Eine Verbraucherin will eine Laptoptasche auf Kleinanzeigen verkaufen — und verliert fast 5.000 Euro. Der vermeintliche Käufer schickte ihr einen QR-Code zur „Zahlungsbestätigung“. Nach dem Scan war das Konto leer. Was nach einem Einzelfall klingt, ist längst eine Massenmasche. Das Bundesamt für Sicherheit in der Informationstechnik stuft Quishing — QR-Code-Phishing — als „akute Bedrohung“ ein. Allein zwischen August und November 2025 hat sich die Zahl schädlicher QR-Codes verfünffacht. Dieser Artikel zeigt, wo die Fallen lauern, wie das organisierte Verbrechen dahintersteckt und was Sie tun können, wenn es Sie erwischt hat.

Ein Scan, 5.000 Euro weg — so schnell geht es

Im Januar 2025 stellte eine Verbraucherin eine gebrauchte Laptoptasche auf Kleinanzeigen ein. Ein Interessent meldete sich, wirkte seriös, stellte die üblichen Fragen. Dann schickte er einen QR-Code — angeblich zur Kaufbestätigung über den Bezahldienst der Plattform.

Die Verkäuferin scannte den Code. Er führte auf eine Seite, die täuschend echt wie das Kleinanzeigen-Bezahlsystem aussah. Sie gab ihre Bankdaten ein, um die vermeintliche Zahlung zu empfangen. Auf dem Bildschirm erschien: „Vorgang dauert etwa 5 Minuten.“

In diesen fünf Minuten räumten die Betrüger ihr Konto leer. Fast 5.000 Euro — für eine Laptoptasche im Wert von vielleicht 30 Euro.

Die Verbraucherzentrale Niedersachsen, die den Fall dokumentierte, betont: Solche Fälle häufen sich seit 2024 rapide. Die Masche funktioniert, weil QR-Codes blind vertraut wird. Niemand tippt die URL ab, niemand prüft, wohin der Scan tatsächlich führt. Und genau das nutzen Kriminelle systematisch aus — nicht nur auf Kleinanzeigen, sondern an Orten, an denen Sie QR-Codes niemals hinterfragen würden.

Laut Bitkom sind bereits 2 Prozent aller deutschen Internetnutzer Opfer von Quishing geworden — bei einer Anzeigenquote von nur 26 Prozent dürfte die tatsächliche Zahl deutlich höher liegen. Der durchschnittliche Schaden pro Fall: 219 Euro. Die Gesamtsumme geht in die Millionen.

Die 10 Maschen: Wo gefälschte QR-Codes lauern

1. Gefälschte Bankbriefe

Die dreisteste Variante kommt per Post: täuschend echte Briefe im Corporate Design von Sparkassen, Volksbanken, Commerzbank, Deutsche Bank, ING, Postbank oder Targobank. Hochwertiges Papier, korrektes Logo, offizielle Kontaktdaten. Nur der QR-Code darin ist gefälscht — er führt auf eine nachgebaute Banking-Login-Seite.

In einem dokumentierten Fall wurden rund 40.000 solcher Briefe verschickt. Die Opfer geben Login-Daten und TAN ein, in dem Glauben, einen Sicherheitscheck durchzuführen. Die Betrüger haben dann vollen Kontozugang.

Erkennungsmerkmale: Generische Anrede statt persönlicher Name, künstliche Dringlichkeit („Ihr Konto wird gesperrt“) und subtile URL-Tricks — etwa „commerzbank.de-123.com“ statt „commerzbank.de/123″.

Im Februar 2026 warnte die Polizei Stendal vor einer „verbesserten“ Welle gefälschter Volksbank-Briefe — die Fälschungen werden immer besser. Das LKA Niedersachsen, die BaFin und die Verbraucherzentralen in NRW, Niedersachsen und Bremen haben inzwischen alle offizielle Warnungen herausgegeben.

2. Parkautomaten

In Kassel klebten Betrüger gefälschte QR-Codes auf mehr als 300 Parkscheinautomaten — professionelle Aufkleber im EasyPark-Design. Wer scannte und bezahlte, landete auf einer gefälschten Zahlungsseite. Besonders perfide: Die Seite leitete nach wenigen Sekunden über einen externen Server zur echten EasyPark-Seite weiter. Die Opfer bemerkten nichts, die Kreditkartendaten waren aber bereits abgefangen.

