QR Code Security: How to Avoid Quishing Scams in 2026

QR-Codes sind aus unserem Alltag nicht mehr wegzudenken. Wir scannen sie in Restaurants, an Parkuhren, auf Konferenz-Badges, auf Produktverpackungen und an Bushaltestellen. Bis 2026 werden schaetzungsweise 100 Millionen Amerikaner mindestens einmal im Monat einen QR-Code scannen — und auch in Deutschland, Oesterreich und der Schweiz ist die Nutzung allgegenwaertig. Doch mit dieser Allgegenwaertigkeit kommt eine Frage auf, die immer mehr Menschen stellen: Sind QR-Codes eigentlich sicher?

Die kurze Antwort: QR-Codes an sich sind neutral. Sie sind lediglich eine Moeglichkeit, Informationen zu kodieren — in der Regel eine URL. Das Risiko liegt nicht im Code selbst. Es liegt darin, wohin der Code Sie fuehrt, und ob Sie den Unterschied zwischen einem legitimen Ziel und einem boesartigen erkennen koennen, bevor es zu spaet ist.

Dieser Leitfaden behandelt alles, was Sie ueber QR-Code-Sicherheit wissen muessen, den Anstieg von "Quishing"-Angriffen, wie Sie sich schuetzen koennen und was Unternehmen tun sollten, um ihre Kunden zu schuetzen.

Was ist Quishing?

Quishing — ein Kofferwort aus "QR" und "Phishing" — ist ein Social-Engineering-Angriff, bei dem ein boesartiger Akteur einen QR-Code verwendet, um Opfer auf eine betruegerische Website umzuleiten. Das Ziel ist dasselbe wie beim traditionellen Phishing: Zugangsdaten stehlen, Schadsoftware installieren oder jemanden dazu bringen, eine Zahlung an das falsche Konto zu leisten.

Was Quishing besonders effektiv macht, ist die Undurchsichtigkeit von QR-Codes. Anders als bei einer URL in einer E-Mail (wo man zumindest mit der Maus darueber fahren kann, um das Ziel zu sehen), verraet ein QR-Code nichts ueber sein Ziel, bis man ihn scannt. Und wenn Ihr Telefon den Browser oeffnet, befinden Sie sich bereits auf der Seite des Angreifers.

Warum Quishing zunimmt

Mehrere Faktoren treiben den Anstieg von Quishing voran:

• Vertrauenskonditionierung: Die Pandemie hat das Scannen von QR-Codes normalisiert. Menschen haben aufgehoert zu hinterfragen, was sie scannen.
• Umgehung von E-Mail-Filtern: Traditionelle Phishing-Links werden von Spam-Filtern erkannt. Ein QR-Code, der in einem PDF oder Bildanhang eingebettet ist, umgeht die textbasierte URL-Pruefung.
• Niedrige Kosten, grosse Reichweite: Einen Aufkleber mit einem boesartigen QR-Code zu drucken und auf eine Parkuhr zu kleben kostet fast nichts.
• Mobile Verwundbarkeit: Telefone haben kleinere Bildschirme, was die Ueberpruefung von URLs erschwert. Viele mobile Browser kuerzen lange URLs, wodurch verdaechtige Domains verborgen werden.

Reale Quishing-Beispiele

Dies sind keine hypothetischen Szenarien. Sie sind passiert und passieren weiterhin.

Betrug an Parkuhren

In Staedten in den USA, Grossbritannien und Europa haben Kriminelle gefaelschte QR-Code-Aufkleber auf Parkuhren und Bezahlstationen angebracht. Wenn Autofahrer zum Bezahlen scannen, werden sie auf eine ueberzeugende gefaelschte Zahlungsseite umgeleitet, die ihre Kreditkartendaten abgreift. In Deutschland wurden aehnliche Faelle in mehreren Staedten gemeldet, bei denen gefaelschte QR-Codes auf Parkautomaten geklebt wurden.

Gefaelschte Restaurant-Speisekarten

Da Restaurants waehrend COVID weitgehend QR-Code-Speisekarten eingefuehrt haben, haben Angreifer dieses Muster ausgenutzt. Ein Aufkleber, der ueber einen legitimen QR-Code auf einem Tisch geklebt wird, leitet Gaeste auf eine Phishing-Seite um, die das Bestellsystem des Restaurants nachahmt — aber dabei Zahlungsdaten abfaengt.

