Phishing durch QR-Codes: Wie man betrügerische Codes erkennt und sich beim Scannen schützt

Sind QR-Codes sicher? Wie man Betrug und Phishing vermeidet

QR-Codes sind zu einem alltäglichen Werkzeug geworden – vom Restaurantmenü bis zur Anmeldung in Banking-Apps. Doch mit ihrer wachsenden Beliebtheit entstand ein neuer Trend: Immer mehr Betrüger nutzen QR-Codes als Kanal für Phishing-Angriffe, Datendiebstahl und finanzielle Betrügereien.

Die meisten Nutzer sehen QR-Codes als „neutrale“ Technologie, ohne zu ahnen, dass ein einziger Scan auf eine gefälschte Website führen oder schädliche Software herunterladen kann. Daher stellt sich die Frage: Sind QR-Codes wirklich sicher? Und was kann man tun, um die Risiken zu vermeiden?

In diesem Beitrag betrachten wir im Detail:

  • welche Gefahren sich hinter QR-Codes verbergen,
  • wie typische Betrugsszenarien aussehen,
  • woran man potenzielle Risiken erkennt,
  • wie man einen QR-Code vor dem Scannen überprüft,
  • und was zu tun ist, wenn man Opfer eines Angriffs geworden ist.

Der Artikel richtet sich sowohl an normale Nutzer als auch an Unternehmen, die QR-Codes in ihren Prozessen verwenden. Ziel ist es nicht, Panik zu verbreiten, sondern zu helfen, einen bewussten und sicheren Umgang mit einer Technologie zu fördern, die längst über ein bloßes „Hilfsmittel“ hinausgeht.

QR-Codes: Infografik, die Vorteile und Risiken zeigt – schneller Zugang vs. Phishing und Betrug durch gefälschte QR-Codes.
QR-Codes: Komfort versus Risiko. Einerseits – schneller und kontaktloser Zugang, andererseits – die Gefahr von Phishing und Datenmanipulation.

Worin liegen die Gefahren von QR-Codes?

Ein QR-Code wirkt auf den ersten Blick wie ein nützliches und neutrales Werkzeug: Man scannt einfach das Bild und gelangt zur gewünschten Seite. Das eigentliche Risiko besteht jedoch darin, dass der Inhalt des Codes dem Nutzer bis zum Scannen verborgen bleibt. Das schafft Spielraum für Manipulation – vor allem, wenn Menschen automatisch und ohne Nachdenken handeln.

Phishing per QR-Code: So funktioniert es

Phishing ist eine Betrugsmethode, bei der Nutzer getäuscht und dazu gebracht werden, ihre Daten wie Login, Passwort oder Kartendaten selbst einzugeben. Im Fall von QR-Codes spricht man vom sogenannten Quishing (QR-Phishing).

Beispiel: Ein Betrüger druckt einen QR-Code aus, der auf eine gefälschte Website einer Bank oder eines beliebten Dienstes führt. Dieser Code wird dann über den echten geklebt – etwa am Geldautomaten, auf einem Plakat, an der Wand eines Cafés oder sogar auf einem Kassenzettel. Der Nutzer scannt den Code ahnungslos, gibt seine Daten ein – und übermittelt sie so direkt an den Betrüger.

Was kann ein QR-Code auslösen?

Ein QR-Code kann jeglichen Link enthalten – unter anderem solche, die:

  • auf schädliche oder gefälschte Websites führen, die persönliche Daten sammeln,
  • automatisch das Herunterladen einer Datei starten (z. B. einer infizierten App),
  • einen Redirect verwenden, um die echte URL zu verschleiern,
  • durch gefälschte Logos oder das Vortäuschen bekannter Marken täuschen.

Diese Aktionen „hacken“ das Gerät zwar nicht direkt, aber sie aktivieren gefährliche Szenarien durch Unachtsamkeit oder Gutgläubigkeit des Nutzers. Genau darin liegt das Prinzip des Social Engineering.

