Haben Sie schon von QR-Code-Betrug – den sogenannten „Quishing“ – gehört? QR-Codes sind aus unserem Alltag nicht mehr wegzudenken – ob in Restaurants, an Parkautomaten oder bei Online-Zahlungen. Doch genau das macht sie zu einem perfekten Werkzeug für Betrüger. Hier erklären wir wie diese Betrugsmasche funktioniert und was Sie dagegen tun können.
Video: Betrug mit QR-Codes
In unserem Video haben wir die Betrugsmaschen mit QR-Codes für Sie zusammengefasst.
Zum Aktivieren des Videos müssen Sie auf den Start-Button klicken. Wir weisen darauf hin, dass beim Starten des Videos Daten an YouTube übermittelt werden.
Was ist Quishing?
Quishing ist eine Betrugsmasche, bei der Kriminelle manipulierte QR-Codes nutzen, um ahnungslose Nutzer auf gefälschte Webseiten zu locken oder Malware zu verbreiten. Der Begriff setzt sich aus „QR“ (Quick Response) und „Phishing“ zusammen – einer Technik, die darauf abzielt, sensible Daten wie Passwörter, Kreditkartendaten oder persönliche Informationen zu stehlen.

Während Phishing-Angriffe per E-Mail oder SMS schon lange bekannt sind, ist Quishing eine relativ neue Betrugsmethode, die mit der zunehmenden Nutzung von QR-Codes aufgekommen ist. Insbesondere seit der Corona-Pandemie, als QR-Codes vermehrt für kontaktloses Bezahlen, digitale Speisekarten oder Login-Prozesse eingesetzt wurden, haben Cyberkriminelle die Schwachstellen dieser Technologie erkannt und für sich genutzt.
Wie funktioniert Quishing?
Quishing ist besonders tückisch, weil es auf eine einfache, aber effektive Methode setzt: Betrüger manipulieren QR-Codes, um Nutzer auf gefälschte Webseiten zu leiten oder Schadsoftware auf deren Geräte zu schleusen. Dabei kommen verschiedene Techniken zum Einsatz:
Erstellung gefälschter QR-Codes
Betrüger generieren täuschend echte QR-Codes, die scheinbar zu bekannten Webseiten führen – etwa zu Zahlungsportalen, Banken oder Online-Shops. Tatsächlich leiten sie aber auf betrügerische Seiten um, die darauf ausgelegt sind, sensible Daten abzufangen.
Manipulation echter QR-Codes durch Überkleben
Eine besonders perfide Methode ist das Überkleben legitimer QR-Codes. Kriminelle platzieren ihre eigenen Codes über bestehende QR-Codes an Parkautomaten, E-Ladesäulen, Restaurants oder sogar auf offiziellen Schreiben. Nutzer bemerken die Manipulation nicht und gelangen beim Scannen auf eine betrügerische Seite.
Weiterleitung auf betrügerische Webseiten
Statt auf die erwartete Webseite zu gelangen, werden Opfer unbemerkt auf eine täuschend echt aussehende Phishing-Seite weitergeleitet. Dort werden sie aufgefordert, ihre Login-Daten, Kreditkarteninformationen oder andere persönliche Daten einzugeben – die direkt in die Hände der Betrüger gelangen.
Datendiebstahl & Malware-Installation
In einigen Fällen leiten Quishing-QR-Codes nicht nur auf Phishing-Seiten, sondern starten automatisch einen Download, der Schadsoftware auf dem Smartphone installiert. Diese kann dann heimlich Daten auslesen, Banking-Apps manipulieren oder sogar komplette Identitätsdiebstähle ermöglichen.
Welche Gefahren gehen von Quishing aus?
Quishing ist nicht nur eine lästige Betrugsmasche – die Folgen können gravierend sein. Von finanziellen Verlusten bis hin zum kompletten Identitätsdiebstahl reichen die möglichen Schäden für Betroffene.
Identitätsdiebstahl
Sobald Nutzer ihre persönlichen Daten auf einer gefälschten Webseite eingeben, geraten sie direkt in die Hände von Cyberkriminellen. Gestohlene Login-Daten können missbraucht werden, um Bankkonten, Social-Media-Profile oder E-Mail-Accounts zu übernehmen. In einigen Fällen werden diese Daten im Darknet weiterverkauft.
Finanzielle Schäden
Besonders gefährlich wird es, wenn Betrüger über Quishing Zugriff auf Kreditkarteninformationen oder Online-Banking-Daten erhalten. Sie können unberechtigt Geld abbuchen, teure Einkäufe tätigen oder betrügerische Transaktionen durchführen, die oft erst spät entdeckt werden.