Ähnliche Fälle sind aus Hannover, Frankfurt, Celle (vierstelliger Schaden), Köln, Dortmund und Berlin dokumentiert. EasyPark stellte klar: „Wir verwenden niemals selbstklebende QR-Codes auf unseren Schildern.“

3. E-Ladesäulen

An Ladesäulen kleben Betrüger gefälschte QR-Codes über die echten Bezahl-Codes. Die Taktik ist doppelt perfide: Beim ersten Scan erscheint eine Fehlermeldung — während im Hintergrund die Bankdaten abgegriffen werden. Beim zweiten Scan wird zur echten Seite weitergeleitet. Der Nutzer denkt, es habe einfach nicht funktioniert, und vergisst den Vorfall.

Teilweise setzen Täter sogar Signalstörer ein, um die Nutzung regulärer Apps zu verhindern und den QR-Code-Scan zu erzwingen. In Berlin fand der Ladenetzbetreiber Ubitricity an knapp 30 Säulen gefälschte Sticker. IONITY und EnBW veröffentlichten offizielle Betrugswarnungen. Der ADAC fordert: dynamische QR-Codes auf Displays statt aufgeklebter Codes.

Bei über 600.000 öffentlichen Ladepunkten in Europa ist jeder einzelne ein potenzielles Angriffsziel.

4. Gefälschte Strafzettel

Unter dem Scheibenwischer: täuschend echte Verwarnungsgelder mit QR-Code zur „bequemen Online-Bezahlung“. Die gefälschten Knöllchen sehen aus wie offizielle Dokumente, mit Aktenzeichen, Datum und konkretem Bußgeldbetrag. Wer scannt und bezahlt, überweist nicht an die Stadtkasse, sondern an Kriminelle. Die Masche ist aus Berlin und weiteren Städten bekannt. Echte Strafzettel enthalten in der Regel keinen QR-Code zur Direktzahlung — im Zweifel über die Website der Stadtverwaltung prüfen.

5. DHL-Paketbenachrichtigungen

Flyer im Briefkasten: „Sendung verpasst — kein Problem.“ Ein QR-Code führt angeblich zur DHL-Seite, um eine Ersatzzustellung zu beauftragen. Tatsächlich landen die Opfer auf einer gefälschten Seite und geben Name, Adresse und Bankverbindung preis.

Wichtiger Fakt: DHL verwendet auf echten Benachrichtigungszetteln keine QR-Codes. Jeder Paketzettel mit QR-Code ist eine Fälschung. Im Januar 2026 warnte die Polizei Thüringen vor gehäuften Fällen.

6. ÖPNV-Plakate

Im Dezember 2024 hängten Betrüger gefälschte Plakate in Busse und Straßenbahnen der Rheinbahn Düsseldorf: „10.000 Deutschlandtickets zu gewinnen.“ Die Plakate bestanden aus zwei zusammengeklebten DIN-A4-Seiten — der QR-Code darauf führte auf eine Seite zum Identitätsdiebstahl. Die Verbraucherzentrale NRW warnte ausdrücklich vor dieser Masche. Das Tückische: In öffentlichen Verkehrsmitteln erwartet man offizielle Werbung. Wer denkt schon daran, dass ein Plakat in der Straßenbahn gefälscht sein könnte?

7. Kleinanzeigen

Der eingangs beschriebene Fall ist kein Einzelfall. Die Masche läuft immer gleich: Betrüger geben sich als Käufer aus, zeigen großes Interesse am angebotenen Artikel und senden dann eine gefälschte „Zahlungsbestätigung“ mit QR-Code. Die gefälschte Seite imitiert das Bezahlsystem der Plattform. Wer scannt und seine Bankdaten eingibt, verliert Geld — nicht selten vierstellige Beträge. Besonders dreist: Die Betrüger wählen bewusst niedrigpreisige Artikel, weil Verkäufer dort weniger Misstrauen haben. Wer eine Laptoptasche für 30 Euro verkauft, rechnet nicht mit einem Betrug über 5.000 Euro.

