Manipulierte QR-Codes an Parkautomaten, in Briefen und auf Paketzetteln – Quishing ist die am schnellsten wachsende Betrugsmasche in Deutschland.
QR-Codes sind allgegenwärtig: im Restaurant, an der E-Ladesäule, auf dem Parkscheinautomaten, in Briefen und E-Mails. Genau diese Selbstverständlichkeit nutzen Betrüger aus. Beim sogenannten Quishing – einer Kombination aus „QR-Code“ und „Phishing“ – werden manipulierte QR-Codes eingesetzt, um Opfer auf gefälschte Websites zu leiten und dort Zugangsdaten, Kreditkarteninformationen oder andere sensible Daten abzugreifen. Das BSI stuft Quishing inzwischen als akute Bedrohung ein, und Sicherheitsexperten verzeichneten Ende 2025 einen fünffachen Anstieg schädlicher QR-Codes. Rund 20 Prozent aller Phishing-Angriffe basieren mittlerweile auf QR-Codes.
Warum QR-Codes ein perfektes Werkzeug für Betrüger sind
Das Grundproblem ist simpel: Die in einem QR-Code enthaltene URL ist vor dem Scannen nicht sichtbar. Während du bei einem Link in einer E-Mail die Adresse zumindest prüfen kannst, bevor du klickst, vertraust du beim QR-Code darauf, dass der Code zum richtigen Ziel führt. Betrüger nutzen dieses blinde Vertrauen gezielt aus.
Hinzu kommt ein technischer Vorteil für die Angreifer: Herkömmliche Spam-Filter in E-Mail-Programmen erkennen Links im Text und können sie blockieren. QR-Codes werden jedoch als Bilddateien behandelt und passieren die Filter unbemerkt. Der Angriff verlagert sich vom geschützten Computer auf das weniger gesicherte Smartphone – dort greifen Firmen-Firewalls und Desktop-Schutzsoftware nicht.
Die häufigsten Quishing-Maschen
Parkautomaten und E-Ladesäulen: In Kassel klebten Betrüger gefälschte QR-Codes auf über 300 Parkscheinautomaten – professionelle Aufkleber im Design des Bezahldienstes EasyPark. Wer den Code scannte, landete auf einer täuschend echten Zahlungsseite. Nach wenigen Sekunden leitete die Seite sogar zur echten EasyPark-Website weiter – die Kreditkartendaten waren da aber bereits abgegriffen. Ähnliche Fälle wurden aus Hannover, Frankfurt, Köln, Dortmund und Berlin gemeldet. Die gleiche Masche funktioniert an E-Ladesäulen, wo Betrüger die originalen Bezahl-Codes überkleben.
Gefälschte Bankbriefe: Eine besonders dreiste Variante: Kriminelle verschicken Briefe im Corporate Design von Sparkassen, Volksbanken oder der Commerzbank. Der Inhalt fordert dazu auf, über einen QR-Code ein Sicherheitsverfahren wie pushTAN oder photoTAN zu erneuern. Der Code führt auf eine gefälschte Login-Seite. Das LKA Niedersachsen, die BaFin und mehrere Verbraucherzentralen haben offizielle Warnungen herausgegeben.
Gefälschte Paketbenachrichtigungen: Betrüger verteilen gefälschte Benachrichtigungskarten im DHL-Design in Briefkästen. Der enthaltene QR-Code führt auf eine Phishing-Seite, die persönliche Daten oder Bankdaten abfragt. Wichtig zu wissen: DHL verwendet zwar QR-Codes auf echten Benachrichtigungskarten, diese fragen aber niemals persönliche Daten oder Zahlungsinformationen ab. Wirst du nach dem Scannen zur Eingabe von Bankdaten aufgefordert, handelt es sich um Betrug. Prüfe Sendungsnummern immer über die offizielle Post & DHL App oder auf dhl.de.
Gefälschte Plakate im ÖPNV: In Düsseldorf hängten Betrüger gefälschte Plakate in Busse und Straßenbahnen mit dem Versprechen „10.000 Deutschlandtickets zu gewinnen“. Der QR-Code führte auf eine Seite zum Identitätsdiebstahl. In öffentlichen Verkehrsmitteln erwartet man offizielle Werbung – genau darauf setzen die Täter.
QR-Codes in E-Mails: Aktuelle Kampagnen zielen auf Nutzer von Streaming-Diensten wie Spotify oder Disney+. Die Betreffzeilen lauten „Probleme mit Ihrer letzten Zahlung“ oder „Aktualisierung erforderlich“. Statt eines anklickbaren Links enthalten die Mails einen QR-Code, der herkömmliche Spam-Filter umgeht.