Malware-Risiko & Smartphone-Übernahme
Quishing kann auch dazu genutzt werden, Schadsoftware auf das Smartphone des Opfers zu schleusen. Diese Malware kann:
- Tastatureingaben aufzeichnen (z. B. Passwörter und PINs)
- Banking-Apps manipulieren
- Das Gerät komplett übernehmen und Daten stehlen
Erpressung & Betrug durch Social Engineering
Sind einmal persönliche Daten abgegriffen, nutzen Kriminelle sie oft für weiterführende Betrugsmaschen. Sie können sich beispielsweise als ein bekannter Kontakt ausgeben und versuchen, Geld zu erpressen – etwa durch WhatsApp-Betrug („Mama, ich habe eine neue Nummer…“) oder CEO-Fraud in Unternehmen.
Wo tritt Quishing besonders häufig auf?
Quishing kann überall dort zuschlagen, wo QR-Codes für schnelle und bequeme Interaktionen genutzt werden. Besonders gefährdet sind Orte und Situationen, in denen Nutzer unbewusst Codes scannen, ohne sie zu hinterfragen.
Öffentliche Orte: Manipulierte QR-Codes im Alltag
Wo finden Sie manipulierte QR-Codes in der Öffentlichkeit (Beispiele):
- Parkautomaten & E-Ladesäulen – Betrüger überkleben echte QR-Codes mit gefälschten Zahlungslinks.
- Bahnhöfe & Bushaltestellen – Gefälschte Codes auf Fahrplänen oder Ticketautomaten leiten auf Phishing-Seiten.
- Spendenboxen für Wohltätigkeitsorganisationen – Kriminelle überkleben echte QR-Codes auf Spendenboxen, sodass das Geld nicht an die Organisation, sondern direkt an die Betrüger fließt.
- Windschutzscheibe-Betrug – Falsche Strafzettel mit QR-Codes täuschen Zahlungsaufforderungen vor.
- Manipulierte Speisekarten – Überklebte QR-Codes leiten zu Zahlungsaufforderungen statt zur Menükarte.
- Gefälschte WLAN-Login-Codes – In Hotels platzierte QR-Codes für „kostenfreies WLAN“ fangen Login-Daten ab.
- Zimmerservice-Scams – Fake-Codes auf Hotelbroschüren führen zu betrügerischen Zahlungsseiten.
Online-Fallen und gefälschte Briefe
- Kleinanzeigen-Betrug – Verkäufer oder Käufer erhalten gefälschte Zahlungslinks per QR-Code.
- „Rabatt-Coupons“ auf Social Media – Betrüger locken mit vermeintlichen Gutscheinen und leiten auf Phishing-Seiten um.
- Falsche Sendungsverfolgung – QR-Codes an Haustüren oder in SMS leiten auf Fake-DHL-Seiten.
- Fake-Briefe & E-Mails von Banken oder Behörden – Offiziell aussehende Schreiben fordern zur „Sicherheitsüberprüfung“ per QR-Code auf.
- Gefälschte Steuer- oder Gebührenbescheide – Opfer erhalten täuschend echte Briefe mit angeblichen Nachzahlungen, die per QR-Code beglichen werden sollen. Die Betrüger kassieren das Geld direkt.
Echte Quishing-Fälle – Beispiele aus der Praxis
Fall 1: Konto leergeräumt nach Scan eines gefälschten Bank-QR-Codes
Michael S. wollte Geld auf ein neues Online-Konto überweisen. Beim Login über seinen Laptop wurde ihm ein QR-Code zur Verknüpfung mit der Banking-App angezeigt. Nichtsahnend scannte er den Code mit seinem Smartphone und gab den Bestätigungscode ein. Doch statt sich einzuloggen, erhielt er eine Fehlermeldung. Als er es über die App erneut versuchte, war sein gesamtes Guthaben verschwunden – die Betrüger hatten über den QR-Code seine Zugangsdaten abgegriffen und das Konto geplündert. Schutz: Niemals eine Bank-Login-Seite über Google suchen und verdächtige QR-Codes vor dem Scannen prüfen!
Fall 2: Gefälschte QR-Codes an Parkautomaten – Bezahldaten gestohlen
Lisa M. parkte in der Innenstadt und wollte bequem mit dem Handy zahlen. Sie scannte den QR-Code auf dem Parkautomaten, der sie scheinbar zur gewohnten Bezahlseite führte. Doch nach Eingabe ihrer Kreditkartendaten erhielt sie keine Bestätigung. Erst später bemerkte sie mehrere unbefugte Abbuchungen von ihrem Konto – der QR-Code hatte nicht zur echten Park-App, sondern zu einer täuschend echten Betrugsseite geführt. Schutz: QR-Codes an öffentlichen Automaten immer kritisch prüfen – ist er überklebt oder sieht verdächtig aus? Im Zweifel lieber eine offizielle App direkt öffnen.