💡 Für Einsteiger erklärt: Wie bei verdächtigen E-Mails kann man auch über QR-Codes auf gefälschte Seiten geleitet werden. Doch im Unterschied zu E-Mails sehen alle QR-Codes gleich aus – egal, wohin sie führen.

Wichtig: Physischer Austausch von echten QR-Codes

Eine der gefährlichsten Methoden ist das Ersetzen eines QR-Codes im öffentlichen Raum. Betrüger überkleben den echten Code einfach mit ihrem schädlichen QR-Code. Dies kann passieren bei:

  • Speisekarten in Restaurants oder Cafés,
  • Aushängen, Postern, Plakaten,
  • Drucksachen wie Broschüren und Produktverpackungen,
  • sogar auf Spendenboxen oder Kassenbelegen.

Für den normalen Nutzer ist der Unterschied zwischen einem „originalen“ und einem „ersetzten“ Code kaum zu erkennen. Daher ist es wichtig zu wissen, wo und wie man QR-Codes vertrauen kann – und wann man lieber auf das Scannen verzichten sollte.

Beispiele für Angriffe mit QR-Codes

Eine theoretische Bedrohung ist das eine. Um jedoch wirklich aufmerksam zu werden, ist es wichtig zu sehen, wie Phishing- oder Betrugsangriffe mit QR-Codes im echten Leben aussehen.

1. Austausch des QR-Codes auf einer öffentlichen Oberfläche

In einem Café liegt auf dem Tisch ein Menü mit QR-Code. Ein Betrüger kommt früher, klebt seinen eigenen Code darüber, der auf eine gefälschte Menüseite führt – mit ähnlichem Design, aber mit einem Feld zur Karteneingabe für eine „Tischreservierung“. Die Daten werden eingegeben und gelangen direkt an die Betrüger.

2. QR-Code auf einem Plakat oder Billboard

Im Stadtzentrum gibt es ein Werbebanner für eine Veranstaltung mit QR-Code für den Ticketkauf. Ein Angreifer klebt seinen eigenen Code darauf, der auf eine gefälschte Website führt, die Bankkartendaten sammelt. Der Nutzer bezahlt das „Ticket“, nimmt jedoch nicht an der Veranstaltung teil.

3. QR-Code in einer gefälschten E-Mail oder SMS

Das Opfer erhält eine SMS mit dem Text: „Ihr Paket wurde gestoppt. Bestätigen Sie die Zustellung über den Link.“ und ein QR-Code wird hinzugefügt. Dieser führt auf eine Seite, die die Eingabe persönlicher Daten oder die Zahlung von „Gebühren“ verlangt. Optisch wirkt alles glaubwürdig.

4. QR-Codes für „Zahlungen“ oder „Hilfe“

Auf den Straßen tauchen Spendenboxen mit Hinweisen und QR-Code zum Überweisen von Geld auf. Doch der Code führt auf das persönliche Konto des Betrügers und hat nichts mit der angegebenen Initiative zu tun.

5. QR-Code am Parkautomaten oder Terminal

Betrüger kleben ihren eigenen QR-Code auf Zahlungsterminals, der zu keiner Zahlungsseite, sondern auf eine Website führt, die eine Bankoberfläche simuliert. Man gibt Login und Passwort ein – und verliert den Zugang zum Konto.

💡 Tipp: Wenn ein QR-Code verdächtig aussieht – schief aufgeklebt, abgenutzt oder „zu neu“ – sollten Sie lieber auf das Scannen verzichten.

Allen diesen Beispielen ist gemeinsam: Der QR-Code dient als Brücke zu einer Ressource, der Sie Ihre Daten noch nicht anvertrauen sollten – aber es schon getan haben.

Wie erkennt man einen betrügerischen oder gefälschten QR-Code?

Auch wenn alle QR-Codes gleich aussehen – quadratische Pixelblöcke – ihr Inhalt kann völlig unterschiedlich sein. Visuell kann man die Gefahr nicht erkennen, aber es gibt einige Zeichen, die Sie beachten sollten.

