Betrug per Quadrat: Warum gefälschte QR-Codes zur neuen Masche werden
Der QR-Code ist Alltag geworden – auf Speisekarten, Parkautomaten und Ladesäulen. Genau diese Selbstverständlichkeit nutzen Kriminelle aus: Sicherheitsbehörden warnen vor einer stark wachsenden Betrugswelle rund um manipulierte Codes.
Ein schwarz-weißes Quadrat auf der Speisekarte, am Parkautomaten oder auf dem Paketaufkleber – der QR-Code ist längst ein selbstverständlicher Teil des Alltags. Handykamera darauf halten, kurz warten, und schon öffnet sich eine Internetseite. Genau diese eingespielte Routine ist es, die Kriminelle inzwischen gezielt ausnutzen. Fachleute sprechen von „Quishing“, einer Wortmischung aus QR-Code und Phishing.
Wie die Masche funktioniert
Das Prinzip ist so einfach wie wirkungsvoll: Betrüger hinterlegen in einem QR-Code die Adresse einer gefälschten Website. Wer den Code scannt, landet nicht bei seiner Bank oder dem echten Zahldienst, sondern auf einer täuschend echt nachgebauten Kopie. Dort eingegebene Zugangsdaten, Kreditkartennummern oder Bestätigungscodes fließen direkt an die Angreifer. Weil der Mensch die im Code versteckte Zeichenfolge nicht lesen kann, fällt die Fälschung kaum auf – anders als bei einer betrügerischen E-Mail, deren Absenderadresse sich zumindest theoretisch prüfen lässt.
Verbreitet werden die manipulierten Codes auf unterschiedlichen Wegen. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) tauchen sie unter anderem auf überklebten Parkscheinautomaten und E-Ladesäulen auf, aber auch in gefälschten Briefen, die offiziell aussehen und zum schnellen Handeln auffordern. Die begleitenden Nachrichten sind laut BSI zunehmend fehlerfrei formuliert – ein Hinweis darauf, dass auch Textgeneratoren zum Werkzeug der Betrüger geworden sind.
Ein Trend mit steilen Kurven
Dass es sich nicht um Einzelfälle handelt, zeigen die Zahlen, die das BSI nennt. Zwischen August und November 2025 habe sich die Zahl der gemeldeten Quishing-Vorfälle etwa verfünffacht – von rund 46.000 auf rund 250.000. Rund zwölf Prozent aller Phishing-Angriffe des zurückliegenden Jahres hätten demnach einen QR-Code enthalten. Die Angaben stammen aus Warnungen der Behörde und beziehen sich auf gemeldete Fälle; die tatsächliche Zahl dürfte höher liegen, weil längst nicht jeder Betrugsversuch angezeigt wird.
Der Grund für den Anstieg liegt weniger in einer neuen Technik als in einer Gewöhnung. QR-Codes gelten als praktisch und harmlos, viele Menschen scannen sie beiläufig und ohne die Skepsis, die sie einem unbekannten Link in einer E-Mail entgegenbringen würden. Genau diese Vertrauensvorschuss ist die eigentliche Schwachstelle – sie sitzt nicht in der Technik, sondern in der Gewohnheit.
Was Fachleute raten
Einen hundertprozentigen Schutz gibt es nicht, wohl aber einige einfache Gewohnheiten, die das Risiko deutlich senken. Das BSI empfiehlt, QR-Codes grundsätzlich zu hinterfragen, statt sie reflexhaft zu scannen – besonders an öffentlichen Automaten, wo ein aufgeklebter Code schnell übersehen wird. Zeigt das Handy nach dem Scannen die Zieladresse an, sollte man sie vor dem Öffnen genau lesen: Tippfehler, ungewöhnliche Endungen oder eine Adresse, die nicht zum erwarteten Anbieter passt, sind Warnzeichen.
Wo es möglich ist, rät die Behörde, die Adresse einer bekannten Bank oder eines Dienstes lieber von Hand einzugeben oder ein gespeichertes Lesezeichen zu nutzen, statt den Umweg über den Code zu gehen. Wer den Verdacht hat, auf eine gefälschte Seite hereingefallen zu sein, sollte umgehend die Bank informieren und den Fall zur Anzeige bringen. Der wichtigste Schutz bleibt am Ende ein kurzer Moment des Innehaltens – bevor die Kamera auf das Quadrat gerichtet wird.
Dieser Beitrag ist eine redaktionelle Einordnung eines aktuellen Sicherheitsthemas und ersetzt keine individuelle Sicherheits- oder Rechtsberatung. Die genannten Zahlen beruhen auf Warnungen des BSI.