Quishing:
wenn der QR-Code zur Betrugsfalle wird
Ein QR-Code verrät nicht, wohin er führt — man scannt und vertraut. Genau diese Lücke nutzt eine Betrugsmasche, die gerade rasant wächst: auf Briefen, Rechnungen und als Aufkleber über echten Codes. Wie sie funktioniert und wie man sie stoppt.
Im Posteingang liegt ein offiziell wirkender Brief: ein bekanntes Logo, eine Vorgangsnummer, die Bitte, eine offene Forderung schnell zu begleichen — bequem über den abgedruckten QR-Code. Oder am Parkautomaten klebt ein kleiner Code mit dem Hinweis „hier bezahlen". Beides sieht völlig normal aus. Und genau darin liegt der Trick.
Quishing — aus „QR" und „Phishing" — verlagert den klassischen Betrugslink in einen QR-Code. Der Vorteil für die Täter: Das Ziel ist unsichtbar, bis man scannt, und geöffnet wird auf dem Smartphone, wo der Schutz vom Arbeitsplatz oft fehlt. Dieser Beitrag zeigt, wie die Masche aufgebaut ist, wo sie auftaucht, woran man sie erkennt und welche eine Gewohnheit sie zuverlässig ins Leere laufen lässt.
Vier Reflexe, die Quishing stoppen
Was zwischen QR-Code und Dateneingabe passieren muss
Die Masche scheitert schon an Schritt 2 — sobald jemand kurz innehält, statt sofort zu scannen und zu tippen
Wie Quishing funktioniert
Ein QR-Code ist nichts anderes als ein optisch verpackter Link. Das Auge kann ihn nicht lesen, also übernimmt die Kamera die Übersetzung — und damit auch das Vertrauen. Genau hier setzen die Täter an: Sie erzeugen einen Code, der auf eine nachgebaute Seite führt, etwa eine täuschend echte Anmeldemaske oder ein vorbereitetes Zahlungsformular.
Die Seite ist sorgfältig gestaltet und ahmt einen bekannten Dienst nach. Auf dem Smartphone fällt die Fälschung schwerer auf als am Rechner: Die Adresszeile ist kurz, der Bildschirm klein, und viele Schutzmechanismen, die im Firmennetz greifen, fehlen auf dem privaten Gerät. Wer dort Zugangsdaten eingibt oder eine Zahlung bestätigt, übergibt sie direkt an die Täter.
Der entscheidende Unterschied zum klassischen Phishing liegt im Medium. Ein Link in einer Mail lässt sich vor dem Klick begutachten; ein QR-Code verbirgt sein Ziel vollständig. Und ein gedruckter Code wandert an Filtern vorbei, die elektronische Nachrichten prüfen — er kommt als Papier oder Aufkleber in die reale Welt. Wie nah das mit gefälschten Forderungen verwandt ist, zeigt der Beitrag zur Domain-Rechnung-Masche.
Viele halten den QR-Code für eine harmlose Bequemlichkeit — eine Abkürzung zur Speisekarte oder zur Bezahlseite. Diese eingeübte Selbstverständlichkeit ist das eigentliche Risiko: Wer jeden Code reflexhaft scannt, prüft auch den gefälschten nicht. Die Masche lebt nicht von Technik, sondern von Gewohnheit.
Warum der QR-Code so wirksam ist
QR-Codes sind im Alltag allgegenwärtig geworden: an der Kasse, auf Plakaten, zur Paketverfolgung, in der Gastronomie. Das hat einen Reflex erzeugt — scannen, ohne nachzudenken. Genau dieser Reflex wird ausgenutzt. Das Vertrauen, das eigentlich dem Absender oder dem Ort gilt, überträgt sich unbemerkt auf den Code.
Das Ziel bleibt verborgen
Bei einem Link kann ein geübtes Auge die Adresse einschätzen. Ein QR-Code gibt nichts preis, bis er geöffnet ist. Diese Unsichtbarkeit ist kein Nebeneffekt, sondern der Kern der Masche: Sie nimmt dem Opfer die einzige Prüfung, die es sonst gewohnt ist.
