QR Code ist Teil des Alltags geworden — Speisekarten, Zahlungen, WLAN, Login. Und damit kam die natürliche Frage: ist es sicher zu scannen? Kurze Antwort: der QR selbst ist nicht gefährlich, aber er kann zu gefährlichen Orten führen. Es gibt sogar einen Namen für den Betrug: Quishing (QR-Code-Phishing).

Dieser Artikel erklärt das reale Risiko, wie man einen bösartigen QR erkennt, und wie man sicher scannt — ohne Paranoia, aber mit Vorsicht.

Der QR ist nicht die Gefahr — das Ziel ist es

Wichtig zu verstehen: ein QR Code ist nur ein in einem Bild kodierter Link. Scannen installiert nichts, hackt Ihr Handy nicht, stiehlt keine Daten von selbst. Das Risiko ist in wohin der Link führt.

Es ist genau wie das Klicken auf einen per Nachricht erhaltenen Link: der Link selbst tut nichts, aber er kann Sie zu einer gefälschten Seite führen, die versucht:

  • Ihr Passwort zu stehlen (gefälschte Login-Seite)
  • Kartendaten abzufragen (gefälschte Zahlung)
  • Sie dazu zu bringen, eine bösartige App herunterzuladen
  • Einen Zahlungsbetrug durchzuführen

Der QR ist nur der „Umschlag". Der Inhalt ist, was zählt.

Was Quishing ist

Quishing = „QR" + „Phishing". Der Betrüger erstellt einen QR, der zu einer gefälschten Seite führt, und lockt Sie zum Scannen. Häufige Taktiken:

🏷️ Gefälschter Aufkleber über dem echten

Der Klassiker. In einem Parkhaus, Parkautomat, Zahlungsplakat klebt der Betrüger einen Aufkleber mit seinem QR über den offiziellen QR. Sie scannen, im Glauben, es sei die legitime Zahlung, aber das Geld geht auf sein Konto.

📧 QR in gefälschter E-Mail/Brief

„Ihr Konto wird gesperrt, scannen Sie den QR zur Verifizierung." Der QR führt zu einer gefälschten Bankseite, die Ihr Passwort stiehlt.

🪧 Manipulierter QR an öffentlichem Ort

Ein „Kostenloses WLAN"- oder Promo-Plakat mit einem QR, der zu einer bösartigen Seite führt.

💸 Gefälschter Zahlungs-QR

Ein gefälschter Spenden- oder Rechnungs-QR mit dem Konto des Betrügers. Sie zahlen im Glauben, es sei für einen Ort, es geht an einen anderen.

Wie man einen verdächtigen QR erkennt

⚠️ Warnzeichen

  1. Ein Aufkleber über einem anderen — wenn der QR über etwas geklebt aussieht, seien Sie misstrauisch. Besonders an einem Parkautomaten, Restauranttisch, Zahlungsplakat.

  2. Eine seltsame Domain im Link — nach dem Scannen zeigt das Handy den Link bevor es öffnet. Schauen Sie: passt die Domain zum Unternehmen? sichere-bank-zahlung.xyz ist nicht die Seite Ihrer Bank.

  3. Ein verdächtiger Kürzer — sehr kurze Links (ein generisches bit.ly) verstecken das echte Ziel. Nicht immer Betrug, aber es erfordert Aufmerksamkeit.

  4. Fragt nach unerwartetem Login oder Zahlung — wenn Sie eine Speisekarte gescannt haben und es plötzlich nach Ihrem Bankpasswort fragt, ist etwas SEHR falsch.

  5. Dringlichkeit und Drohung — „Handeln Sie jetzt oder Ihr Konto wird gesperrt" ist eine klassische Betrugstaktik.

  6. Rechtschreibfehler / schludriges Design — eine schlecht gemachte Zielseite mit Fehlern ist eine rote Flagge.

Wie man sicher scannt (Checkliste)

✅ Vor dem Scannen

  • Ist der QR an einem offiziellen, vertrauenswürdigen Ort? (kein verdächtiger loser Aufkleber)
  • Sieht er über einen anderen QR geklebt aus? Nicht scannen.