1. QR-Code befindet sich in einer unsicheren Umgebung

Wenn Sie einen QR-Code an einem Laternenmast, im Aufzug oder über einen anderen geklebt sehen – ist das ein erster Grund, vorsichtig zu sein. QR-Codes im öffentlichen Raum können leicht ausgetauscht werden – daher sollte man ihnen nicht blind vertrauen.

2. Der Code führt zu einer merkwürdigen oder verkürzten URL-Adresse

Viele Angriffe nutzen URL-Shortener (bit.ly, t.ly, qr.link), um die echte Seite zu verschleiern. Wenn Ihr Browser oder die Kamera nur eine verkürzte Adresse zeigt – öffnen Sie sie nicht sofort, sondern nutzen Sie Vorschau-Dienste zur Überprüfung.

3. QR-Code verlangt sofortige Aktion

„Jetzt bestätigen“, „Sofort bezahlen“, „Ihr Paket wurde nicht geliefert“ – das sind klassische Merkmale von Social Engineering. Betrüger setzen auf Dringlichkeit, damit Sie keine Zeit haben, die Echtheit der Seite zu prüfen.

4. Code ist offensichtlich aufgeklebt oder wirkt „neuer“ als der Untergrund

Wenn ein QR-Code auf einen Geldautomaten, ein Plakat oder Menü geklebt wurde – prüfen Sie, ob er frischer aussieht als die Oberfläche. Oft überkleben Betrüger den echten Code einfach mit ihrem eigenen. Ungleichmäßigkeit, Blasen oder Stilbrüche sollten Sie misstrauisch machen.

5. QR öffnet eine Seite, die „fast wie das Original“ aussieht

Wenn sich nach dem Scannen eine Seite öffnet, die wie die einer Bank, eines Lieferdienstes oder bekannten Dienstes aussieht – prüfen Sie genau:

  • Ist die Domain richtig geschrieben (z. B. ukrposhta.info statt ukrposhta.ua)?
  • Gibt es eine sichere Verbindung (Adresse beginnt mit https://)?
  • Werden Passwort oder Bankdaten bereits vor einer Echtheitsbestätigung abgefragt?
💡 Tipp: Scannen Sie QR-Codes nicht unter Stress (Schlange, Eile, Gedränge). Besser 10 Sekunden zur Überprüfung investieren als Zeit für die Wiederherstellung des Zugangs zum Konto.

Wie man QR-Codes sicher verwendet

QR-Codes sind an sich nicht gefährlich – das Risiko entsteht erst, wenn wir mit ihnen interagieren, ohne sie vorher zu überprüfen. Wenn man lernt, den Kontext, aus dem der Code stammt und wohin er führt, einzuschätzen, sinkt das Betrugsrisiko erheblich.

📱 Für normale Nutzer

1. Überprüfen Sie immer den Link, bevor Sie ihn öffnen

Die meisten Smartphones (iOS und Android) zeigen die URL, zu der der QR-Code führt, an, bevor sie geöffnet wird. Wenn die Adresse unbekannt aussieht, komische Zeichen enthält oder nicht zur Marke passt (z.B. secure-pay-pal.com anstelle von paypal.com), öffnen Sie sie nicht.

2. Scannen Sie keine Codes aus zufälligen Quellen

Wenn ein QR-Code in der U-Bahn, an einer Wand oder an einem Zaun angebracht ist, handelt es sich nicht immer um offizielle Informationen. Betrüger kleben gezielt ihre Codes an Orten, wo Menschen ohne Nachdenken scannen: in Aufzügen, Cafés, Verkehrsmitteln.

3. Geben Sie keine persönlichen Daten auf verdächtigen Seiten ein

Wenn Sie nach dem Scannen sofort nach Ihrer E-Mail, Ihrem Passwort oder Kartendaten gefragt werden – stoppen Sie. Zuverlässige Dienste fordern sensible Informationen nie ohne Ihre bestätigte Initiative an.

4. Verwenden Sie Apps, denen Sie vertrauen

Beispielsweise scannen Sie Bank-QR-Codes über die offizielle App Ihrer Bank. Die Smartphone-Kamera ist bequem, aber nicht immer sicher. Einige Apps können vor Phishing warnen oder die Reputation der URL prüfen.