8. Phishing-E-Mails mit QR-Code

Statt eines anklickbaren Links enthalten Phishing-Mails zunehmend QR-Codes. Das Kalkül: E-Mail-Sicherheitsfilter scannen Text-URLs, aber ein QR-Code ist für sie nur ein harmloses Bild. Gefälschte E-Mails von Spotify, Disney+, Microsoft 365 oder dem ADAC fordern auf: „Scannen Sie diesen Code, um Ihr Konto zu verifizieren.“

Die Methode ist inzwischen so verbreitet, dass QR-Codes laut verschiedenen Sicherheitsforschern zwischen 18 und 26 Prozent aller Phishing-Angriffe ausmachen. Besonders perfide: Die Mails zielen darauf ab, dass Empfänger am geschützten Firmen-PC sitzen, aber den Code mit dem privaten Smartphone scannen — außerhalb des Unternehmensnetzwerks und ohne Firmen-Sicherheitssoftware.

9. Restaurants und Speisekarten

Seit Corona sind QR-Speisekarten allgegenwärtig — 75 Prozent aller Restaurants weltweit nutzen sie. Betrüger kleben gefälschte QR-Codes über die echten Codes auf Restauranttischen. Statt der Speisekarte öffnet sich eine Phishing-Seite, die Kreditkartendaten oder persönliche Informationen abfragt. In einer Umgebung, in der man entspannt essen möchte, ist die Aufmerksamkeit naturgemäß niedrig. Besonders Touristen im Ausland sind gefährdet, weil sie gefälschte Seiten in einer fremden Sprache noch schwerer von echten unterscheiden können.

10. Zählerstand-Mitteilungen

Seriös wirkende Schreiben, die zum Ablesen des Wasser- oder Stromzählers auffordern, enthalten einen QR-Code zur „bequemen Online-Übermittlung“. Über zwischengeschaltete Werbeseiten schließen Opfer unwissentlich kostenpflichtige Streaming-Abos ab. Die monatlichen Kosten von oft 9,99 oder 14,99 Euro fallen erst Wochen später auf den Kontoauszügen auf — wenn überhaupt.

Wo Sie besonders vorsichtig sein müssen

Parkautomaten, E-Ladesäulen und Bankbriefe sind die drei häufigsten Angriffspunkte in Deutschland. Aber auch DHL-Benachrichtigungen, ÖPNV-Plakate und Kleinanzeigen-Nachrichten sind gängige Vektoren.

Jeder physisch aufgeklebte QR-Code im öffentlichen Raum ist potenziell manipuliert. Prüfen Sie grundsätzlich, ob der Code aufgeklebt oder original aufgedruckt ist — und scannen Sie im Zweifelsfall nicht. Rufen Sie stattdessen die gewünschte Seite manuell im Browser auf.

Dokumentierte Schadensfälle in Deutschland

Wann Wo Was Schaden
Jan 2025 Kleinanzeigen (bundesweit) Laptoptasche-Verkauf, QR-Code des „Käufers“ gescannt ~5.000 EUR
Sep 2025 Jülich (Kreis Düren) Unbefugte Online-Transaktionen nach QR-Scan ~1.000 EUR
Jun 2025 Kassel 300+ Parkautomaten mit gefälschten QR-Codes Unbekannt
Ende 2024 Frankfurt Manipulierte QR-Codes an Parkautomaten Kreditkartendaten
Nov 2024 Hannover Überklebte EasyPark-QR-Codes Kreditkartendaten
Dez 2024 Düsseldorf Gefälschte Rheinbahn-Plakate in Bussen Identitätsdiebstahl
2024/2025 Berlin E-Ladesäulen mit gefälschten QR-Stickern Kein Schaden bekannt
Feb 2026 Stendal (Sachsen-Anhalt) „Verbesserte“ gefälschte Volksbank-Briefe Laufende Ermittlungen
2025 Celle Überklebter QR-Code an Parkautomaten Vierstelliger Schaden
Jan 2026 Thüringen Gefälschte DHL-Paketbenachrichtigungen Unbekannt

Warum Ihr Smartphone Sie nicht schützt

Das Kernproblem: Ein QR-Code ist technisch gesehen ein Bild. E-Mail-Sicherheitsfilter und Antivirenprogramme scannen Text-URLs auf bekannte Bedrohungen — aber ein Bild mit eingebettetem Code? Dafür sind die meisten Systeme blind.

