QRTrustVertraue nicht jedem QR-Code.
Zurück zum Blog
Sicherheit

Was ist Quishing? Der ultimative Guide 2025

8 Min. Lesezeit

Quishing ist die neueste Bedrohung in der Cyberkriminalität. Erfahren Sie, wie QR-Code-Phishing funktioniert, wie Sie es erkennen und sich effektiv dagegen schützen können.

Was ist Quishing?

Quishing (ein Kunstwort aus 'QR' und 'Phishing') ist eine neue Form des Cyberangriffs, bei der Kriminelle bösartige QR-Codes verwenden, um Menschen zu täuschen. Während traditionelles Phishing E-Mails oder gefälschte Websites nutzt, setzen Quishing-Angreifer auf QR-Codes als Angriffsvektor.

Der Grund, warum Quishing so gefährlich ist: QR-Codes sind für Menschen nicht lesbar. Sie können nicht erkennen, wohin ein QR-Code führt, bevor Sie ihn scannen. Genau diese Eigenschaft machen sich Cyberkriminelle zunutze.

Definition: Quishing

Quishing ist eine Phishing-Methode, bei der Angreifer manipulierte oder bösartige QR-Codes verwenden, um Opfer auf gefälschte Websites zu locken, persönliche Daten zu stehlen oder Malware zu verbreiten.

Wie funktioniert ein Quishing-Angriff?

Ein typischer Quishing-Angriff läuft in mehreren Schritten ab:

  1. Der Angreifer erstellt einen bösartigen QR-Code, der zu einer gefälschten Website führt (z.B. eine Kopie der Login-Seite Ihrer Bank)
  2. Der QR-Code wird über verschiedene Kanäle verbreitet: E-Mails, gefälschte Parkscheine, Flyer, Social Media oder sogar über echte QR-Codes, die überklebt werden
  3. Das Opfer scannt den QR-Code mit dem Smartphone, ohne zu erkennen, dass er bösartig ist
  4. Das Opfer landet auf der gefälschten Website und gibt dort sensible Daten ein (Passwörter, Kreditkartendaten, persönliche Informationen) oder lädt unwissentlich Malware herunter

Reale Quishing-Beispiele aus Deutschland

Gefälschte Parkscheine

Angreifer kleben QR-Codes auf Parkautomaten, die zu gefälschten 'easy park'-Seiten führen und Kreditkartendaten stehlen. Die überklebten Codes sind oft schwer zu erkennen.

ADAC Phishing-E-Mails

E-Mails mit ADAC-Logo und QR-Codes, die zu gefälschten Mitgliederseiten führen, um persönliche Daten und Bankverbindungen abzugreifen.

Rheinbahn Deutschlandticket-Betrug

Gefälschte Plakate in Bussen und Bahnen mit QR-Codes, die vermeintlich zu kostenlosem Deutschlandticket führen - in Wahrheit zu Datendiebstahl.

Gefälschte Bankbriefe

Briefe im Commerzbank-Design mit QR-Codes für angebliche photoTAN-Aktivierung. Ziel: Online-Banking-Zugangsdaten stehlen.

E-Ladesäulen-Betrug

Überklebte QR-Codes an Elektro-Ladesäulen, die statt zur Bezahlseite zu Phishing-Websites führen.

Falsche Strafzettel

Betrügerische Strafzettel für Falschparker mit QR-Codes, die zu gefälschten Bezahlseiten führen.

Woran erkennt man Quishing?

  • Unerwartete QR-Codes in E-Mails (besonders von Banken, Microsoft, Google)
  • QR-Codes auf Parkscheinen oder öffentlichen Plätzen, die 'überklebt' aussehen
  • Dringende Aufforderungen zum Scannen ('Ihr Konto wird gesperrt', 'Letzte Chance')
  • QR-Codes von unbekannten Absendern in Social Media
  • URLs nach dem Scan, die verdächtig aussehen oder nicht zum erwarteten Unternehmen passen

Wie schützen Sie sich vor Quishing?

  • Verwenden Sie QRTrust: Unsere App scannt QR-Codes und prüft sie in Echtzeit gegen mehrere Bedrohungsdatenbanken (PhishTank, Google Safe Browsing) und KI-Modelle, bevor Sie die URL öffnen.
  • Nutzen Sie Apps, die Ziel-URLs anzeigen: Scannen Sie QR-Codes nur mit Apps, die die Zieladresse zunächst anzeigen, bevor die Seite geöffnet wird. So können Sie verdächtige Links erkennen.
  • Achten Sie genau auf Satzzeichen in URLs: Wichtig: 'beispiel.de/123' ist legitim, aber 'beispiel.de-123.com' führt zu einer völlig anderen, möglicherweise betrügerischen Website!
  • Ignorieren Sie überklebte QR-Codes: QR-Codes auf Parkautomaten, Ladesäulen oder öffentlichen Plätzen, die überklebt aussehen, sollten niemals gescannt werden.
  • Prüfen Sie Briefe und E-Mails kritisch: Bei verdächtigen Briefen (z.B. von Ihrer Bank): Kontaktieren Sie die Institution über eine selbst recherchierte Telefonnummer, nicht über Angaben im Brief.
  • Im Betrugsfall: Sofort handeln: Kontaktieren Sie die Polizei, rufen Sie Ihre Bank an oder nutzen Sie den Sperr-Notruf 116 116, wenn Sie Opfer geworden sind.

Quishing im Unternehmen

Für Unternehmen ist Quishing eine besonders große Bedrohung. Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Ein einziger gescannter bösartiger QR-Code kann:

• Firmendaten kompromittieren • Ransomware ins Netzwerk bringen • Zugangsdaten für kritische Systeme stehlen • Compliance-Verstöße verursachen (DSGVO, NIS2)

Fazit

Quishing ist eine wachsende Bedrohung, die QR-Codes als Angriffsvektor nutzt. Die Unsichtbarkeit des Ziels macht QR-Codes zum perfekten Werkzeug für Cyberkriminelle.

Der beste Schutz ist eine Kombination aus Awareness, gesundem Misstrauen und technischen Lösungen wie QRTrust, die jeden QR-Code vor dem Öffnen überprüfen.

Schützen Sie sich jetzt vor Quishing

QRTrust prüft jeden QR-Code in Echtzeit gegen mehrere Bedrohungsdatenbanken und warnt Sie vor Gefahren.

QRTrust kostenlos testen

Quellen

Dieser Artikel basiert teilweise auf Informationen der Verbraucherzentrale NRW:

Quishing: Falsche QR-Codes in Mails, Briefen, ÖPNV und Straßenverkehr
Zurück zum Blog