Fünf Regeln zum Schutz vor Quishing
Erstens: URL-Vorschau prüfen. Die iPhone-Kamera zeigt nach dem Scannen eines QR-Codes die Ziel-URL als Vorschau an, bevor du sie öffnest. Nimm dir die Sekunde und prüfe die angezeigte Adresse genau. Achte auf Tippfehler im Firmennamen, ungewöhnliche Domain-Endungen oder verdächtig lange URLs. Im Zweifel: nicht öffnen.
Zweitens: Offizielle Apps statt QR-Codes nutzen. Lade Bezahl-Apps wie EasyPark, ADAC oder die App deines Ladesäulenbetreibers direkt aus dem App Store herunter. So umgehst du manipulierte QR-Codes an Automaten komplett. Die gleiche Logik gilt für Banking: Nutze immer die offizielle App deiner Bank statt einem QR-Code aus einem Brief oder einer E-Mail.
Drittens: Auf Manipulationsspuren achten. Prüfe QR-Codes im öffentlichen Raum auf sichtbare Klebestellen, Aufkleber über dem Originalcode oder Kanten, die auf eine Überklebung hindeuten. Verfügt ein Automat über ein Display, scanne den Code vom Display statt von einem Aufkleber.
Viertens: Keine sensiblen Daten nach QR-Scan eingeben. Wirst du nach dem Scannen eines QR-Codes unerwartet zur Eingabe von Login-Daten, PINs, TANs oder Kreditkarteninformationen aufgefordert, ist das ein klares Warnsignal. Seriöse Anbieter verlangen solche Informationen nie ohne vorherige Authentifizierung.
Fünftens: Bankbriefe mit QR-Codes hinterfragen. Erhältst du einen Brief deiner Bank mit einem QR-Code, rufe die offizielle Hotline an, bevor du den Code scannst. Echte Banken fordern in der Regel nicht per Brief zum Scannen eines QR-Codes auf. Achte zudem darauf, ob du persönlich angesprochen wirst – gefälschte Briefe verwenden häufig generische Anreden wie „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“.
Was Quishing mit Phishing und Smishing verbindet
Quishing, Phishing und Smishing sind drei Varianten derselben Grundstrategie: Betrüger geben sich als vertrauenswürdige Absender aus und erzeugen Handlungsdruck, um Opfer zur Preisgabe sensibler Daten zu bewegen. Der Unterschied liegt nur im Übertragungsweg – E-Mail, SMS oder QR-Code.
Die Schutzprinzipien sind deshalb universell: Klicke oder scanne nichts Unerwartetes. Gib niemals Passwörter, PINs oder TANs über einen Link oder QR-Code ein, den du nicht selbst aufgerufen hast. Nutze die Zwei-Faktor-Authentifizierung für alle wichtigen Konten – wie du das in der Passwörter-App einrichtest, zeigt unser Artikel Sicheres Passwort erstellen & verwalten. Und wenn du in einem öffentlichen Netzwerk unterwegs bist, schütze deine Verbindung zusätzlich – alle Tipps dazu findest du in unserem Artikel Öffentliches WLAN sicher nutzen.
Was tun, wenn du auf Quishing hereingefallen bist?
Falls du nach dem Scannen eines QR-Codes Daten auf einer verdächtigen Seite eingegeben hast, handle sofort. Sperre deine Kredit- oder Debitkarte umgehend über den Sperr-Notruf 116 116. Ändere alle Passwörter, die du auf der Seite eingegeben hast. Kontaktiere deine Bank und informiere sie über den Vorfall – unautorisierte Transaktionen können unter Umständen noch gestoppt werden. Erstatte Anzeige bei der Polizei, auch über die Online-Wache deines Bundeslandes. Und prüfe in den folgenden Tagen deine Kontoauszüge auf unbekannte Abbuchungen.