Dazu kommt: Die Ziel-URL ist vor dem Scan unsichtbar. Bei einem Link in einer E-Mail können Sie mit der Maus darüberfahren und sehen, wohin er führt. Bei einem QR-Code müssen Sie erst scannen — und dann ist der Klick oft schon passiert.

Ein weiteres Problem ist der Gerätewechsel. Phishing-Mails mit QR-Code zielen darauf ab, dass Sie am geschützten Firmen-PC sitzen, aber den Code mit dem privaten Smartphone scannen. Ihr Arbeitgeber hat vielleicht teure Sicherheitssoftware — Ihr privates Smartphone nicht.

Und schließlich: Corona hat das Vertrauen in QR-Codes massiv erhöht. Impfzertifikate, Speisekarten, Check-ins — wir wurden zwei Jahre lang darauf trainiert, jeden QR-Code bedenkenlos zu scannen. Weltweit wurden 2025 über eine Billion QR-Codes gescannt, 59 Prozent der Verbraucher scannen täglich mindestens einen. Dieses antrainierte Verhalten ist der größte Verbündete der Betrüger.

Besonders gefährdet sind ältere Menschen, die weniger Erfahrung mit Online-Bedrohungen haben und auf kleinen Smartphone-Bildschirmen verdächtige URLs noch schwerer erkennen. Aber auch E-Auto-Fahrer, die an jeder Ladesäule einen QR-Code scannen müssen, und Arbeitnehmer, die QR-Codes aus vermeintlichen Firmen-Mails auf dem privaten Smartphone scannen, sind bevorzugte Zielgruppen.

Fortgeschrittene Angriffstechniken

Die Angreifer werden technisch immer raffinierter. Seit Januar 2026 bestehen bereits 12 Prozent aller Quishing-Angriffe aus sogenannten ASCII-QR-Codes — QR-Codes, die aus HTML-Textzeichen statt aus Bilddateien aufgebaut sind. Herkömmliche Bilderkennungssoftware versagt daran vollständig.

Weitere Methoden: Bei Split-QR-Codes wird der schädliche Code in mehrere Bildfragmente aufgeteilt, die einzeln harmlos erscheinen, zusammengesetzt aber auf eine Phishing-Seite führen. Nested QR-Codes verstecken schädlichen Code innerhalb eines legitimen Codes. Und beim Man-in-the-Middle-Proxy — wie im Kasseler Parkautomaten-Fall — wird der Datenverkehr nur für Sekundenbruchteile über einen Fremdserver umgeleitet, bevor alles normal weiterläuft.

Quishing vs. klassisches Phishing — der Vergleich

Merkmal E-Mail-Phishing Quishing
Erkennung durch Spamfilter Hoch Niedrig (Bild statt Text)
Gerätewechsel Bleibt am PC Wechsel aufs Smartphone
Vertrauensniveau E-Mails werden zunehmend misstraut QR-Codes gelten als „sicher“
URL-Sichtbarkeit URL ist sichtbar URL ist versteckt
Physische Präsenz Rein digital Auch physisch (Aufkleber, Briefe)

KI macht die Fälschungen perfekt

Das alte Erkennungsmerkmal für Phishing ist tot: Rechtschreibfehler, holpriges Deutsch, seltsame Formulierungen — all das war jahrelang ein zuverlässiges Warnsignal. Heute nicht mehr.

Laut KnowBe4 enthalten 82,6 Prozent aller Phishing-E-Mails KI-generierte Elemente. Künstliche Intelligenz produziert fehlerfreie, stilsichere Texte in jeder Sprache — in Sekunden. Recorded Future dokumentierte, dass Kriminelle mit verfügbaren KI-Tools 1.000 individualisierte Phishing-Mails in unter zwei Stunden generieren können. Kosten: rund 10 Dollar.

Die Infrastruktur dahinter ist inzwischen industriell. Die Anzahl sogenannter Phishing-as-a-Service-Baukästen hat sich 2025 verdoppelt. Systeme wie Tycoon 2FA oder Mamba 2FA bieten Kriminellen schlüsselfertige Lösungen — inklusive gefälschter Webseiten, QR-Code-Generatoren und automatisierter Datenabschöpfung.

Die Zahlen sprechen für sich: Die Anzahl KI-gestützter Phishing-Bedrohungen ist gegenüber dem Vorjahr um 285 Prozent gestiegen. Und nur 36 Prozent der Opfer erkennen überhaupt, dass sie angegriffen werden.