💡 Tipp: Wenn Sie Zweifel haben, machen Sie lieber ein Foto vom Code und prüfen Sie ihn später mit einer sicheren App, als ihn sofort "unterwegs" zu scannen.

🏢 Für Unternehmen und Organisationen

Gebrandeter QR-Code auf einem Restauranttisch mit einer Erklärung zur Verwendung des Scans.
Beispiel eines gebrandeten QR-Codes mit Beschriftung für Nutzer: als Element zur Steigerung des Vertrauens und zur Verringerung des Ersetzungsrisikos.

1. Kontrollieren Sie die physische Platzierung der QR-Codes

QR-Codes, die öffentlich zugänglich angebracht sind (Tische, Schaufenster, POS-Materialien), können ersetzt werden. Es ist wichtig, sie so zu befestigen, dass ein Überkleben unmöglich wird (Schutzfolie, Gravur, Integration ins Design).

2. Setzen Sie dynamische QR-Codes mit Analytics ein

Ein dynamischer Code ermöglicht Ihnen:

  • die Anzahl der Scans zu verfolgen,
  • die Geografie und die Geräte der Nutzer zu analysieren,
  • den Ziel-Link zu ersetzen, wenn der vorherige kompromittiert wurde,
  • anormale Scan-Peaks zu erkennen – ein Hinweis auf einen möglichen Angriff.

3. Fügen Sie ein Logo und eine Erklärung unter dem Code hinzu

Ein einfacher Text wie „Scannen Sie, um die Speisekarte anzusehen“ oder „Bezahlen Sie via LiqPay“ erhöht das Vertrauen und verringert das Risiko von Ersetzungen. Und ein Markenlogo im Code selbst (bei Kontrastdesign) macht ihn einzigartig und schwerer zu fälschen.

4. Bieten Sie eine Alternative: einen Kurzlink

Wenn ein Nutzer Zweifel hat, sollte er einen alternativen Weg haben. Fügen Sie daneben example.com/pay hinzu – das erhöht die Transparenz und Markentreue.

5. Testen Sie Ihre QR-Codes regelmäßig

Selbst statische Codes müssen nach dem Druck getestet werden, besonders wenn Sie Design oder Website-Inhalte geändert haben. Prüfen Sie sie auf mehreren Geräten (Android, iOS), bei schlechter Internetverbindung und im Dunkeln.

📌 Fazit: QR-Codes sind ein leistungsstarkes Kommunikationsinstrument, aber wie jeder Interaktionskanal sollten sie kompetent implementiert werden. Sicherheit ist keine Komplexität, sondern Aufmerksamkeit für Details.

Was tun, wenn Sie einen Phishing-QR-Code gescannt haben

Die Reaktion in den ersten Minuten nach dem Vorfall ist am wichtigsten. Auch wenn Sie sich nicht sicher sind, ob der Code gefährlich war, ist es besser, zu prüfen und die grundlegenden Maßnahmen zu ergreifen. Die meisten Phishing-Angriffe sind erfolgreich, weil Nutzer die Situation unterschätzen oder zu spät handeln.

1. Schließen Sie den Tab und löschen Sie den Browserverlauf

Wenn Sie nach dem Scannen einfach nur auf einer verdächtigen Seite gelandet sind, aber nicht mit ihr interagiert haben – das Risiko ist minimal. Dennoch sollten Sie die Seite sofort schließen und keine Links oder Buttons anklicken. Leeren Sie den Browser-Cache, um ein erneutes Öffnen oder gespeicherte Skripte zu vermeiden.

2. Falls Sie ein Passwort eingegeben haben – ändern Sie es sofort

Wenn Sie ein Passwort auf einer gefälschten Seite eingegeben haben, können Betrüger es nutzen für:

  • Zugang zu Ihrer E-Mail oder Bankkonten,
  • Überprüfung, ob dieses Passwort bei anderen Diensten verwendet wird (die Nutzung gleicher Passwörter ist ein häufiger Fehler),
  • schnellen Kontrollverlust über das Konto, bevor Sie reagieren können.