Der physische Weg umgeht jeden Filter
Ein aufgeklebter oder aufgedruckter Code landet nicht im Postfach, sondern auf dem Tisch oder an der Wand. Spam-Filter und Link-Prüfungen, die elektronische Post kontrollieren, greifen hier gar nicht. Der Brief sieht offiziell aus, der Aufkleber sitzt am erwarteten Ort — beides verleiht dem Code eine Glaubwürdigkeit, die er nicht verdient.
Wo gefälschte QR-Codes auftauchen
Die Grundidee bleibt gleich, der Auftritt wechselt. Vier Varianten begegnen Betrieben besonders häufig.
- Der offizielle Brief: ein seriös gestaltetes Schreiben mit QR-Code und der Bitte, Daten zu bestätigen oder eine Forderung zu begleichen
- Der überklebte Code: ein Aufkleber über einem echten QR-Code an Automaten, Ladesäulen oder Aushängen
- Die Mail mit QR-Bild: der Code steckt als Bild in der Nachricht, um Link-Prüfungen zu umgehen
- Die Zahlungsaufforderung: ein Code, der ein vorausgefülltes Überweisungsformular öffnet
Besonders tückisch ist der überklebte Code, weil das Umfeld vollkommen echt ist: der richtige Automat, der erwartete Ort, ein plausibler Anlass. Nur das kleine Quadrat wurde ausgetauscht. Eine unerwartete Zahlungs- oder Anmeldeaufforderung per Code verdient deshalb dieselbe Vorsicht wie eine spontane Eil-Mail — und ist eng verwandt mit der Chef-Masche, die ebenfalls auf Druck statt auf Technik setzt.
Die Warnsignale im Detail
Kein einzelnes Signal beweist einen Betrug — aber das Zusammenkommen mehrerer ist ein deutliches Alarmzeichen. Diese Punkte tauchen bei Quishing immer wieder auf.
Im Anlass
Eine unerwartete Aufforderung, per Code zu zahlen oder Daten zu bestätigen. Häufig wird Druck aufgebaut: eine angebliche Sperrung, eine Mahnung, eine knappe Frist. Wer zur Eile gedrängt wird, soll genau nicht zum Nachdenken kommen.
Im Ziel nach dem Scan
Eine kryptische oder leicht abweichende Adresse, eine Anmelde- oder Zahlseite, die so gar nicht erwartet war, fehlende Verschlüsselung. Die meisten Kameras zeigen die Zieladresse zuerst als Vorschau an — ein kurzer Blick darauf entlarvt viele Fälschungen, bevor überhaupt etwas passiert.
Am physischen Code
Ein Aufkleber, der über etwas anderem sitzt, leichte Unsauberkeiten, ein Code, der nicht zum übrigen Druckbild passt. Wo ein QR-Code nachträglich angebracht wirkt, ist Misstrauen angebracht.
Machen Sie die Vorschau zur Pflicht. Fast jede Smartphone-Kamera zeigt die Zieladresse an, bevor die Seite öffnet. Wer sich angewöhnt, diese Zeile immer kurz zu lesen, statt direkt zu tippen, hat den größten Teil der Masche bereits abgewehrt — ohne zusätzliche Technik.
Die Regel, die Quishing aushebelt
So unterschiedlich die Varianten sind — sie haben eine gemeinsame Schwachstelle: Sie funktionieren nur, solange jemand blind scannt und sofort handelt. Genau hier setzt die wirksamste Maßnahme an, und sie ist kein teures Werkzeug, sondern eine Gewohnheit.
Erst das Ziel prüfen, dann handeln
Vor dem Öffnen die angezeigte Vorschau-Adresse lesen. Passt sie nicht zum erwarteten Anbieter oder wirkt sie kryptisch, wird die Seite nicht geöffnet. Dieser eine Blick ersetzt den fehlenden Link-Check, den der QR-Code sonst verhindert.