Die nächste Eskalationsstufe zeichnet sich bereits ab: Vishing — Voice-Phishing mit KI-generierten Stimmen. Täuschend echte Anrufe, die klingen wie der eigene Bankberater. In Kombination mit Quishing entsteht ein Angriffsvektor, gegen den herkömmliche Warnhinweise kaum noch helfen.

Das alte Erkennungsmerkmal ist tot

„Achten Sie auf Rechtschreibfehler“ war jahrelang der Standardtipp gegen Phishing. Dieser Rat ist überholt. KI-generierte Texte sind grammatikalisch einwandfrei und stilistisch kaum von echten Mitteilungen zu unterscheiden. Verlassen Sie sich stattdessen auf die URL-Prüfung und Ihr gesundes Misstrauen.

300 Millionen Euro — Das organisierte Verbrechen hinter dem QR-Code

Quishing ist kein Gelegenheitsdelikt von Einzeltätern. Hinter den QR-Code-Betrügereien steckt organisierte Kriminalität im großen Stil.

Im November 2025 zerschlug die „Operation Chargeback“ ein globales Betrugsnetzwerk: 18 Verhaftungen in neun Ländern, darunter Deutschland, 60 Hausdurchsuchungen. Das Netzwerk, bekannt als „Aether Group“, operierte aus Dubai und unterhielt über 1.000 betrügerische Websites und 300 Scheinfirmen.

Die Zahlen sind erschütternd: 4,3 Millionen Opfer in mehr als 190 Ländern, 20 Millionen betrügerische Abo-Transaktionen, geschätzte Einnahmen von 300 Millionen Euro. Der Zahlungsdienstleister Worldline verarbeitete für das Netzwerk 50 Millionen Pfund pro Jahr — trotz interner Warnungen, wie investigative Journalisten des Bureau of Investigative Journalism aufdeckten.

Die internationale Dimension zeigt das Ausmaß: In Großbritannien waren 123 von 373 Kommunen von manipulierten Parkautomaten betroffen. In Sheffield trugen alle 370 Parkautomaten gefälschte QR-Codes. Über 20 Krankenhäuser wurden Ziel von Quishing-Angriffen. Die Verluste allein in Großbritannien: 3,5 Millionen Pfund in zwölf Monaten.

In den USA waren 2025 bereits 26 Millionen Menschen betroffen. In den Niederlanden ist jeder Zehnte Opfer von QR-Code-Betrug geworden — und 75 Prozent der Bevölkerung wissen nicht, wie man QR-Codes sicher nutzt. In Den Haag mussten 70 gefälschte QR-Aufkleber von Parkautomaten entfernt werden.

Die durchschnittlichen Kosten einer Datenpanne, die durch Phishing verursacht wurde, liegen global bei 4,45 Millionen US-Dollar. Führungskräfte werden 42-mal häufiger angegriffen als gewöhnliche Angestellte — weil bei ihnen mehr zu holen ist.

Quishing in Zahlen

  • 5-fache Zunahme schädlicher QR-Codes zwischen August und November 2025 (47.000 auf 250.000)
  • Rund 11.250 schädliche QR-Codes werden täglich erkannt
  • 26 Millionen Amerikaner waren 2025 betroffen
  • 61 Prozent der deutschen Internetnutzer wurden Opfer von Cybercrime
  • 2 Prozent aller deutschen Internetnutzer sind bereits Quishing-Opfer
  • Durchschnittlicher Schaden in Deutschland: 219 Euro
  • Nur 26 Prozent der Betroffenen erstatten Anzeige
  • Führungskräfte werden 42-mal häufiger angegriffen als normale Angestellte

Ihr Recht: Wann die Bank zahlen muss

Wer Opfer von Quishing wird, steht rechtlich nicht schutzlos da. Das Bürgerliche Gesetzbuch ist hier eindeutig:

§ 675u BGB regelt: Bei einem nicht autorisierten Zahlungsvorgang muss die Bank den Betrag unverzüglich erstatten. Sie haben das Geld nicht wissentlich überwiesen — also war die Zahlung nicht autorisiert.

§ 675v Abs. 1 BGB begrenzt Ihre Eigenbeteiligung: Selbst wenn Sie leicht fahrlässig gehandelt haben — also den QR-Code gescannt und Ihre Daten eingegeben haben —, haften Sie mit maximal 50 Euro. Alles darüber muss die Bank tragen.

