QR-Codes sind im Alltag so normal geworden, dass man sie oft fast nebenbei scannt: auf Briefen, Plakaten, Speisekarten, Parkautomaten, Ladesäulen oder in E-Mails. Genau diese Gewohnheit nutzen Betrüger aus. Ein Code sieht von außen harmlos aus, kann aber auf eine gefälschte Webseite führen.
Quishing ist Phishing über QR-Codes. Der Code selbst ist dabei nicht das eigentliche Problem. Gefährlich wird es, wenn er dich auf eine Seite führt, die wie Bank, Zahlungsdienst, Paketdienst oder Behörde aussieht und dort Zugangsdaten, TANs, Kreditkartendaten oder andere persönliche Informationen abfragt.
Was Quishing bedeutet
Der Begriff setzt sich aus QR-Code und Phishing zusammen. Gemeint ist eine Betrugsmasche, bei der ein QR-Code als Einstieg dient. Nach dem Scannen öffnet sich eine Webseite, die seriös wirken soll, tatsächlich aber Daten abgreifen oder zu einer Zahlung verleiten kann.
Die Verbraucherzentrale berichtet über falsche QR-Codes unter anderem in Mails, Briefen, im öffentlichen Nahverkehr und im Straßenverkehr.[1] Die Polizeiliche Kriminalprävention beschreibt Quishing ebenfalls als Phishing-Variante, bei der Kriminelle QR-Codes nutzen, um an sensible Daten wie Passwörter zu gelangen.[2]
Der Unterschied zu einem normalen Link: Du siehst dem QR-Code nicht an, wohin er führt. Erst nach dem Scan erscheint die Adresse. Genau an diesem Punkt solltest du nicht automatisch weitertippen.
Typische Situationen, in denen du vorsichtig sein solltest
Ein QR-Code ist nicht automatisch verdächtig. Trotzdem gibt es Situationen, in denen du vor dem Öffnen genauer hinschauen solltest:
| Situation | Warum sie heikel sein kann | Besserer Weg |
|---|---|---|
| Brief deiner angeblichen Bank mit QR-Code zur Sicherheitsprüfung | Gefälschte Bankbriefe können täuschend echt wirken und zum Login auf einer Phishing-Seite führen. | Bankseite selbst eintippen oder die offizielle App öffnen. |
| QR-Code an Parkautomat, Ladesäule oder Aushang | Ein echter Code kann überklebt sein und auf eine falsche Zahlungsseite führen. | Code auf Aufkleber, Beschädigung und Zieladresse prüfen; bei Unsicherheit offizielle App oder Webseite nutzen. |
| E-Mail mit QR-Code statt normalem Link | QR-Codes können in Mails genutzt werden, um klassische Linkprüfungen zu umgehen. | Nicht über den Code einloggen, sondern das Konto direkt über Browser oder App aufrufen. |
| Angeblicher Strafzettel oder Zahlungsaufforderung mit QR-Code | Druck und kurze Fristen sollen dazu verleiten, schnell zu zahlen. | Angaben über die offizielle Stelle prüfen, nicht direkt über den Code bezahlen. |
Die einfache Prüfroutine vor dem Öffnen
Der wichtigste Schutz ist nicht, QR-Codes grundsätzlich zu meiden. Du solltest nur nicht blind weitergehen, sobald dein Smartphone eine Seite öffnet oder vorschlägt.
Vor dem Öffnen oder spätestens vor der Eingabe von Daten helfen diese Schritte:
- Prüfe, ob der QR-Code an dieser Stelle plausibel ist oder wie ein nachträglich aufgeklebter Sticker wirkt.
- Lass dir die Zieladresse anzeigen, bevor du sie öffnest, und achte auf Schreibfehler, fremde Domains oder merkwürdige Zusätze.
- Verlasse dich nicht allein auf ein Schloss-Symbol oder „https“, denn auch betrügerische Seiten können verschlüsselt sein.
- Gib Zugangsdaten, TANs, Kreditkarteninformationen oder Ausweisdaten nicht ein, wenn du über einen unerwarteten QR-Code auf die Seite gekommen bist.
- Öffne wichtige Konten lieber selbst über die offizielle App oder über eine Adresse, die du manuell im Browser eingibst.
Das BSI empfiehlt beim Schutz vor Phishing unter anderem, Adressen häufig besuchter Seiten selbst einzutippen und bei dubiosen E-Mails keine Links zu verwenden.[3] Diese Regel passt auch bei QR-Codes: Wenn es um Login, Zahlung oder persönliche Daten geht, ist der direkte offizielle Weg sicherer als ein überraschender Code.
Die wichtigste Frage nach dem Scan
Will die geöffnete Seite plötzlich Login-Daten, TANs, Kreditkarteninformationen oder eine schnelle Zahlung? Dann nicht weitermachen. Seite schließen und den Anbieter über die offizielle App, bekannte Webseite oder eine vorhandene Kundennummer prüfen.