Zugangsdaten und Zahlungen nie über den Code
Wer sich anmelden oder zahlen will, tut das über die bekannte App oder die selbst eingetippte Adresse — niemals über die Seite, auf der ein gescannter Code gelandet ist. Der Code mag bequem sein, aber für sensible Schritte ist der eigene, bekannte Weg der sichere.
Zweiter Kanal bei Geld und Daten
Geht es um eine Forderung oder die Änderung von Bankdaten, gilt dieselbe Regel wie bei jeder Eil-Zahlung: über einen zweiten, unabhängigen Weg gegenprüfen — ein Rückruf an eine bekannte Nummer, nicht die aus dem Schreiben. Der Medienbruch ist der Kern, denn die Täter kontrollieren den Code, aber nicht den bekannten Anschluss des echten Partners.
Vor dem Öffnen prüfen, wohin der Code tatsächlich führt
Anmeldung und Zahlung über die bekannte App oder eingetippte Adresse
Rückruf an die bekannte Nummer, nicht an die aus dem Schreiben
Gerade dringende Code-Aufforderungen werden am gründlichsten geprüft
Technische Flankierung
Die Gewohnheit ist die Hauptverteidigung — Technik senkt die Zahl der Versuche, die überhaupt durchkommen. Beides zusammen ergibt den robusten Schutz; eines allein bleibt lückenhaft.
Mobilgeräte absichern
Weil Quishing auf dem Smartphone landet, gehört das mobile Gerät in die Sicherheitsbetrachtung: aktuelle Updates, ein zeitgemäßer Schutz gegen bekannte betrügerische Seiten und, wo möglich, eine Trennung von beruflicher und privater Nutzung. Ein gepflegtes Gerät warnt häufiger, bevor eine gefälschte Seite öffnet.
Mitarbeitende sensibilisieren
Der QR-Reflex lässt sich umlernen. Wenn im Team bekannt ist, dass Codes auf Briefen, Aufklebern und in Mails zur Falle werden können, sinkt die Trefferquote der Masche spürbar. Eine kurze, konkrete Sensibilisierung wirkt hier mehr als jedes Werkzeug.
Saubere Zugänge
Wo Zugangsdaten erbeutet wurden, entscheidet die Schadensbegrenzung über das Ausmaß. Persönliche statt geteilter Konten und eine zweite Bestätigungsstufe begrenzen, was ein einzelnes erbeutetes Passwort anrichten kann — warum geteilte Zugänge dabei das größte Risiko sind, behandelt der Beitrag zu geteilten Passwörtern im Betrieb.
Wenn schon gescannt wurde
Trotz aller Vorsicht kann es passieren — und dann zählt jede Minute. Wichtig ist, schnell und ohne Schuldzuweisung zu handeln. Wer einer professionell gemachten Masche aufsitzt, ist Opfer, nicht Täter.
- Zugangsdaten ändern: betroffene Passwörter sofort erneuern und, wo vorhanden, die zweite Bestätigungsstufe prüfen.
- Bei Zahlung die Bank kontaktieren: um Rückruf der Überweisung bitten — bei schnellem Eingreifen lässt sich der Betrag manchmal noch stoppen.
- Intern melden: die Geschäftsführung und gegebenenfalls die für Sicherheit verantwortliche Person umgehend informieren.
- Dokumentieren: Code-Quelle, Zeitpunkte und alle Schritte festhalten — als Grundlage für Bank und Behörden.
- Team warnen: den Versuch offen teilen, damit niemand auf einen nachgeschobenen zweiten Code hereinfällt.
Der offene Umgang ist entscheidend. Wird ein Vorfall verschwiegen, lernt niemand daraus, und der nächste Versuch trifft auf dieselbe Lücke. Der gleiche Schutzgedanke — Druck und Verborgenes als Warnsignal lesen — verbindet Quishing mit dem Stimmklon-Betrug am Telefon, der dieselbe Masche auf den Anruf überträgt.
Die fünf Annahmen, die teuer werden
Nicht die Technik der Täter macht die Masche erfolgreich, sondern verbreitete Annahmen auf der Gegenseite. Diese fünf sind die gefährlichsten.
