Nutzer übersehen kleine Einstellungen, die Angriffe verhindern könnten. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Gerät: sichere App-Prüfung, Berechtigungs-Checks, Scan‑Vorsicht und einfache Anti‑Malware‑Hygiene. So schützen Sie WhatsApp, Mobile‑Banking und Ticket‑Apps vor Datenklau und Schadsoftware. Jetzt Gratis-Sicherheitspaket für Android anfordern
So funktioniert der QR-Code-Betrug
Die Wirksamkeit von Quishing basiert auf Einfachheit und dem blinden Vertrauen der Nutzer in die kleinen schwarz-weißen Quadrate. Angreifer erstellen Codes, die zu gefälschten Websites führen. Diese sehen oft täuschend echt aus, wie etwa Zahlungsportale oder Event-Seiten. Wird der Code gescannt, soll das Opfer sensible Daten eingeben. Alternativ kann auch im Hintergrund Schadsoftware heruntergeladen werden. Die Methode ist tückisch: Sie umgeht E-Mail-Sicherheitsfilter und verlagert den Angriffsvektor auf das oft weniger geschützte Smartphone. Der physische Akt des Überklebens an öffentlichen Orten macht die Täter zudem schwer greifbar.
Staatliche Hacker setzen auf QR-Codes
Die Bedrohung geht längst nicht mehr nur von Einzeltätern aus. Das FBI warnte am 8. Januar 2026 davor, dass die nordkoreanische, staatlich unterstützte Hacker-Gruppe Kimsuky bösartige QR-Codes für gezielte Spear-Phishing-Kampagnen nutzt. Ziele sind bisher vor allem Denkfabriken, Akademien und Behörden. Dass eine so prominente Gruppe diese Technik einsetzt, unterstreicht ihre Wirksamkeit und das Potenzial für einen breiteren Missbrauch. Auch Südkoreas Internet-Sicherheitsbehörde meldete am 13. Januar eine neue Angriffswelle mit QR-Codes, die auf nordkoreanische Hacker zurückgeht.
Warum QR-Code-Betrug boomt
Mehrere Faktoren treiben den Quishing-Boom voran. Die Pandemie machte QR-Codes für kontaktlose Menüs und Zahlungen allgegenwärtig – und das Scannen zur reflexhaften Handlung. Diese Ubiquität schafft eine riesige Angriffsfläche. Zudem sind Smartphones als primäre Scan-Geräte oft schlechter geschützt als Firmenrechner. Experten sehen darin einen Teil des Trends zu sozial manipulierten Angriffen, die klassische Sicherheitsperimeter umgehen. Für Betrüger ist die Methode zudem kostengünstig und einfach umzusetzen – bei potenziell hoher Rendite.
So können sich Besucher schützen
Da QR-Codes auf Events nicht mehr wegzudenken sind, wird die Bedrohung weiter wachsen. Veranstalter sind gefordert, vertrauenswürdige, brandeigene Codes zu nutzen und Personal für Manipulationen zu sensibilisieren. Für Besucher gilt: Vigilanz ist der beste Schutz. Vor dem Scannen sollte jeder Code genau inspiziert werden – ist er ein Aufkleber? Zudem ist Vorsicht bei unerbetenen Nachrichten mit QR-Codes geboten. Nach dem Scan lohnt ein kritischer Blick auf die URL: Entspricht sie der erwarteten, legitimen Domain? Eine mobile Sicherheits-App kann eine zusätzliche Schutzschicht bieten.