Der Knackpunkt ist die Abgrenzung zwischen einfacher und grober Fahrlässigkeit. Bei grober Fahrlässigkeit entfällt der Erstattungsanspruch. Das BGH-Urteil vom 22. Juli 2025 (Aktenzeichen XI ZR 107/24) hat hier Leitlinien gesetzt: Wer unter professionellem Social Engineering einmalig einen Fehler begeht, handelt nicht grob fahrlässig — das ist ein „entschuldbares Augenblicksversagen“. Grobe Fahrlässigkeit liegt erst vor, wenn jemand mehrfach TANs freigibt, mit zeitlichem Abstand und trotz Warnhinweisen.

Entscheidend: Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank, nicht bei Ihnen.

Gerichte stärken zunehmend die Position der Opfer. Das Landgericht Hannover verurteilte im Januar 2025 eine Volksbank zur Erstattung von rund 17.000 Euro. Das Landgericht Berlin verurteilte eine Bank zur vollständigen Rückzahlung — kein Haftungsausschluss bei einfacher Fahrlässigkeit. Die Tendenz der Rechtsprechung ist klar: Wer auf professionelles Social Engineering hereinfällt, handelt in der Regel nicht grob fahrlässig.

Wichtig: Handeln Sie schnell. Je länger Sie warten, desto schwieriger wird die Rückerstattung. Melden Sie den Vorfall innerhalb von 24 Stunden bei Ihrer Bank — schriftlich, nicht nur telefonisch.

So fordern Sie Ihr Geld zurück

  1. Schreiben Sie Ihrer Bank innerhalb von 24 Stunden und fordern Sie die Erstattung nach § 675u BGB. Schriftlich, nicht telefonisch.
  2. Legen Sie die Polizeianzeige bei — sie belegt, dass Sie Opfer einer Straftat wurden.
  3. Dokumentieren Sie alles: Screenshot der gefälschten Seite (falls noch möglich), den QR-Code, alle Nachrichten des Betrügers.
  4. Wenn die Bank ablehnt: Schalten Sie einen Rechtsanwalt für Bankrecht ein. Die Erfolgsquote vor Gericht ist hoch.

Notfall-Anleitung: 8 Schritte wenn Sie Opfer wurden

Wenn Sie einen verdächtigen QR-Code gescannt und Daten eingegeben haben, zählt jede Minute. Handeln Sie sofort:

Sofort handeln: 8 Schritte für Opfer

  1. Karte und Konto sofort sperren. Rufen Sie den Sperr-Notruf 116 116 an — kostenlos, rund um die Uhr erreichbar. Dieser Notruf sperrt Bankkonten, Kreditkarten und elektronische Berechtigungen.
  2. Passwörter sofort ändern. Nicht nur das betroffene Konto — überall, wo Sie dasselbe oder ein ähnliches Passwort verwenden.
  3. Bank informieren und Erstattung fordern. Schriftlich auf § 675u BGB verweisen. Nicht nur anrufen, sondern per E-Mail oder Brief dokumentieren.
  4. Polizeianzeige erstatten. Persönlich bei der nächsten Dienststelle oder über die Onlinewache Ihres Bundeslandes.
  5. KUNO-Sperre veranlassen. Die Polizei kann eine KUNO-Sperre einrichten, die das Lastschriftverfahren für Ihre kompromittierte Karte sperrt.
  6. Kontoauszüge engmaschig prüfen. Auch kleine Beträge von 1 oder 2 Euro sind verdächtig — Betrüger testen oft mit Kleinstbeträgen, bevor sie größere Summen abbuchen.
  7. Smartphone auf Malware prüfen. Führen Sie einen vollständigen Virenscan durch. Im Zweifelsfall: Werkseinstellungen wiederherstellen.
  8. Rechtsanwalt konsultieren. Falls die Bank die Erstattung verweigert, kontaktieren Sie einen Rechtsanwalt für Bankrecht. Die Rechtslage ist auf Ihrer Seite.

So schützen Sie sich

Quishing ist schwerer zu erkennen als klassisches Phishing — aber mit einfachen Verhaltensregeln können Sie sich effektiv schützen. Die folgenden sieben Maßnahmen kosten nichts, erfordern keine technischen Kenntnisse und decken die häufigsten Angriffsszenarien ab.

