Quishing (zusammengesetzt aus QR-Code und Phishing) bezeichnet Betrugsversuche, bei denen ein QR-Code statt eines klassischen Links als Köder dient. Der Code führt auf eine gefälschte Webseite, die Zugangsdaten, Zahlungsdaten oder Schadsoftware abgreift. Weil das Ziel hinter dem schwarz-weißen Muster für das Auge unsichtbar ist, ist die wirksamste Schutzmaßnahme einfach: die dekodierte Ziel-URL prüfen, bevor man sie öffnet.
Dieser Ratgeber erklärt die häufigsten Quishing-Maschen in Deutschland, zeigt an konkreten Beispielen, woran Sie eine gefälschte Adresse erkennen, und ordnet die Lage rechtlich ein. Ein zentraler Vorteil unseres Scanners: Er zeigt die enthaltene URL als Text an und öffnet sie nicht automatisch. Diese Anti-Quishing-Vorschau gibt Ihnen genau den Moment zum Nachdenken, den Betrüger Ihnen sonst nehmen wollen.
Was ist Quishing und warum funktioniert es so gut?
Beim klassischen Phishing per E-Mail kann ein aufmerksamer Mensch den Link vor dem Klick prüfen: Maus drüberhalten, Adresse lesen, Verdacht schöpfen. Ein QR-Code hebelt genau diese Routine aus. Das Muster enthält die Zieladresse zwar im Klartext, aber kodiert, also für das menschliche Auge nicht lesbar. Wer den Code mit der Handykamera scannt, bekommt die URL oft nur für den Bruchteil einer Sekunde in einer kleinen Benachrichtigung zu sehen, bevor der Browser die Seite öffnet. Genau diese Lücke nutzen Angreifer aus.
Hinzu kommt ein psychologischer Effekt: QR-Codes wirken modern, offiziell und harmlos. Sie hängen an Restauranttischen, auf Parkautomaten, in Bahnhöfen und auf Briefen von Behörden. Diese Allgegenwart erzeugt Vertrauen, das Betrüger gezielt missbrauchen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt Quishing inzwischen zu den relevanten Angriffsformen und warnt ausdrücklich davor, unbekannte QR-Codes unbedacht zu scannen. Der zweite Grund für den Erfolg liegt in der Technik: Ein QR-Code lässt sich blitzschnell und kostenlos fälschen, ein selbstklebender Aufkleber über einem echten Code ist in Sekunden angebracht und fällt kaum auf.
Warnung: Nie automatisch öffnen lassen
Stellen Sie Ihre Scanner-App so ein, dass sie die Ziel-URL anzeigt und nicht sofort öffnet. Apps, die Links ohne Rückfrage aufrufen, nehmen Ihnen die wichtigste Prüfsekunde. Unser Online-Scanner zeigt die dekodierte Adresse grundsätzlich nur als Text an und überlässt Ihnen den Klick.
Die häufigsten Quishing-Maschen in Deutschland
Quishing ist kein theoretisches Risiko. Verbraucherzentralen und Polizeibehörden dokumentieren seit 2023 mehrere wiederkehrende Muster. Die folgende Tabelle ordnet die verbreitetsten Maschen, ihre typische Tarnung und das jeweilige Ziel des Angreifers.
Allen Maschen ist gemeinsam, dass sie sich an einen vertrauten Kontext anhängen. Niemand erwartet Betrug am Parkautomaten, im Restaurant oder bei einem Brief, der nach Bank aussieht. Genau deshalb funktioniert die Tarnung. Besonders perfide ist der Aufkleber-Trick: Der Angreifer manipuliert keine Software, sondern klebt schlicht über den echten Code, der darunter unverändert bleibt.
So läuft ein Quishing-Angriff ab
Ein typischer Angriff folgt vier Schritten. Die einzige Stelle, an der Sie als Nutzer die Kette unterbrechen können, ist Schritt 3: die Prüfung der Ziel-URL.
