Trusted Shops Blog

Quishing: So schützt du dich vor QR-Code-Betrug

Geschrieben von Daniel Ott | Feb 2, 2026 10:40:23 AM

Quishing ist eine Form des Phishings: QR-Codes werden missbraucht, sie locken auf gefälschte Internetseiten oder laden Schadsoftware auf Smartphone oder PC. Der Betrug funktioniert leider sehr gut, denn QR-Codes begegnen uns heute überall. Im Restaurant, auf Plakaten, beim Parken oder auf Zahlungsseiten. Sie sind praktisch und schnell. Und genau das macht sie für Cyberkriminelle so attraktiv. 

 

Quishing ist Phishing ohne sichtbaren Link

Der Begriff Quishing setzt sich aus den Wörtern QR und Phishing zusammen. Beim klassischen Phishing täuschen Betrüger*innen über manipulierte Texte oder Links Legitimität vor, um an Zugangsdaten oder andere sensible Informationen zu gelangen. 
Beim Quishing ersetzen sie gewöhnliche Links durch QR-Codes, die das Risiko verschleiern. Die URL ist nicht auf den ersten Blick sichtbar. Ein QR-Code enthält häufig eine Webadresse, die sich beim Scannen automatisch im Browser des Nutzers öffnet. Die Polizei warnt aktuell vor dieser Masche – es ist besondere Vorsicht geboten. 

 

Wie Quishing funktioniert: Vom Scan zur Datenfalle

Quishing-Angriffe laufen meist wie folgt ab: Es wird ein QR-Code erstellt, der zu einer betrügerischen Website führt oder Schadsoftware (Malware) auslöst. Dieser Code kann an unterschiedlichen Orten auftauchen:

  • In E-Mails, SMS oder Messenger-Nachrichten

  • Als gedruckter Code auf oder in Briefen oder Flyern

  • Auf öffentlichen Flächen, Plakaten oder Parkautomaten

Wer den Code mit seinem Smartphone scannt, wird auf die hinterlegte Adresse weitergeleitet – meist ohne weitere Sicherheitsprüfung. Dort werden dann Login-Daten oder Zahlungsinformationen abgefragt.

 

Warum Quishing so gefährlich ist

Ein QR-Code ist ein Bild: Der Link wird erst nach dem Scannen sichtbar. Auf diese Weise werden wichtige Schutzmechanismen umschifft. Und: Viele Anwenderinnen und Anwender vertrauen QR-Codes blind.

Wir treffen auf QR-Codes beim Bestellvorgang, beim Geräte-Check oder in diversen Alltagssituationen, zum Beispiel auf Kleinanzeigen-Portalen. 

Der Guardian berichtete zuletzt von QR-Code-Stickern auf Parkuhren in Großbritannien, die direkt auf gefälschte Zahlungsseiten umleiteten. Wer seine Kreditkartendaten eingegeben hatte, verlor teils erhebliche Beträge. Hinzu kam: In einigen Fällen wurde der Betrug anschließend telefonisch weitergeführt. 

 

Quishing sicher erkennen

  1. QR-Code-Quellen prüfen: Scanne nur Codes klar erkennbarer Absender oder solche von nachweislich offiziellen Anbietern.

  2. URL vor dem Öffnen prüfen: Viele Smartphone-Scanner zeigen die Ziel-URL vorab an. Prüfe, ob diese glaubwürdig wirkt.

  3. Offizielle Apps verwenden: Statt einem QR-Codes direkt zu vertrauen, besser die App des Dienstleisters öffnen und dort nach relevanten Funktionen suchen.

  4. Keine sensiblen Daten eingeben: Auf fremden Websites niemals Logins, Kreditkartendaten oder persönliche Informationen eingeben.

  5. QR-Codes mit gesundem Misstrauen scannen: Besonders bei öffentlichen QR-Codes, die nach Geld, Rabatten oder Daten fragen, lieber zweimal hinschauen und im Zweifel nicht scannen.

Die Gefahr des Quishings solltest du nicht unterschätzen. Je vertrauter und alltäglicher der Code wirkt, desto eher wird er gescannt und desto höher ist das Risiko. Kritisches Prüfen ist der beste Schutz gegen diese Form des Cyberbetrugs.