Wie kann man sich vor Quishing schützen?
Quishing funktioniert nur, wenn Nutzer arglos einen QR-Code scannen und darauf vertrauen, dass er sie zur richtigen Seite führt. Doch mit ein wenig Vorsicht lässt sich das Risiko erheblich minimieren.
QR-Codes genau prüfen
Bevor man einen QR-Code scannt, sollte man sich fragen: Ist dieser Code wirklich vertrauenswürdig? In öffentlichen Bereichen, an Parkautomaten oder auf Werbeplakaten können Betrüger leicht gefälschte Codes überkleben. Besonders verdächtig sind QR-Codes, die unsauber gedruckt wirken oder optisch nicht zu ihrer Umgebung passen. In solchen Fällen kann es helfen, mit der Hand leicht darüber zu streichen – klebt etwas darüber, könnte es eine Manipulation sein.
Lieber die URL manuell eingeben
Wenn ein QR-Code zu einer Login-Seite führt, ist Vorsicht geboten. Banken, Zahlungsdienstleister oder offizielle Behörden bitten selten bis nie darum, sich über einen QR-Code einzuloggen. Wer sich unsicher ist, sollte die Webseite stattdessen direkt in die Adressleiste des Browsers eintippen oder die offizielle App des Anbieters nutzen.
Keine sensiblen Daten ohne Prüfung eingeben
Auch wenn die Webseite auf den ersten Blick legitim aussieht, sollte man niemals direkt nach dem Scannen eines QR-Codes vertrauliche Daten wie Passwörter oder Kreditkartennummern eingeben. Eine einfache Überprüfung der URL kann helfen: Ist sie korrekt geschrieben? Gibt es ungewöhnliche Zeichen oder Abweichungen vom Original? Im Zweifel lohnt sich eine kurze Internetrecherche, um die Echtheit der Seite zu überprüfen.
Sichere QR-Scanner und Zwei-Faktor-Authentifizierung nutzen
Einige QR-Scanner-Apps bieten die Möglichkeit, die Zieladresse eines QR-Codes anzuzeigen, bevor die Seite geöffnet wird. Diese Funktion kann dabei helfen, verdächtige Links zu erkennen, bevor es zu spät ist. Ein zusätzlicher Schutzmechanismus ist die Zwei-Faktor-Authentifizierung: Selbst wenn Betrüger an Login-Daten gelangen, benötigen sie noch einen weiteren Bestätigungscode, um auf das Konto zugreifen zu können.
Regelmäßige Kontoüberprüfung nicht vergessen
Sollte doch einmal ein verdächtiger QR-Code gescannt worden sein, ist es wichtig, schnell zu reagieren. Ein Blick auf die letzten Transaktionen im Online-Banking oder eine Prüfung der Kontobewegungen kann helfen, Betrug frühzeitig zu erkennen. Ungewöhnliche Abbuchungen sollten sofort der Bank gemeldet werden, um Schäden zu begrenzen.
Checkliste: So schützt du dich vor Quishing
- QR-Codes genau prüfen: Sieht er überklebt oder verdächtig aus? Lieber direkt nachfragen oder alternative Wege nutzen.
- Keine sensiblen Daten nach dem Scannen eingeben: Login-Daten oder Zahlungsinformationen nur auf sicher bekannten Seiten eingeben.
- URL immer kontrollieren: Vor dem Öffnen prüfen, ob die Adresse echt und korrekt geschrieben ist.
- QR-Scanner mit Vorschaufunktion nutzen: Manche Apps zeigen die Zieladresse an, bevor sie geöffnet wird.
- Bank- und Zahlungsseiten immer manuell aufrufen: Nie per QR-Code einloggen – gib die Adresse direkt in den Browser ein.
- Zwei-Faktor-Authentifizierung aktivieren: Schützt deine Konten selbst dann, wenn Login-Daten gestohlen wurden.
- Kontoauszüge regelmäßig prüfen: Unbekannte Abbuchungen sofort bei der Bank melden.
- Verdächtige QR-Codes oder Betrugsversuche melden: Polizei oder Verbraucherzentralen informieren, um andere zu schützen.
Teste deine QR-Code-Scanner-App mit unserem Sicherheits-Check!