Warum die angezeigte Adresse entscheidend ist
Viele Quishing-Fallen leben davon, dass die Zielseite auf den ersten Blick vertraut aussieht. Logo, Farben und Formulierungen können kopiert sein. Die Webadresse verrät oft mehr als das Design.
Achte deshalb auf die Domain. Bei einer echten Bankseite steht die echte Domain der Bank vor der Länderendung. Bei gefälschten Seiten tauchen häufig zusätzliche Wörter, Bindestriche, fremde Endungen oder lange unübersichtliche Adressen auf. Eine Adresse wie bankname-sicherheitscheck.example ist nicht automatisch echt, nur weil der Name der Bank irgendwo darin vorkommt.
Wenn du unsicher bist, nutzt du nicht den QR-Code, sondern gehst selbst zur bekannten Website oder öffnest die App. Bei Banken, Zahlungsdiensten, Paketdiensten und Behörden ist das die bessere Gewohnheit.
Was du nach einem verdächtigen Scan tun solltest
Nicht jeder Scan ist gleich ein Schaden. Wenn du einen QR-Code gescannt, die Seite gesehen und wieder geschlossen hast, ohne etwas einzugeben oder zu installieren, ist meist nichts weiter passiert. Kritisch wird es, wenn du Daten eingegeben, eine Zahlung bestätigt oder eine App beziehungsweise Datei installiert hast.
Dann gehst du so vor:
- Ändere sofort Passwörter für betroffene Konten, am besten über die offizielle App oder selbst eingetippte Webseite.
- Informiere deine Bank oder deinen Zahlungsdienst, wenn Konto-, Kreditkarten- oder TAN-Daten betroffen sein könnten.
- Sperre Karten oder Zugänge, wenn eine Zahlung, Kreditkarte oder Bankverbindung im Spiel war.
- Entferne verdächtige Apps oder Dateien und prüfe das Gerät mit den vorhandenen Sicherheitsfunktionen.
- Sichere Belege wie Screenshots, Adresse der Seite, Schreiben oder Aufkleber und erstatte bei Schaden oder Datenmissbrauch Anzeige.
Die Polizeiliche Kriminalprävention rät bei bereits eingegebenen Daten dazu, schnell zu handeln, Passwörter zu ändern und die Bank zu kontaktieren, wenn Zahlungsdaten betroffen sind.[2]
QR-Codes bleiben praktisch, aber nicht jeder Code verdient Vertrauen
QR-Codes sind nicht plötzlich schlecht. Sie bleiben nützlich, wenn sie aus einer nachvollziehbaren Quelle stammen und dich nicht zu sensiblen Eingaben drängen. Kritisch wird es bei unerwarteten Codes, überklebten Aufklebern, Zahlungsdruck oder Seiten, die direkt nach Login-Daten fragen.
Die beste Gewohnheit ist simpel: Erst Quelle und Zieladresse prüfen, dann öffnen. Und sobald es um Bank, Konto, Zahlung oder persönliche Daten geht, lieber den offiziellen Weg nehmen als einem Code zu vertrauen, den du nicht sicher einschätzen kannst.
Quellen
- Verbraucherzentrale: „Quishing“ – falsche QR-Codes in Mails, Briefen, ÖPNV und Straßenverkehr (abgerufen am 01.06.2026)
- Polizeiliche Kriminalprävention: Quishing – wenn ein QR-Code zur Falle wird (abgerufen am 01.06.2026)
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Wie schützt man sich gegen Phishing? (abgerufen am 01.06.2026)
FAQs zum Thema Quishing
Ist jeder QR-Code gefährlich?
Nein. QR-Codes sind nur eine technische Abkürzung zu Informationen oder Webseiten. Problematisch wird es, wenn der Code aus einer unklaren Quelle stammt, überklebt wirkt oder dich nach dem Scan zu Login-Daten, Zahlungsdaten oder anderen sensiblen Angaben drängt.
Kann ich einen QR-Code auf einem Bankbrief scannen?
Bei Bankbriefen mit QR-Code solltest du besonders vorsichtig sein. Wenn der Brief dich zu einer Sicherheitsprüfung oder Anmeldung auffordert, öffne lieber selbst die offizielle Banking-App oder tippe die bekannte Bankadresse ein. Zugangsdaten solltest du nicht über einen unerwarteten QR-Code eingeben.
Was mache ich, wenn ich nach einem QR-Code meine Daten eingegeben habe?
Ändere sofort die betroffenen Passwörter, kontaktiere bei Zahlungs- oder Bankdaten deine Bank und sperre Karten oder Zugänge, wenn nötig. Sichere außerdem Belege wie Screenshots oder das Schreiben mit dem QR-Code und erstatte Anzeige, wenn ein Schaden entstanden ist oder Daten missbraucht werden könnten.