Phishing-E-Mails in Unternehmen

Dies ist der am schnellsten wachsende Angriffsvektor. Angreifer versenden E-Mails, die scheinbar von IT-Abteilungen, der Personalabteilung oder Lieferdiensten stammen und einen QR-Code statt eines anklickbaren Links enthalten. Die E-Mail koennte lauten "Scannen Sie zur Identitaetsverifizierung" oder "Scannen Sie zur Paketverfolgung". Da der QR-Code ein Bild ist, uebersehen E-Mail-Sicherheitstools, die textbasierte URLs pruefen, ihn oft vollstaendig.

Krypto- und Zahlungsbetrug

Betrueger platzieren QR-Codes an Bitcoin-Geldautomaten oder teilen sie in Social-Media-Nachrichten und behaupten, sie fuehrten zu einem Zahlungsportal. Das Scannen des Codes loest eine Transaktion an die Wallet des Angreifers aus. Sobald Kryptowaehrung gesendet wurde, ist sie weg.

E-Ladesaeulen

Eine neuere Variante zielt auf Ladesaeulen fuer Elektrofahrzeuge ab. Gefaelschte QR-Code-Aufkleber, die ueber legitime Zahlungscodes geklebt werden, leiten Fahrer auf betruegerische Zahlungsportale um. Dies wurde 2025 in mehreren europaeischen Laendern gemeldet, darunter auch in Deutschland.

Wie man einen boesartigen QR-Code erkennt: 7 Warnsignale

Nicht jeder QR-Code ist gefaehrlich, aber eine Gewohnheit der Vorsicht wird Sie schuetzen. Hier sind sieben Anzeichen dafuer, dass etwas nicht stimmen koennte.

Wie Unternehmen ihre Kunden schuetzen koennen

Wenn Sie QR-Codes fuer Ihr Unternehmen generieren, haben Sie die Verantwortung, sie vertrauenswuerdig zu gestalten. So geht's.

Verwenden Sie einen vertrauenswuerdigen QR-Code-Generator

Nicht alle Generatoren sind gleich. Einige kostenlose Tools fuegen Tracking-Pixel ein, leiten ueber Werbenetzwerke um oder verwenden Domains, die von Sicherheitssoftware markiert werden. Verwenden Sie einen Generator, der saubere, direkte Links mit transparentem Umleitungsverhalten bietet.

Verwenden Sie dynamische QR-Codes

Dynamische QR-Codes geben Ihnen Kontrolle nach dem Drucken. Wenn sich Ihre Ziel-URL aendert, kompromittiert wird oder aktualisiert werden muss, koennen Sie aendern, wohin der Code zeigt, ohne neu zu drucken. Dies ist auch entscheidend fuer die Incident Response — wenn eine Zielseite kompromittiert wird, koennen Sie den QR-Code innerhalb von Minuten auf eine sichere Seite umleiten.

Versehen Sie Ihre QR-Codes mit Ihrer Marke

Ein gut gestalteter QR-Code mit Markenidentitaet ist schwerer zu faelschen. Wenn Kunden den visuellen Stil Ihrer Marke im QR-Code selbst erkennen (Farben, Logo, Eckstile), wird ein generischer schwarz-weisser Aufkleber, der darueber geklebt wird, sofort verdaechtig.

Fuegen Sie Kontext um jeden Code hinzu

Platzieren Sie niemals einen QR-Code, ohne zu erklaeren, was er tut. "Scannen Sie fuer unsere Speisekarte" oder "Scannen Sie zum Bezahlen — bereitgestellt von [Firmenname]" gibt Nutzern die Information, die sie brauchen, um die Legitimitaet zu beurteilen.

Ueberwachen Sie die Scan-Analysen

Mit dynamischen QR-Codes koennen Sie Scan-Muster verfolgen. Ein ploetzlicher Anstieg von Scans von einem unerwarteten Standort koennte darauf hindeuten, dass jemand Ihren Code kopiert oder durch einen boesartigen ersetzt hat.

Fuehren Sie regelmaessige physische Pruefungen durch

Wenn Sie QR-Codes an oeffentlichen Orten haben (Schaufenster, Plakate, Parkbereiche), ueberpruefen Sie diese regelmaessig. Achten Sie auf Aufkleber, die ueber Ihre Codes geklebt wurden, und testen Sie diese selbst, um sicherzustellen, dass sie noch zum richtigen Ziel fuehren.

Sicherheitsfunktionen von QR-Verse

Sicherheit ist bei QR-Verse kein nachtraeglicher Gedanke. Sie ist in das Produkt integriert.