Bist du sicher, dass deine QR-Code-App dir die Zieladresse anzeigt, bevor du sie öffnest? Mit unserem Test-QR-Code kannst du es herausfinden!
Scanne den Code mit deiner App – wenn sie dir vorher die richtige URL anzeigt (YouTube-Kanal von Philognosie: https://www.youtube.com/@Philognosie), dann arbeitet sie sicherheitsbewusst. Falls nicht, solltest du vielleicht über eine bessere App nachdenken.

Rechtliche Schritte: Wie Quishing in Deutschland bestraft wird
Scham hält viele Menschen davon ab, einen Betrug zu melden. Das Problem? Die Täter bleiben unerkannt und machen weiter. Dabei gibt es keinen Grund, sich schuldig zu fühlen – die Schuld liegt allein bei den Kriminellen.
Quishing ist kein harmloser Streich, sondern eine Straftat. Betrüger, die mit gefälschten QR-Codes Daten oder Geld erbeuten, machen sich mindestens des Betrugs (§ 263 StGB) schuldig. Je nach Vorgehensweise kommen weitere Straftatbestände wie Datenveränderung (§ 303a StGB) oder Computerbetrug (§ 263a StGB) hinzu.
Anzeige erstatten
Wenn Sie Opfer eines Quishing-Angriffs geworden sind oder einen solchen Verdacht haben, sollten Sie umgehend eine Strafanzeige erstatten. In Deutschland kann dies auf verschiedenen Wegen erfolgen:
- Persönlich: Bei jeder Polizeidienststelle können Sie direkt Anzeige erstatten. Die Beamt:innen nehmen Ihre Aussage auf und leiten alle notwendigen Schritte ein.
- Online: Viele Bundesländer bieten mittlerweile Onlinewachen an, über die Sie bequem von zu Hause aus eine Anzeige erstatten können. (Bitte beachten Sie, dass nicht alle Bundesländer diesen Service anbieten.)
- Schriftlich: Sie können Ihre Anzeige auch schriftlich bei der zuständigen Staatsanwaltschaft oder dem Amtsgericht einreichen.
Wichtigkeit der Anzeigeerstattung
Das Erstatten einer Anzeige ist nicht nur Ihr Recht, sondern auch ein wichtiger Beitrag zur Strafverfolgung. Durch Ihre Meldung können die Behörden Muster erkennen, Ermittlungen einleiten und möglicherweise weitere Personen vor Schaden bewahren. Zudem kann eine Anzeige dazu beitragen, dass Sie als Geschädigte:r Schadensersatzansprüche geltend machen können.
Schadensersatzansprüche
Als Opfer eines Quishing-Angriffs haben Sie unter Umständen Anspruch auf Schadensersatz. Dies setzt voraus, dass der oder die Täter:in ermittelt und verurteilt wird. In einigen Fällen kann auch geprüft werden, ob Dritte, wie beispielsweise Betreiber manipulierter Geräte, eine Mitschuld tragen und haftbar gemacht werden können.
Prävention durch rechtliche Maßnahmen
Neben der Strafverfolgung setzen deutsche Behörden und Institutionen auf Prävention. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) warnt beispielsweise regelmäßig vor aktuellen Betrugsmaschen wie Quishing und gibt Hinweise, wie sich Verbraucher schützen können. BaFin
Abschließend ist es wichtig, wachsam zu bleiben und bei Verdacht auf Betrug nicht zu zögern, die entsprechenden Stellen zu informieren. Nur so kann gemeinsam gegen solche kriminellen Machenschaften vorgegangen werden.
Fazit: Wachsam bleiben, aber keine Panik!
Quishing ist eine hinterhältige Betrugsmasche, die sich unsere Gewohnheit zunutze macht, QR-Codes schnell und unbedacht zu scannen. Die Täter sind Profis und wissen genau, wie sie Menschen in die Falle locken. Doch mit etwas Aufmerksamkeit und ein paar einfachen Vorsichtsmaßnahmen kannst du dich effektiv schützen.
Der wichtigste Tipp: Sei skeptisch bei QR-Codes, die du nicht selbst angefordert hast – vor allem, wenn es um Zahlungen oder persönliche Daten geht. Und wenn doch etwas passiert? Dann schäme dich nicht, sondern handle schnell und melde den Vorfall. Je mehr Menschen Betrug anzeigen, desto schwerer wird es für die Täter, unentdeckt weiterzumachen.
Die Angabe des Namens ist optional.
Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung, Verarbeitung und Veröffentlichung der angegebenen Daten durch diese Website einverstanden. Mehr Informationen finden Sie in unserer Datenschutzerklärung.