Eine neue Welle von QR-Code-Betrug, sogenanntes Quishing, zwingt deutsche Behörden zu dringenden Warnungen. Cyberkriminelle nutzen manipulierte Codes in Briefen, an Automaten und in E-Mails, um an Bankdaten zu gelangen. Eine besonders perfide Kampagne im Namen von Volksbanken und Raiffeisenbanken hat die Polizei in Sachsen-Anhalt jetzt auf den Plan gerufen.
Gefälschte Bankbriefe mit funktionierenden QR-Codes
Im Zentrum der aktuellen Warnungen steht eine Betrugsserie in Sachsen-Anhalt. Die Polizeiinspektion Stendal sprach am 13. Februar eine erneute Warnung aus. Bürger erhalten gefälschte Schreiben in einer „verbesserten“ Version: Sie enthalten nun funktionsfähige QR-Codes. Diese leiten auf professionell gestaltete Phishing-Webseiten, die zur „Aktualisierung“ der Kundendaten auffordern. Das gibt den Angreifern direkten Zugriff auf Konten. Die Behörden raten eindringlich: Scannen Sie die Codes nicht und öffnen Sie die Links nicht.
Wie der QR-Code-Betrug Sicherheitsbarrieren umgeht
Quishing kombiniert „QR-Code“ mit „Phishing“ und ist eine Weiterentwicklung klassischer Methoden. Der große Vorteil für die Täter: Einem QR-Code sieht man nicht an, wohin er führt. Das nutzen sie gezielt aus, um Sicherheitsmechanismen zu umgehen.
Ein häufiger Angriffsweg sind E-Mails mit eingebetteten QR-Code-Bildern. Viele Sicherheitsprogramme prüfen Texte und Anhänge – interpretieren die Codes aber als harmlose Bilddateien. Die Betrüger platzieren sie oft in gefälschten PDF-Dokumenten, die wie offizielle Rechnungen aussehen. Besonders tückisch: Die Nutzer scannen oft mit ihrem Smartphone, einem meist schlechter geschützten Gerät als der Firmen-PC.
Quishing nutzt vor allem Schwachstellen von Smartphones und menschliches Verhalten — Unternehmen und Privatanwender sollten daher gezielt auf Aufklärung und technische Schutzmaßnahmen setzen. Ein kostenloses E-Book fasst aktuelle Cyber-Security-Trends zusammen und zeigt praktische Schritte gegen Phishing, KI-gestützte Angriffe und Social-Engineering. Jetzt kostenloses Cyber-Security-E-Book sichern
Dreiste Masche: Gefälschte Codes an Parkscheinautomaten
Die Kreativität der Kriminellen kennt kaum Grenzen. Neben Briefen und E-Mails manipulieren sie zunehmend QR-Codes im öffentlichen Raum. Erst am 16. Februar warnten spanische Behörden vor einer Masche mit gefälschten QR-Aufklebern auf Parkuhren. Ähnliche Vorfälle sind aus Deutschland bekannt:
- Täter überkleben originale Codes an Parkscheinautomaten
- Sie manipulieren Codes an E-Ladesäulen
- Sie ersetzen QR-Codes auf Werbeplakaten
Diese physische Manipulation ist besonders tückisch. Die Opfer befinden sich in alltäglichen Situationen, etwa beim Parkticket-Bezahlen, und misstrauen dem offiziell aussehenden Code nicht. Experten beobachten zudem hybride Angriffe, die Quishing mit betrügerischen Telefonanrufen („Vishing“) kombinieren, um mehr Druck aufzubauen.
Analyse: Warum Quishing so gefährlich ist
Die Zunahme der Angriffe ist alarmierend. Sicherheitsforscher registrierten bereits Ende 2025 einen drastischen Anstieg. Laut einer Analyse von Kaspersky verfünffachte sich die Zahl entdeckter schädlicher QR-Codes zwischen August und November 2025. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt Phishing und Quishing zu den akutesten Bedrohungen für Verbraucher.
Die Angriffe nutzen gezielt die Schnittstelle zwischen analoger und digitaler Welt aus. Die weite Verbreitung von QR-Codes seit der Pandemie schuf den perfekten Nährboden. Da die Attacken oft auf mobile Geräte abzielen, stellen sie auch Unternehmen vor neue Sicherheitsherausforderungen.
KI macht Betrugsmails perfekt und persönlich
Experten gehen davon aus, dass die Bedrohung weiter zunimmt. Eine Schlüsselrolle spielt dabei Künstliche Intelligenz (KI). Generative KI ermöglicht heute schon die Erstellung hochgradig personalisierter und überzeugender Phishing-Nachrichten im großen Stil. Das senkt die Hürden für Kriminelle erheblich.
Für die Zukunft ist zu erwarten, dass KI-gestützte Kampagnen noch präziser auf Einzelpersonen zugeschnitten werden. Das könnte Quishing-Angriffe nahezu unerkennbar machen. Die grundlegende Verteidigung bleibt jedoch einfach: Grundsätzliches Misstrauen gegenüber unaufgeforderten Kommunikationen. Im Zweifel kontaktieren Sie Ihre Bank oder den Dienstleister immer direkt über einen bekannten Kanal – und scannen Sie keinen QR-Code.