Ändern Sie die Passwörter auf allen verbundenen Diensten, beginnend mit dem Haupt-Mail- und Finanzkonto. Zögern Sie nicht – Phishing-Bots handeln oft automatisch.

3. Falls Sie Kartendaten eingegeben haben – sperren Sie sie

Auch wenn noch kein Betrag abgebucht wurde, können Kriminelle die Daten speichern und später nutzen. Die sicherste Lösung ist es, die Karte zu sperren oder Online-Transaktionen über Ihre Banking-App zu stoppen.

Danach wenden Sie sich an den Kundendienst. In manchen Fällen kann die Bank die Transaktion blockieren, wenn sie noch nicht bestätigt wurde.

4. Melden Sie das Unternehmen, das nachgeahmt wurde

Wenn die gefälschte Seite eine bekannte Marke imitiert (Bank, Postdienst, Online-Shop) – ist das nicht nur Ihr Problem. Je schneller das Unternehmen von einem Phishing-Duplikat erfährt, desto schneller wird es auf Domain- oder Hosting-Ebene blockiert.

Fast alle Dienste haben ein Formular oder eine E-Mail für solche Vorfälle: „report phishing“ oder „Sicherheit“.

5. Überprüfen Sie das Gerät auf Schadsoftware

Wenn nach dem Öffnen der Seite etwas heruntergeladen wurde oder das Gerät sich anders verhält (langsamer, neue Symbole, Werbung) – prüfen Sie das System mit einem Antivirus.

  • Für Android – überprüfen Sie die Liste der letzten Downloads, öffnen Sie „Apps“ und suchen Sie unbekannte Elemente.
  • Für iOS – das Risiko ist geringer, aber prüfen Sie Safari, den Verlauf und deaktivieren Sie AutoFill.

6. Melden Sie Betrug an die Plattform oder über den Browser

Wenn Sie Phishing-Aktivitäten oder eine Klon-Webseite feststellen, können Sie über ein Formular im Browser (z.B. „Unsichere Seite melden“ in Chrome oder Firefox) oder auf der Plattform, die nachgeahmt wurde (z.B. Bank-Support), Beschwerde einreichen.

Das hilft dabei, die Seite global zu blockieren und das Risiko für andere Nutzer zu verringern.

Wichtiger Grundsatz: Ignorieren Sie den Vorfall nicht, auch wenn es scheint, dass „nichts passiert ist“. Die Daten könnten abgefangen und später verwendet werden. Handeln Sie besser sofort.

Fazit: Bewusstes Nutzen ist der Schlüssel zur Sicherheit

QR-Codes sind nicht nur ein Werkzeug für Bequemlichkeit. Sie sind Teil des digitalen Verhaltens des modernen Nutzers geworden, ein Kanal für Kommunikation, Zahlungen, Authentifizierung, Marketing. Gleichzeitig haben sie eine neue Angriffsfläche eröffnet, die nicht auf komplexer Technik, sondern auf der Psychologie der Unachtsamkeit basiert.

Die Frage „Sind QR-Codes sicher?“ hat keine universelle Antwort. Sie können absolut sicher sein – oder eben nicht. Es hängt alles vom Kontext ab: wo der Code platziert ist, von wem er erstellt wurde, ob man sieht, wohin er führt und wie der Nutzer mit ihm interagiert.

Daher ist der beste Schutz nicht das Verbot, sondern Information und die Gewohnheit zu prüfen. Ein einfacher Algorithmus „Pause → Prüfen → Handeln“ reduziert das Risiko auch in komplexeren Szenarien erheblich.

Für Unternehmen bleiben QR-Codes ein effektives Werkzeug – vorausgesetzt, sie werden transparent implementiert, unter Berücksichtigung von UX, Design, Sicherheit und Nutzervertrauen.

🔐 Der QR-Code ist nur eine Brücke. Wichtig ist, wohin er führt und ob Sie bereit sind, dorthin zu gehen.