Stand: 2. Juni 2026. Security-Awareness, keine Panik-Sprache.
QR-Code-Phishing, oft Quishing genannt, lockt Nutzer über einen QR-Code auf gefälschte Webseiten. Gefährlich ist daran, dass der eigentliche Link vor dem Scan oft unsichtbar bleibt und viele Sicherheitsfilter ihn schlechter prüfen.
QR-Codes sind bequem. Genau deshalb mögen Angreifer sie. Ein kurzer Scan fühlt sich harmloser an als ein dubioser Link, obwohl am Ende dieselbe Falle warten kann.
Besonders fies wird es bei Briefen, Parkautomaten, Paketbenachrichtigungen und angeblichen Bankmeldungen. Da rechnet man nicht sofort mit einer manipulierten Weiterleitung.
Wo taucht Quishing auf?
Quishing taucht in E-Mails, gedruckten Schreiben, Fake-Rechnungen, Parkautomaten-Aufklebern und Messenger-Nachrichten auf.
Die Masche funktioniert, weil QR-Codes aus dem digitalen Kontext herauskommen. Ein Aufkleber auf einem Automaten wirkt erst einmal real.
Wie prüft man einen QR-Code?
Scanne nur mit einer App, die die Ziel-URL vor dem Öffnen zeigt, und prüfe Domain, Schreibweise und HTTPS.
HTTPS allein reicht nicht. Auch Betrugsseiten können Zertifikate haben. Entscheidend ist die echte Domain.
Was tun nach einem falschen Scan?
Wenn Zugangsdaten eingegeben wurden, Passwort sofort ändern, 2FA prüfen und Bank oder Anbieter kontaktieren.
Bei Zahlungsdaten zählt jede Minute. Lieber einmal zu früh sperren als später erklären, warum man gewartet hat.
Was ist die kurze Checkliste?
- Ziel-URL vor dem Öffnen anzeigen lassen.
- Keine Codes auf überklebten Schildern scannen.
- Banklinks manuell eintippen.
- Passwörter nach Fehlscan sofort ändern.
Welche Artikel passen dazu?
Welche Quellen habe ich genutzt?
Häufige Fragen
Ist jeder QR-Code gefährlich?
Nein. Gefährlich wird es, wenn Herkunft und Ziel nicht klar sind.
Hilft 2FA gegen Quishing?
Ja, sie reduziert das Risiko, ersetzt aber keine Prüfung der Zielseite.