QR-Codes scannen – aber mit Verstand
QR-Codes sind praktisch und werden nicht verschwinden. Umso wichtiger ist es, sie mit derselben Skepsis zu behandeln wie Links in E-Mails oder SMS. Die Faustregel: Wenn du einen QR-Code nicht erwartest, nicht kennst oder er dir verdächtig vorkommt – scanne ihn nicht. Nutze stattdessen offizielle Apps, tippe Adressen manuell in den Browser ein und prüfe die URL-Vorschau auf deinem iPhone, bevor du eine Seite öffnest. So bleibst du auch in einer Welt voller QR-Codes sicher. Die besten Produkte für dich: Unsere Amazon Storefront bietet eine breite Auswahl an Zubehörteilen, auch für HomeKit. (Bild: Shutterstock / ImageFlow)
- Öffentliches WLAN sicher nutzen: So schützt du dein iPhone
- iOS 26.4: Hotspot-Datenverbrauch pro Gerät anzeigen
- Smishing erkennen: So schützt du dich vor SMS-Betrug
- Sicheres Passwort erstellen & verwalten: Der Apple-Leitfaden
- WhatsApp gehackt: So schützt du dein Konto
- Phishing erkennen: So schützt du dich vor Betrug
- Apple ID erstellen, ändern und löschen: Der komplette Überblick
- iPhone Rufumleitung aktivieren: Alle Methoden unter iOS 26
- iPhone vibriert ohne Grund: Ursachen und Lösungen unter iOS 26
- AirPods verbinden und zurücksetzen: Anleitung für alle Modelle
- AirDrop funktioniert nicht: Alle Lösungen unter iOS 26
- iPhone lädt langsam: Ursachen und Lösungen unter iOS 26
- iPhone Bildschirm aufnehmen: Anleitung für iOS 26
- WLAN Passwort anzeigen auf dem iPhone: Alle Methoden unter iOS 26
- iPhone Update Probleme: Alle Lösungen unter iOS 26
- iPhone Backup erstellen: Alle Methoden unter iOS 26
- Daten auf neues iPhone übertragen: Alle Methoden unter iOS 26
- Verlauf löschen auf dem iPhone: Safari, Chrome und mehr
- Audio Zoom am iPhone deaktivieren
- iPhone Akku schnell leer: So verlängerst du die Laufzeit unter iOS 26
- iPhone zurücksetzen: Alle Reset-Methoden unter iOS 26
- iCloud Kosten: Alle Speicherpläne, Preise und welcher sich lohnt
- iPhone Anruf aufnehmen: Was in Deutschland geht – und was nicht
Häufige Fragen: Quishing erkennen
Quishing ist eine Betrugsmasche, bei der Kriminelle manipulierte QR-Codes einsetzen, um Opfer auf gefälschte Websites zu leiten. Dort werden sensible Daten wie Passwörter, Kreditkarteninformationen oder Banking-Zugänge abgegriffen. Der Begriff setzt sich aus „QR-Code“ und „Phishing“ zusammen.
Manipulierte QR-Codes werden an Parkscheinautomaten, E-Ladesäulen, in gefälschten Bankbriefen, auf Paketbenachrichtigungen, auf Plakaten im ÖPNV und in Phishing-E-Mails platziert. Betrüger überkleben häufig die originalen Codes mit professionell gestalteten Aufklebern.
Das reine Scannen eines QR-Codes ist auf dem iPhone nicht gefährlich – die Kamera zeigt zunächst nur die Ziel-URL als Vorschau an. Gefährlich wird es erst, wenn du die Seite öffnest und dort Daten eingibst oder einer Aufforderung zur Installation folgst. iOS schützt grundsätzlich vor der Installation von Apps aus unbekannten Quellen.
Achte auf sichtbare Klebestellen, Aufkleber über dem Originalcode oder Kanten, die auf eine Überklebung hindeuten. Verfügt der Automat über ein Display, scanne den Code vom Display. Nutze im Zweifel die offizielle App des Bezahldienstes statt den QR-Code am Gerät.
Ja, DHL kann QR-Codes auf echten Benachrichtigungskarten verwenden – diese leiten aber nur auf offizielle DHL-Seiten weiter und fragen niemals persönliche Daten oder Zahlungsinformationen ab. Wirst du nach dem Scannen zur Eingabe von Bankdaten, Passwörtern oder Kreditkartennummern aufgefordert, handelt es sich um Betrug. Prüfe Sendungsnummern im Zweifel immer über die offizielle Post & DHL App oder auf dhl.de.
Sperre deine Kredit- oder Debitkarte sofort über den Sperr-Notruf 116 116. Ändere alle Passwörter, die du auf der verdächtigen Seite eingegeben hast. Kontaktiere deine Bank, um unautorisierte Transaktionen zu stoppen. Erstatte Anzeige bei der Polizei und prüfe deine Kontoauszüge in den folgenden Tagen auf unbekannte Abbuchungen.
Alle drei sind Varianten derselben Strategie: Betrüger geben sich als vertrauenswürdige Absender aus, um sensible Daten zu stehlen. Der Unterschied liegt im Übertragungsweg – Phishing erfolgt per E-Mail, Smishing per SMS und Quishing über manipulierte QR-Codes. Die Schutzprinzipien sind bei allen drei Maschen identisch: nichts Unerwartetes anklicken oder scannen und niemals sensible Daten über einen ungeprüften Link eingeben.