7 Regeln gegen Quishing

  1. URL immer vor dem Öffnen prüfen. Stellen Sie Ihr Smartphone so ein, dass nach dem Scan zunächst die URL angezeigt wird — nicht sofort die Seite geöffnet wird. Prüfen Sie die Adresse auf Tippfehler und ungewöhnliche Domains.
  2. Niemals Bankdaten nach einem QR-Scan eingeben. Rufen Sie die Website Ihrer Bank immer manuell im Browser auf. Keine Bank fordert Sie per QR-Code zur Eingabe von Login-Daten oder TANs auf.
  3. Physische QR-Codes auf Manipulation prüfen. Fühlen Sie, ob ein Code aufgeklebt ist. Kratzen Sie vorsichtig am Rand. Ein Aufkleber über einem aufgedruckten Code ist ein sicheres Warnsignal.
  4. Park-Apps nur über den App-Store installieren. Laden Sie EasyPark, PayByPhone oder andere Park-Apps ausschließlich über den offiziellen App-Store herunter — niemals über einen QR-Code am Automaten.
  5. An Ladesäulen: Display-QR-Codes bevorzugen. Nutzen Sie QR-Codes auf dem Display der Ladesäule statt aufgeklebter Codes. Wenn nur ein Aufkleber vorhanden ist, verwenden Sie stattdessen die App des Betreibers.
  6. QR-Codes in Briefen, E-Mails und Flyern grundsätzlich misstrauen. Wenn ein Schreiben Sie auffordert, einen QR-Code zu scannen, kontaktieren Sie den angeblichen Absender über die offizielle Website oder Telefonnummer — nicht über den QR-Code.
  7. Sichere QR-Scanner verwenden. Der „Privacy Friendly QR-Scanner“ des KIT Karlsruhe (Open Source) zeigt die URL vor dem Öffnen an. „QR SafeGuard“ prüft zusätzlich auf Malware und Phishing.

FAQ: Die 8 häufigsten Fragen zu Quishing

1. Was ist Quishing?

Quishing ist ein Kunstwort aus „QR-Code“ und „Phishing“. Kriminelle erstellen gefälschte QR-Codes, die auf betrügerische Webseiten führen. Dort werden Bankdaten, Login-Daten oder persönliche Informationen abgefangen. Im Unterschied zum klassischen Phishing per E-Mail funktioniert Quishing auch physisch — über Aufkleber an Automaten, gefälschte Briefe oder manipulierte Plakate. Das BSI stuft Quishing als akute Bedrohung ein. Die Zahl der Angriffe hat sich 2025 verfünffacht.

2. Wie erkenne ich einen gefälschten QR-Code?

Prüfen Sie, ob der Code aufgeklebt ist — ein Aufkleber über einem aufgedruckten Code ist ein sicheres Warnsignal. Stellen Sie Ihr Smartphone so ein, dass nach dem Scan zunächst die URL angezeigt wird. Achten Sie auf verdächtige Domains mit Tippfehlern oder Zusätzen wie „sparkasse.de-sicherheit.com“ statt „sparkasse.de“.

3. Mein Kind hat einen QR-Code gescannt — was tun?

Wenn nur die Seite geöffnet, aber keine Daten eingegeben wurden, besteht in der Regel keine Gefahr. Schließen Sie den Browser und löschen Sie den Verlauf. Wurden Daten eingegeben, folgen Sie der 8-Schritte-Notfall-Anleitung in diesem Artikel.

4. Haftet die Bank, wenn ich Opfer werde?

Grundsätzlich ja. Nach § 675u BGB muss die Bank nicht autorisierte Zahlungen erstatten. Bei einfacher Fahrlässigkeit haften Sie mit maximal 50 Euro. Nur bei grober Fahrlässigkeit entfällt der Erstattungsanspruch — und die Beweislast dafür liegt bei der Bank.