Er ist nur ein versteckter Link — und kann überallhin führen
Ein Aufkleber oder Brief ist schnell und billig gefälscht
Die Adresse wird erst nach dem Scan sichtbar, nicht vorher
Dort fehlt oft der Schutz, der am Arbeitsplatz greift
Zeitdruck ist Teil der Masche, kein Beweis für Echtheit
Annahme 3 und 5 sind die teuersten — sie schalten genau die Prüfung aus, die den Betrug sonst stoppen würde.
Häufig gestellte Fragen
Quishing ist Phishing über QR-Codes: Statt eines anklickbaren Links in einer Mail wird ein QR-Code eingesetzt, der auf eine gefälschte Seite führt. Dort sollen Opfer Zugangsdaten eingeben oder eine Zahlung auslösen. Der Code kann auf einem Brief, einer Rechnung, einem Plakat oder als Aufkleber über einem echten Code auftauchen. Das Wort setzt sich aus „QR" und „Phishing" zusammen.
Ein QR-Code zeigt nicht, wohin er führt — das Ziel wird erst nach dem Scan sichtbar. Misstrauisch machen sollten eine unerwartete Aufforderung zu Zahlung oder Dateneingabe, Zeitdruck oder eine Drohung mit Sperrung, eine kryptische oder abweichende Adresse nach dem Scan sowie ein aufgeklebter Code, der nicht zum Untergrund passt. Die meisten Kameras zeigen die Zieladresse als Vorschau an, bevor die Seite öffnet — dieser kurze Blick ist die wichtigste Prüfung.
Nicht automatisch. Ein gedruckter Brief wirkt seriös, doch genau diese Wirkung nutzen Täter aus: Ein offiziell gestalteter Brief mit QR-Code und der Bitte, Daten zu bestätigen oder eine offene Forderung zu begleichen, ist eine bekannte Variante. Behandeln Sie eine Zahlungs- oder Bestätigungsaufforderung per QR-Code mit derselben Vorsicht wie eine unerwartete Eil-Mail und gleichen Sie sie über einen bekannten, unabhängigen Weg ab, bevor Sie handeln.
Schnell und ohne Schuldzuweisung handeln: Betroffene Zugangsdaten sofort ändern und, wo vorhanden, die Zwei-Faktor-Bestätigung prüfen. Wurde eine Zahlung ausgelöst, umgehend die Bank kontaktieren und um einen Rückruf bitten. Den Vorfall intern melden, dokumentieren und das Team warnen, damit niemand auf einen nachgeschobenen zweiten Versuch hereinfällt. Bei finanziellem Schaden Anzeige bei der Polizei erstatten.
Der wirksamste Schutz ist eine einfache Gewohnheit: erst das Ziel prüfen, dann handeln. Zugangsdaten und Zahlungen werden grundsätzlich nicht über einen gescannten Code eingegeben, sondern über die bekannte App oder die selbst eingetippte Adresse. Dazu kommen sensibilisierte Mitarbeitende, aktuelle Mobilgeräte und eine feste Regel, Zahlungs- und Bankdaten-Änderungen über einen zweiten Kanal gegenzuprüfen. Technik flankiert, der aufmerksame Mensch entscheidet.
Ein kurzer Blick schlägt den schnellen Scan
Quishing ist gut gemacht, aber es hat eine feste Schwachstelle: Es braucht jemanden, der blind scannt und sofort handelt. Nimmt man der Masche diese Voraussetzung — durch die Gewohnheit, vor jedem Schritt das Ziel zu prüfen —, läuft selbst der überzeugendste Code ins Leere.
Der wirksamste Schutz kostet kein Werkzeug, sondern eine Entscheidung: erst prüfen, dann handeln, Sensibilität im Team und technische Flankierung auf dem Mobilgerät. Wer das einmal verankert, macht aus der größten Stärke der Masche — ihrer Bequemlichkeit — den Auslöser für die eigene Aufmerksamkeit.
Wir prüfen in 2 Werktagen, wo in Ihren Abläufen ein gefälschter QR-Code heute durchkäme — und sensibilisieren Ihr Team gezielt.