✅ Nach dem Scannen (vor dem Tippen auf den Link)

  • Lesen Sie den Link, der auf dem Bildschirm erscheint. iPhone und Android zeigen die Adresse vor dem Öffnen.
  • Passt die Domain zu wem sie sein sollte?
  • Ist es HTTPS (Schloss)? (garantiert keine Sicherheit, aber reines HTTP ist schlechter)

✅ Nie per QR machen

  • Geben Sie nicht Ihr Bankpasswort ein auf einer Seite, die von einem QR geöffnet wurde, dem Sie nicht zu 100% vertrauen.
  • Geben Sie keine Kartendaten ein in einer Zahlung, die über einen nicht vertrauenswürdigen QR kam.
  • Laden Sie keine App aus unbekannter Quelle via QR herunter.

✅ Bei Zahlungs-QR

  • Prüfen Sie den Namen des Empfängers vor dem Bestätigen. Die Zahlungs-App zeigt, an wen Sie zahlen — wenn es nicht der ist, der es sein sollte, stoppen Sie. Siehe den Zahlungs-QR-Leitfaden.

Für Unternehmen: wie man IHREN QR schützt

Wenn Sie QR in Ihrem Geschäft nutzen, schützen Sie die Kunden:

  1. Manipulationssicheres Material — ein QR, der so graviert/gedruckt ist, dass er nicht leicht überklebt werden kann. An einem Parkautomaten/Kiosk nutzen Sie eine feste Platte, keinen leicht zu überklebenden Aufkleber.

  2. Dynamischer QR mit eigener Domain — wenn der Redirector Ihre Domain nutzt (code2scan.com/q/...), sieht der Kunde einen erkennbaren Link. Dynamischen QR verstehen.

  3. Überwachen Sie die Scans — ein dynamischer QR zeigt anormale Muster. Ein seltsamer Scan-Anstieg kann Manipulation anzeigen.

  4. Schulen Sie den Kunden — „Prüfen Sie, dass die Zahlung an [IHR UNTERNEHMEN] geht, bevor Sie bestätigen".

  5. Testen Sie Ihre QRs regelmäßig — scannen Sie sie selbst, um sicherzustellen, dass sie zum richtigen Ort führen. Häufige Fehler.

Die Wahrheit: kann man QR mit Ruhe nutzen?

Ja. Mit gesundem Menschenverstand ist QR Code im Alltag sicher. Das Quishing-Risiko ist real, aber vermeidbar:

  • Gescannt? Schauen Sie auf den Link vor dem Tippen.
  • Nach unerwartetem Passwort/Karte/Zahlung gefragt? Stoppen.
  • QR sieht manipuliert aus (Aufkleber darüber)? Nicht nutzen.

Es ist dieselbe Vorsicht, die Sie bereits haben (oder haben sollten) mit E-Mail- und SMS-Links. QR hat keine neue Gefahr geschaffen — es ist nur ein weiterer Kanal für dieselbe Art von Betrug, die bereits existiert.

Zusammenfassung

  1. Der QR ist nicht gefährlich — sein Ziel kann es sein.
  2. Quishing = ein Betrug, der QR nutzt, um Sie zu einer gefälschten Seite zu führen.
  3. Lesen Sie immer den Link vor dem Öffnen (das Handy zeigt ihn).
  4. Seien Sie misstrauisch bei einem Aufkleber darüber, einer seltsamen Domain, einer unerwarteten Passwort-/Zahlungsanfrage.
  5. Bei Zahlungen prüfen Sie den Empfänger vor dem Bestätigen.
  6. Unternehmen: nutzen Sie dynamischen QR mit eigener Domain und manipulationssicheres Material.

Erstellen Sie sichere, verfolgbare QR Codes — mit erkennbarer Domain und Überwachung.