Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentralen dokumentieren eine dramatische Zunahme manipulierte QR-Codes – sogenanntes Quishing.
Allein heute wurde eine großflächige Phishing-Kampagne im Namen der Sparkassen identifiziert. Kunden erhalten E-Mails mit der Aufforderung, ihre Nutzungsrichtlinien anzupassen. Der Haken: Statt eines Links führt ein eingebetteter QR-Code auf täuschend echte Login-Seiten. Dort werden Zugangsdaten und TANs abgegriffen.
Da immer mehr Angriffe direkt auf mobile Endgeräte abzielen, ist ein Basisschutz für das Smartphone heute unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Warum klassische Filter versagen
Der entscheidende Vorteil für Angreifer liegt in der Natur des QR-Codes. Herkömmliche Sicherheitslösungen scannen Textinhalte und URLs – ein QR-Code wird jedoch als harmlose Bilddatei wahrgenommen. Er passiert die Schutzmaßnahmen ungehindert.
Die Täter nutzen zudem komplexe Umleitungsmechanismen. Statt direkt auf betrügerische Domains zu verlinken, setzen sie auf legitime Weiterleitungsdienste bekannter Websites. Neuere Beobachtungen aus dem April 2026 zeigen sogar den Einsatz von Human-Verification-Tools wie Cloudflare Turnstile innerhalb der Klick-Kette. Das erhöht die Glaubwürdigkeit der betrügerischen Seiten enorm.
KI macht den Unterschied
Der technologische Sprung ist maßgeblich KI-getrieben. Während Phishing-Versuche früher an mangelhafter Grammatik erkennbar waren, generieren moderne Modelle Nachrichten, die vom Original kaum zu unterscheiden sind. Experten schätzen: 82,6 Prozent aller Phishing-E-Mails werden mittlerweile KI-gestützt erstellt.
Die Statistik spricht eine deutliche Sprache. Allein in Nordrhein-Westfalen registrierte das Phishing-Radar im vergangenen Jahr über 382.000 Verdachtsfälle. Weltweit verfünffachten sich die Quishing-Angriffe zwischen August und November von etwa 46.000 auf rund 250.000 Fälle.
Bereits 12 Prozent aller Phishing-Angriffe enthielten 2025 einen QR-Code. 68 Prozent dieser Attacken zielten gezielt auf mobile Nutzer.
C-Level im Visier
Besonders lukrativ für Kriminelle: Führungskräfte. Laut Branchenanalysen sind C-Level-Manager einer bis zu 40-mal höheren Wahrscheinlichkeit ausgesetzt, Ziel eines Quishing-Angriffs zu werden. Ihr erweiterter Zugriff auf Unternehmensressourcen macht sie zur bevorzugten Beute.
Sicherheitsfirmen wie SlashNext verzeichnen einen Anstieg bösartiger Phishing-Links, BEC und Quishing-Drohungen um 341 Prozent in den letzten sechs Monaten.
Phishing-as-a-Service für 30 Euro
Die Hintermänner agieren in hochstrukturierten, industriellen Netzwerken. Phishing-as-a-Service-Plattformen (PhaaS) ermöglichen auch technisch weniger versierten Kriminellen professionelle Angriffe.
Die Plattform „Tycoon 2FA“ war trotz internationaler Polizeiaktionen im März 2026 bereits im April wieder aktiv – mit monatlich über zwei Millionen bösartigen Interaktionen. Neue Dienste wie „Venom“ bieten Komplettpakete von der KI-Köder-Erstellung bis zum automatisierten Datendiebstahl. Solche Kits sind im Darknet bereits ab etwa 30 Euro verfügbar.
Auch der öffentliche Raum ist betroffen
„Physical Quishing“ nennt sich ein weiterer Trend. Kriminelle platzieren gefälschte QR-Code-Sticker über legitimen Codes – an Parkscheinautomaten, E-Ladesäulen oder auf Werbeplakaten. Ein dokumentierter Fall aus 2025 führte an über 200 Standorten zu Schäden in Millionenhöhe.
Wer haftet bei Betrug?
Der wirtschaftliche Schaden durch Phishing wird für 2026 auf weltweit über 25 Milliarden Euro geschätzt. Für Verbraucher stellt sich die Haftungsfrage. Die Rechtslage ist klar: Gemäß § 675u BGB müssen Banken nicht autorisierte Zahlungen grundsätzlich erstatten.
Allerdings versuchen Kreditinstitute häufig, grobe Fahrlässigkeit geltend zu machen. Aktuelle Gerichtsurteile aus 2024 und 2025 haben die Rechte der Verbraucher gestärkt. Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank. Selbst bei freigegebenen Push-TANs sahen Richter teilweise eine Mithaftung der Bank, wenn deren Sicherheitssysteme den ungewöhnlichen Geldabfluss nicht frühzeitig erkannten.
Schutzmaßnahmen: Was jetzt hilft
Nur 39 Prozent der Konsumenten fühlen sich aktuell in der Lage, einen bösartigen QR-Code sicher zu identifizieren. Das BSI empfiehlt erhöhte Wachsamkeit: QR-Codes sollten wie unbekannte Links behandelt werden.
Vor dem Öffnen einer gescannten Website muss die URL in der Adresszeile sorgfältig geprüft werden. Viele moderne Smartphone-Kameras zeigen bereits eine Vorschau der Ziel-URL an – diese Funktion sollte konsequent genutzt werden.
Um den Diebstahl von Zugangsdaten durch gefälschte Login-Seiten endgültig zu unterbinden, empfehlen Experten den Wechsel auf passwortlose Anmeldeverfahren. Wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp einrichten und sich so effektiv vor Phishing schützen, erfahren Sie in diesem kostenlosen Report. Passkeys einrichten und Phishing verhindern
Unternehmen wie Microsoft und Check Point integrieren KI-basierte Bildanalyse-Tools in ihre E-Mail-Schutzprogramme. Sie dekodieren QR-Codes bereits im Posteingang und prüfen die dahinterliegenden URLs in isolierten Sandbox-Umgebungen.
Für die Zukunft erwarten Experten, dass biometrische Verfahren und passwortlose Authentifizierungsmethoden wie Passkeys an Bedeutung gewinnen. Sie sind resistenter gegen klassisches Credential-Phishing. Solange QR-Codes jedoch ein zentraler Bestandteil des digitalen Alltags bleiben, ist kontinuierliche Aufklärung das wichtigste Bollwerk gegen die wachsende Quishing-Gefahr.
