Eine neue Welle von Betrugsversuchen mit QR-Codes zwingt deutsche Behörden zu dringenden Warnungen. Cyberkriminelle nutzen manipulierte Codes in E-Mails, Briefen und an öffentlichen Automaten, um an Bankdaten zu gelangen. Experten sehen einen alarmierenden Trend, den Künstliche Intelligenz noch beschleunigt.
So funktioniert die perfide „Quishing“-Masche
Der Begriff „Quishing“ kombiniert QR-Code und Phishing. Die Methoden der Angreifer sind vielfältig und kreativ. Eine verbreitete Masche ist das physische Überkleben von legitimen Codes an öffentlichen Orten.
In mehreren deutschen Städten ersetzten Täter originale QR-Codes an Parkscheinautomaten oder Ladesäulen. Wer scannte, landete auf einer gefälschten Bezahlseite – die Kreditkartendaten gingen direkt an die Betrüger. Eine weitere Methode sind gefälschte E-Mails oder Briefe von angeblichen Banken oder Behörden. Ein darin enthaltener QR-Code führt dann auf eine Phishing-Webseite.
Explosionsartiger Anstieg der Angriffe
Die Zunahme ist dramatisch. Sicherheitsexperten von Kaspersky registrierten Ende 2025 einen fünffachen Anstieg schädlicher QR-Codes in E-Mails binnen vier Monaten. Dieser Trend setzt sich fort.
Der Erfolg basiert auf mehreren Faktoren. Für das menschliche Auge ist nicht erkennbar, wohin ein QR-Code führt. Zudem hat die Pandemie das schnelle Scannen zur Gewohnheit gemacht. Ein entscheidender Vorteil für Kriminelle: Die Angriffe zielen auf Smartphones ab. Diese sind oft schlechter geschützt als PCs, und auf dem kleinen Bildschirm fallen verdächtige Webadressen weniger auf.
Briefe der „Volksbanken“: Die Täter lernen dazu
Die jüngsten Vorfälle zeigen eine deutliche Professionalisierung. Die Polizeiinspektion Stendal warnte kürzlich vor einer Betrugsserie mit gefälschten Briefen im Namen der „Volksbanken Raiffeisenbanken“.
Eine erste Welle enthielt noch nicht funktionsfähige QR-Codes. In einer zweiten, verbesserten Version führte der Code die Opfer direkt auf eine Phishing-Seite. Diese schnelle Anpassung verdeutlicht die Lernfähigkeit der Täter. Experten machen den Einsatz generativer KI für die Perfektionierung verantwortlich. Die Technologie erlaubt es, fehlerfreie und personalisierte Betrugsnachrichten in Massen zu erstellen.
Warum klassische Sicherheitsfilter versagen
Die Effektivität von Quishing liegt in der Umgehung traditioneller Sicherheitsmaßnahmen. Viele E-Mail-Filter analysieren verdächtige Textlinks – einen QR-Code behandeln sie aber oft als harmlose Bilddatei.
Die Betrüger betten die Codes zudem in PDF-Dokumente ein, die als Rechnungen getarnt sind. Der Angriff verlagert den Nutzer vom potenziell geschützten Firmennetzwerk auf sein privates Smartphone. Diese hybride Vorgehensweise stellt Verbraucher und Unternehmen vor neue Herausforderungen. Das BSI zählt Quishing mittlerweile zu den akutesten digitalen Bedrohungen.
QR‑Code‑Betrug wie „Quishing“ nutzt genau jene Lücken aus, die klassische Filter übersehen. Ein kostenloses E‑Book erklärt die aktuellen Cyber‑Security‑Trends und liefert sofort umsetzbare Schutzmaßnahmen – von der Erkennung verdächtiger Links bis zu sicheren Smartphone‑Einstellungen. Jetzt kostenloses Cyber‑Security-E-Book herunterladen
So schützen Sie sich vor QR-Code-Betrug
Experten raten zu erhöhter Wachsamkeit und grundlegendem Misstrauen gegenüber unaufgeforderten QR-Codes. Diese Maßnahmen helfen:
- Vorsicht beim Scannen: Scannen Sie keine Codes aus unerwarteten E-Mails, Briefen oder von unbekannten Quellen.
- Physische Prüfung: Checken Sie Codes im öffentlichen Raum auf manipulierende Aufkleber.
- URL-Vorschau nutzen: Deaktivieren Sie das automatische Öffnen von Links nach dem Scan. Prüfen Sie die angezeigte Webadresse auf Tippfehler oder verdächtige Domains.
- Direkte Eingabe bevorzugen: Rufen Sie Login-Seiten Ihrer Bank immer durch direkte Adresseingabe auf, nicht über einen Code.
- Im Zweifel nachfragen: Kontaktieren Sie den angeblichen Absender über einen offiziellen, bekannten Kanal.
Sollten Sie Opfer geworden sein, sperren Sie umgehend Ihre Konten bei der Bank und erstatten Sie Anzeige bei der Polizei.
