Das sogenannte „Quishing“ — ein Kunstwort aus QR-Code und Phishing — nutzt die alltägliche Technologie für perfide Betrugsmaschen. Eine aktuelle Warnung der Verbraucherzentralen vom 29. April zeigt die Brisanz: Kriminelle verschicken massenhaft gefälschte Benachrichtigungen im Namen der Steuerverwaltung ELSTER.
Die Täter locken ihre Opfer über manipulierte QR-Codes auf betrügerische Seiten. Dort sollen sensible Finanzdaten preisgegeben werden. Experten beobachten eine zunehmende Professionalisierung der Angreifer, die digitale und physische Methoden kombinieren.
Ob beim Online-Banking oder beim Scannen von QR-Codes – wer sein Smartphone nicht zusätzlich absichert, riskiert den Verlust sensibler Finanzdaten an professionelle Hacker. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Gerät sofort gegen Internet-Kriminalität wappnen. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken
Parkautomaten und Ladesäulen im Visier
Besonders perfide: Die Manipulation von Infrastruktur im öffentlichen Raum. Das Landeskriminalamt Niedersachsen und die Polizei in Nordrhein-Westfalen registrierten in den letzten Wochen vermehrt Vorfälle, bei denen offizielle QR-Codes an Parkscheinautomaten überklebt wurden. Betroffen sind Städte wie Hannover, Dortmund, Köln, Celle und Bad Harzburg.
Die Täter nutzen oft das Branding bekannter Dienstleister wie EasyPark. Scannen Autofahrer den manipulierten Code, landen sie auf einer täuschend echten Bezahlplattform. Dort werden Kreditkartendaten, Kennzeichen und Parkdauer abgefragt. Laut EasyPark löst ein echter QR-Code des Unternehmens niemals eine Zahlungsseite im Browser aus, sondern startet die offizielle App.
Ähnliche Muster zeigen sich an Ladesäulen für Elektroautos. Der ADAC und Verbraucherschützer raten: QR-Codes an öffentlichen Automaten kritisch prüfen, im Zweifel die offizielle App nutzen oder bar zahlen.
Briefpost als neue Einfallstür
Neben der digitalen Schiene setzen Betrüger verstärkt auf hybride Methoden. Die Verbraucherzentrale Nordrhein-Westfalen meldet eine Zunahme gefälschter Bankbriefe im Design großer Institute wie der Commerzbank. Die Schreiben fordern Kunden auf, einen QR-Code zu scannen – angeblich zur Aktualisierung von Sicherheitsverfahren.
Besonders dreist ist die ELSTER-Masche vom 29. April. Die Opfer erhalten Nachrichten über eine angebliche Steuererstattung. Um den Differenzbetrag zu erhalten, sollen sie ihre Bankverbindung über ein QR-Code-Portal bestätigen. Psychologischer Druck durch Fristsetzungen soll unüberlegte Klicks provozieren.
Auch der Nahverkehr ist betroffen. In Düsseldorf tauchten in Bussen gefälschte Gewinnspiel-Plakate auf, die kostenlose Deutschlandtickets versprachen. Auf Plattformen wie Kleinanzeigen simulieren Betrüger Zahlungsbestätigungen von PayPal oder Klarna – und ergattern stattdessen die Login-Daten der Verkäufer.
Gerade bei Zahlungsdiensten wie PayPal versuchen Betrüger immer häufiger, über manipulierte Portale an Ihre Login-Daten zu gelangen. Wie Sie Ihr Konto richtig einrichten und den Käuferschutz als wirksames Schutzschild nutzen, erfahren Sie in diesem kostenlosen Startpaket. PayPal Startpaket gratis herunterladen
Hunderttausende Verdachtsfälle registriert
Die Dimension der Bedrohung ist alarmierend. Allein in Nordrhein-Westfalen verzeichnete das Phishing-Radar im vergangenen Jahr über 382.000 Verdachtsfälle. Die Dunkelziffer dürfte enorm hoch sein – viele Betroffene schämen sich.
Global zeigt sich eine dramatische Beschleunigung: Zwischen August und November 2025 verfünffachten sich die Quishing-Vorfälle von rund 46.000 auf etwa 250.000 gemeldete Fälle. Eine Bitkom-Umfrage zeigt: Fast zwei Drittel der Deutschen sind bereits mit Cyberkriminalität in Kontakt gekommen. Das BSI warnt vor einer massiven Welle.
Die Tücke liegt in der Natur des QR-Codes. Anders als bei Phishing-Mails ist die Ziel-URL für das menschliche Auge nicht lesbar. Sicherheitssoftware auf Mobilgeräten erkennt die Angriffe oft nicht, weil schädliche Links hinter Kurz-URLs versteckt werden.
So erkennen Nutzer manipulierte Codes
Sicherheitsexperten empfehlen proaktive Schutzmaßnahmen. QR-Codes, die unerwartet per Post, SMS oder als Aufkleber an öffentlichen Geräten erscheinen, sollten grundsätzlich misstrauisch machen.
Moderne Smartphone-Kameras zeigen beim Scannen oft eine Vorschau der Internetadresse. Nutzer sollten diese genau prüfen. Typische Betrugsindizien: Domains, die echte Namen imitieren, aber durch Bindestriche oder Ziffern ergänzt wurden. Auch unscharfe Logos oder überklebte Ränder an Automaten sind Warnzeichen.
Weitere Tipps der Experten:
– QR-Code-Scanner mit Sicherheitsfunktionen nutzen
– Offizielle Apps statt mobiler Webseiten für Bezahlvorgänge verwenden
– Bei Briefen mit unpersönlicher Anrede skeptisch sein – Banken schreiben Kunden korrekt an
Die technologische Herausforderung
Der Anstieg von Quishing markiert einen Strategiewechsel bei Cyberkriminellen. Während E-Mail-Filter immer besser schädliche Links erkennen, entziehen sich QR-Codes oft der automatisierten Analyse. Der Code ist ein Bild – Sicherheitssysteme benötigen optische Erkennungsverfahren, um den Inhalt zu prüfen. Eine Hürde bei massenhaft versendeten Mails oder physisch platzierten Stickern.
Die Kombination aus physischer Präsenz an vertrauenswürdigen Orten und digitaler Anonymität macht die Masche besonders effektiv. Branchenanalysten rechnen mit einer weiteren Zunahme, unterstützt durch generative KI, die immer authentischere Briefe und Webseiten ermöglicht.
Erste Gegenmaßnahmen: digital signierte QR-Codes oder Displays an Automaten mit dynamischen, fälschungssicheren Codes. Bis solche Lösungen flächendeckend verfügbar sind, bleibt Wachsamkeit der beste Schutz. Wer Opfer wurde, sollte umgehend die Bank kontaktieren, Karten sperren lassen und Anzeige erstatten.