• HTTPS-Durchsetzung: Alle QR-Code-Ziele werden ueber verschluesselte Verbindungen bereitgestellt. Reine HTTP-URLs werden waehrend der Erstellung gekennzeichnet.
• Keine Datensammlung: Wir verkaufen keine Scan-Daten, fuegen keine Tracking-Pixel ein und monetarisieren das Verhalten Ihrer Nutzer nicht.
• Transparente Umleitungen: Unsere dynamischen QR-Codes verwenden saubere Umleitungsketten. Keine Werbevermittler, keine Verschleierung, keine ueberraschenden Ziele.
• URL-Vorschau beim Scannen: Unser System unterstuetzt die URL-Vorschaufunktion, damit Nutzer das Ziel sehen koennen, bevor sie umgeleitet werden.
• Dynamische Code-Kontrolle: Aendern oder deaktivieren Sie jedes QR-Code-Ziel sofort ueber Ihr Dashboard. Wenn etwas schiefgeht, koennen Sie in Sekunden reagieren.
• Keine erzwungene Kontoerstellung: Generieren Sie QR-Codes, ohne persoenliche Daten preiszugeben. Wir verlangen keine E-Mail-Adresse, um einen Code zu erstellen.

Was tun, wenn Sie einen verdaechtigen QR-Code gescannt haben

Wenn Sie glauben, einen boesartigen QR-Code gescannt zu haben, handeln Sie schnell.

Die Zukunft der QR-Code-Sicherheit

Die QR-Code-Sicherheit entwickelt sich parallel zu den Bedrohungen weiter. Das erwartet uns.

Regulatorischer Druck

Das Digital Services Act der EU und bevorstehende Ueberarbeitungen der ePrivacy-Verordnung draengen auf mehr Transparenz bei der Verarbeitung von Nutzerdaten durch QR-Codes. Unternehmen, die QR-Codes generieren, muessen moeglicherweise bald strengeren Offenlegungspflichten zu Umleitungszielen und Datenerhebungspraktiken nachkommen.

Standards fuer sichere QR-Codes

Branchengruppen arbeiten an Standards fuer "signierte" QR-Codes — Codes, die eine kryptografische Signatur enthalten, die die Identitaet des Erstellers verifiziert. Stellen Sie es sich als HTTPS fuer QR-Codes vor. Obwohl sich dies noch in der Standardentwicklungsphase befindet, koennte es grundlegend veraendern, wie Vertrauen bei QR-basierten Interaktionen funktioniert.

Integrierte Telefon-Schutzmechanismen

Sowohl Apple als auch Google haben die QR-Scan-Faehigkeiten ihrer Kamera-Apps verbessert. iOS zeigt jetzt eine URL-Vorschau an, bevor ein Link geoeffnet wird, und Android folgt dem gleichen Weg. Zukuenftige Versionen koennten Echtzeit-URL-Reputationspruefungen beinhalten — die das gescannte Ziel mit bekannten Phishing-Datenbanken vergleichen, bevor die Seite geladen wird.

KI-gestuetzte Bedrohungserkennung

Sicherheitsunternehmen setzen Machine-Learning-Modelle ein, die QR-Code-Ziele in Echtzeit analysieren und auf Phishing-Indikatoren wie kuerzlich registrierte Domains, verdaechtige Umleitungsketten und Seiten pruefen, die bekannte Marken imitieren. Diese Art automatisierter Schutz wird zunehmend sowohl in Scan-Apps als auch in Enterprise-Sicherheitsplattformen integriert.

Haeufig gestellte Fragen

Das Fazit

QR-Codes sind so sicher wie die Absichten, die dahinterstehen. Die Technologie ist neutral — sie ist eine Bruecke zwischen der physischen und der digitalen Welt. Die Frage ist nicht, ob QR-Codes sicher sind. Die Frage ist, ob Sie wissen, wie Sie sie sicher nutzen.

Fuer Verbraucher ist der Schluessel Aufmerksamkeit: Ueberpruefen Sie URLs, bevor Sie interagieren, seien Sie vorsichtig bei Codes an unerwarteten Orten, und geben Sie niemals sensible Informationen auf einer Seite ein, die Sie ueber einen unbekannten QR-Code erreicht haben.

Fuer Unternehmen ist der Schluessel Verantwortung: Verwenden Sie vertrauenswuerdige Generatoren, versehen Sie Ihre Codes mit Ihrer Marke, bieten Sie Kontext und ueberwachen Sie auf Manipulation. Das Vertrauen Ihrer Kunden steht jedes Mal auf dem Spiel, wenn sie einen Ihrer Codes scannen.

Sicherheit ist keine Funktion, die man nachtraeglich hinzufuegt. Sie ist ein Fundament, das man von Anfang an baut.