Tagesschau warnt vor Quishing: QR-Code-Betrug erkennen und sich schützen
Tagesschau und rbb warnen vor Quishing: Gefälschte QR-Codes an Parkautomaten, Ladesäulen und in täuschend echten Briefen führen auf Phishing-Seiten. So erkennen Sie den QR-Code-Betrug und schützen Ihre Bank- und Kreditkartendaten.
Was die Tagesschau über Quishing berichtet
Die Tagesschau hat gemeinsam mit dem rbb (Rundfunk Berlin-Brandenburg) einen ausführlichen Ratgeber zum Thema QR-Code-Betrug veröffentlicht. Die Kernbotschaft: Eine zunächst harmlos wirkende Betrugsmasche namens „Quishing“ breitet sich rasant aus – und trifft längst nicht mehr nur Online-Nutzer, sondern jeden, der im Alltag einen QR-Code scannt.
„Quishing“ setzt sich aus „QR-Code“ und „Phishing“ zusammen. Kriminelle platzieren manipulierte QR-Codes dort, wo Menschen ihnen blind vertrauen: auf Parkautomaten, an E-Ladesäulen, auf Restaurant-Tischen, in E-Mails und sogar in täuschend echten Briefen von Banken und Behörden. Wer den Code scannt, landet nicht auf der echten Seite, sondern auf einer perfekt nachgebauten Phishing-Seite, die Login-Daten, Bank- und Kreditkartendaten abgreift.
Das Tückische: Einem QR-Code sieht niemand an, wohin er führt. Genau deshalb ist Quishing für das menschliche Auge praktisch nicht zu erkennen – der Betrug fällt oft erst auf, wenn das Geld bereits weg ist.
So läuft der QR-Code-Betrug ab
- Kriminelle erstellen eine täuschend echt aussehende Kopie einer bekannten Webseite – etwa einer Park-App, eines Ladesäulen-Betreibers oder des Online-Bankings.
- Sie erzeugen einen QR-Code, der auf diese gefälschte Seite verweist, und drucken ihn als Aufkleber oder als seriös wirkendes Schreiben aus.
- Der gefälschte Code wird über den originalen geklebt – auf Parkautomaten, Ladesäulen oder Aushängen – oder per Brief und E-Mail verschickt.
- Das Opfer scannt den Code, um schnell zu bezahlen oder eine vermeintliche Aufforderung zu erledigen, und gibt auf der Fake-Seite seine Daten ein.
- Mit den erbeuteten Zugangs- und Zahlungsdaten räumen die Täter Konten leer, lösen Abbuchungen aus oder verkaufen die Identität im Darknet.
Warnsignale: So erkennen Sie Quishing
Überklebter QR-Code
Ein Aufkleber, der über einem anderen Code klebt, an den Rändern abgelöst ist oder schief sitzt, ist hochverdächtig. Originale QR-Codes sind meist aufgedruckt oder eingraviert – nicht nachträglich aufgeklebt.
Unerwartete Datenabfrage
Werden Sie nach dem Scannen unerwartet nach Login-Daten, PIN, TAN oder Kreditkartendaten gefragt, sollten alle Alarmglocken läuten. Seriöse Anbieter verlangen das nie ohne vorherige Anmeldung.
Abweichende oder kryptische URL
Prüfen Sie die Adresse in der Scan-Vorschau, bevor Sie sie öffnen. Tippfehler-Domains, fremde Endungen oder kryptische Zeichenfolgen statt des bekannten Markennamens sind ein klares Betrugszeichen.
Zeitdruck und Drohungen
„Letzte Mahnung“, „Konto wird gesperrt“ oder „sofort handeln“: Wer Sie unter Druck setzt, will verhindern, dass Sie nachdenken. Echte Banken und Behörden fordern niemals per QR-Code unter Zeitdruck zur Zahlung auf.
Warum Quishing gerade in Ballungsräumen wie Berlin zunimmt
In Großstädten wie Berlin gehört der QR-Code längst zum Alltag: Parkschein per App, Ticket für BVG und Bahn, Speisekarte im Restaurant, Laden von E-Auto und E-Scooter. Genau diese hohe QR-Dichte macht Ballungsräume für Kriminelle attraktiv – ein einziger gefälschter Aufkleber an einem belebten Parkautomaten erreicht hunderte potenzielle Opfer pro Tag. Polizei und Verbraucherzentralen verzeichnen bundesweit steigende Fallzahlen; dokumentierte Fälle reichen von Berlin und Brandenburg über Hannover, Frankfurt und Köln bis Dortmund. In einem von der Verbraucherzentrale Brandenburg dokumentierten Fall lösten gescannte Zahlungslinks ungewollte PayPal-Zahlungen von über 3.000 Euro aus.
So schützen Sie sich vor Quishing
- • Scannen Sie QR-Codes nur, wenn die Quelle eindeutig vertrauenswürdig ist – und prüfen Sie Aufkleber an Automaten und Ladesäulen auf Manipulation.
- • Kontrollieren Sie die URL in der Scan-Vorschau, bevor Sie die Seite öffnen. Im Zweifel: Adresse manuell im Browser eingeben statt den Code zu nutzen.
- • Geben Sie niemals Login-, Bank- oder Kreditkartendaten auf einer Seite ein, die Sie über einen QR-Code erreicht haben.
- • Nutzen Sie für Bank- und Bezahlvorgänge ausschließlich die offizielle App oder die direkt eingegebene Webadresse – niemals einen QR-Code aus Brief, E-Mail oder von einem Aufkleber.
- • Halten Sie Ihr Smartphone-Betriebssystem aktuell. Sind Sie bereits Opfer geworden: Bank informieren, Karte über den Sperr-Notruf 116 116 sperren und Anzeige bei der Polizei (110) erstatten.
QRTrust: Den QR-Code prüfen, bevor der Schaden entsteht
Genau hier setzt QRTrust an: Statt einem QR-Code blind zu vertrauen, prüfen Sie ihn, bevor sich die Zielseite öffnet. Unsere 6-Schicht-Analyse gleicht jede URL in Echtzeit mit PhishTank, Google Safe Browsing, einer lokalen Bedrohungsdatenbank und unserer eigenen KI ab – und folgt dabei bis zu fünf Weiterleitungen bis zur echten Zielseite.
So sehen Sie eine Phishing-Seite, bevor Sie Ihre Daten preisgeben. Genau die Lücke, die die Tagesschau beschreibt – dass man einem QR-Code nicht ansieht, wohin er führt – schließt QRTrust. 100 % DSGVO-konform, gehostet in Deutschland.
Jetzt QR-Code sicher prüfen →Quellen
*Über QRTrust: QRTrust ist die erste deutsche QR-Code-Sicherheitsplattform, entwickelt in Dortmund. Mit KI-gestützter Echtzeit-Erkennung schützt QRTrust Bürger und Unternehmen vor Quishing-Angriffen. 100% DSGVO-konform, gehostet in Deutschland.*