Die Ziel-URL richtig prüfen: konkretes Beispiel
Die entscheidende Schutzkompetenz ist das Lesen einer URL. Betrüger setzen darauf, dass die meisten Menschen eine Adresse nur überfliegen. Der wichtigste Teil einer Webadresse ist die sogenannte Registrierungsdomain: das ist der Name direkt vor der Länderendung wie .de oder .com. Alles, was davor steht, kann der Angreifer frei erfinden. Betrachten wir ein realistisches Beispiel eines gefälschten Parkschein-Codes:
Echt: https://parken.stadt-hamburg.de/zahlen
Fake: https://stadt-hamburg.parken-bezahl.info/zahlen
Auf den ersten Blick wirkt die zweite Adresse vertrauenswürdig, schließlich steht stadt-hamburg darin. Tatsächlich ist die Registrierungsdomain aber parken-bezahl.info, eine wildfremde Adresse. stadt-hamburg ist hier nur eine sogenannte Subdomain, die jeder Inhaber von parken-bezahl.info beliebig setzen kann. Merksatz: Lesen Sie eine Domain von rechts nach links bis zum ersten Schrägstrich. Der letzte Name vor der Endung entscheidet, wem die Seite gehört.
Tipp: Kurzlinks zuerst entschleiern
Kurz-URLs wie bit.ly oder t.co verbergen das eigentliche Ziel. Scannen Sie den Code zuerst mit unserem Online-Scanner: Er zeigt die enthaltene Adresse als Text. Bei Kurzlinks können Sie die Vollform vor dem Öffnen über einen Link-Expander prüfen, statt blind zu klicken.
Checkliste: QR-Code sicher scannen
Die folgenden Punkte verhindern die allermeisten Quishing-Angriffe. Sie kosten zusammen weniger als zehn Sekunden.
- Aufkleber prüfen: Sitzt der Code auf einem nachträglich angebrachten Sticker, vor allem an Automaten oder Säulen? Dann Finger weg.
- URL lesen, nicht nur scannen: Die dekodierte Adresse anzeigen lassen und die Domain von rechts nach links prüfen.
- Keine Zugangs- oder Zahlungsdaten: Banken und Behörden fordern niemals per QR-Code zur Eingabe von PIN, TAN oder Passwort auf.
- Direkt eingeben statt scannen: Bei Bank, Bezahlportal oder Behörde die offizielle Adresse lieber selbst tippen.
- Auto-Öffnen deaktivieren: Die Scanner-App so einstellen, dass sie Links anzeigt statt sie sofort aufzurufen.
Rechtliche Einordnung: Was gilt bei QR-Code-Betrug?
Quishing ist in Deutschland kein eigener Straftatbestand, fällt aber je nach Vorgehen unter mehrere bestehende Normen. Das unbefugte Erlangen von Zugangsdaten erfüllt regelmäßig den Computerbetrug nach Paragraf 263a Strafgesetzbuch (StGB), das Abgreifen von Passwörtern und Sicherungscodes kann als Ausspähen von Daten nach Paragraf 202a StGB gewertet werden, das Vorbereiten solcher Taten erfasst Paragraf 202c StGB. Wer eine offizielle Stelle oder Marke nachahmt, verletzt zusätzlich Marken- und Wettbewerbsrecht.
Für Betroffene ist vor allem die zivilrechtliche Seite wichtig: Wer durch einen manipulierten QR-Code unautorisierte Zahlungen auslöst, ist nach Paragraf 675u Bürgerliches Gesetzbuch (BGB) grundsätzlich nicht zur Erstattung verpflichtet. Die Bank muss einen nicht autorisierten Zahlungsvorgang unverzüglich erstatten. Anders liegt der Fall, wenn dem Zahler grobe Fahrlässigkeit vorgeworfen werden kann, etwa weil er TAN oder Passwort leichtfertig auf einer offensichtlich gefälschten Seite eingegeben hat (Paragraf 675v BGB). Wer Opfer wird, sollte daher umgehend die Bank kontaktieren, die Karte sperren und Anzeige bei der Polizei erstatten. Bewahren Sie Screenshots der Fake-Seite und der gescannten URL als Beweismittel auf.
Hinweis: Dieser Abschnitt ist eine allgemeine Einordnung und ersetzt keine Rechtsberatung im Einzelfall. Bei konkretem Schaden wenden Sie sich an eine Rechtsanwältin, einen Rechtsanwalt oder die Verbraucherzentrale.
Ziel-URL prüfen, bevor Sie klicken
Unser Scanner zeigt die Adresse als Text und öffnet sie nicht automatisch.