5. Sind iPhone-Nutzer sicherer als Android-Nutzer?

Bedingt. Apples iOS öffnet nach dem QR-Scan nicht sofort den Link, sondern zeigt zunächst eine Vorschau mit der URL an. Das gibt Ihnen die Chance, eine verdächtige Adresse zu erkennen, bevor die Seite geladen wird. Bei Android-Geräten ist dieses Verhalten nicht immer standardmäßig aktiviert — installieren Sie in diesem Fall einen QR-Scanner, der die URL vor dem Öffnen anzeigt, etwa den „Privacy Friendly QR-Scanner“ des KIT Karlsruhe. Allerdings: Sobald Sie auf einer Phishing-Seite Ihre Daten eingeben, hilft kein Betriebssystem der Welt.

6. Kann ich QR-Codes generell vermeiden?

Im Alltag kaum — an Ladesäulen, in Restaurants oder bei Behörden sind sie inzwischen allgegenwärtig. Weltweit wurden 2025 über eine Billion QR-Codes gescannt. Sie müssen QR-Codes nicht vermeiden, sondern bewusst nutzen: URL vor dem Öffnen prüfen, keine Bankdaten nach einem Scan eingeben, bei physischen Codes auf Aufkleber und Manipulation achten, und im Zweifelsfall die gewünschte Seite manuell im Browser aufrufen.

7. Was ist eine KUNO-Sperre?

KUNO steht für „Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nichtpolizeilicher Organisationsstrukturen“. Die Polizei kann über dieses System Ihre kompromittierte Karte für das Lastschriftverfahren im Handel sperren lassen — unabhängig von der Sperrung durch Ihre Bank.

8. Werden die Betrüger je gefasst?

Vereinzelt ja. Die „Operation Chargeback“ führte im November 2025 zu 18 Verhaftungen in neun Ländern und 60 Hausdurchsuchungen. Aber die Strukturen hinter dem organisierten QR-Code-Betrug sind global, hochprofessionell und schwer zu zerschlagen. Das Netzwerk Aether Group operierte aus Dubai mit 300 Scheinfirmen und 1.000 betrügerischen Websites. Die Aufklärungsquote bei Cybercrime bleibt insgesamt niedrig — umso wichtiger ist es, sich im Vorfeld zu schützen und im Schadensfall den Erstattungsanspruch gegenüber der Bank durchzusetzen.

Fazit — Scannen Sie nie wieder blind

QR-Codes sind praktisch — keine Frage. Aber die Bequemlichkeit hat einen Preis, den immer mehr Verbraucher in Deutschland und weltweit zahlen: mit ihren Bankdaten, ihrer Identität, ihrem Geld.

Das Problem wird nicht kleiner. Die Zahl der Angriffe verfünffacht sich innerhalb von Monaten, KI eliminiert die letzten sprachlichen Warnsignale, und das organisierte Verbrechen betreibt Quishing als industrielles Geschäftsmodell mit hunderten Millionen Euro Umsatz. Das BSI, die BaFin, Landeskriminalämter und Verbraucherzentralen warnen übereinstimmend — und trotzdem steigen die Opferzahlen weiter.

Die gute Nachricht: Sie können sich schützen. Nicht mit teurer Software, sondern mit Aufmerksamkeit.

Unsere 5 wichtigsten Regeln

  1. Prüfen Sie die URL nach jedem QR-Scan, bevor Sie die Seite öffnen.
  2. Geben Sie niemals Bankdaten nach einem QR-Scan ein — rufen Sie die Bank-Website manuell auf.
  3. Fühlen Sie bei physischen QR-Codes, ob ein Aufkleber über dem Original klebt.
  4. Installieren Sie Apps ausschließlich über den offiziellen App-Store.
  5. Wenn Sie Opfer werden: Sperr-Notruf 116 116 anrufen, Anzeige erstatten, Erstattung nach § 675u BGB fordern.

Ein QR-Code ist nichts anderes als ein Bild mit einer versteckten Adresse. Behandeln Sie ihn genau so — und öffnen Sie keine Tür, ohne vorher durchs Fenster zu schauen. Teilen Sie dieses Wissen mit Familie, Freunden und Kollegen. Je mehr Menschen die Masche kennen, desto weniger Opfer wird es geben.

Stand: Februar 2026 | Dieser Artikel wurde mit größter Sorgfalt auf Basis offizieller Behördenquellen, Polizeimeldungen und Verbraucherzentrale-Dokumentationen recherchiert. Es handelt sich nicht um eine Rechtsberatung. Für individuelle Fragen wenden Sie sich an Ihre Verbraucherzentrale oder die Polizei.