Sind QR-Codes sicher? Quishing erkennen und sicher QR-Codes scannen

Ja, QR-Codes sind grundsätzlich sicher – solange du einen QR-Code-Scanner nutzt, der dir den Link vor dem Öffnen anzeigt, und bei aufgeklebten Codes im öffentlichen Raum skeptisch bleibst. Das schwarz-weiße Quadrat selbst enthält keinen Virus, es speichert nur Daten. Die eigentliche Gefahr ist nicht der QR-Code, sondern die Seite, auf die er dich führt. Wenn dein QR-Code-Reader die URL anzeigt, bevor irgendetwas geöffnet wird, hast du den größten Teil des Risikos schon auf einen Blick entschärft.

Schauen wir uns das im Detail an. In Deutschland warnen mittlerweile das BSI (Bundesamt für Sicherheit in der Informationstechnik), die Verbraucherzentralen und die Polizei vor dem sogenannten Quishing – QR-Phishing. Wer den Unterschied zwischen einem vertrauenswürdigen und einem manipulierten Code kennt, ist klar im Vorteil.

Wie ein QR-Code technisch funktioniert

Ein QR-Code ist ein zweidimensionaler Barcode, der Informationen als Muster aus schwarzen und weißen Feldern speichert. Wenn du ihn scannst, dekodiert dein Smartphone dieses Muster zu Daten – meistens eine URL, manchmal aber auch Freitext, Kontaktdaten oder WLAN-Zugangsdaten.

Der Code selbst ist also nur ein Transportmittel für Informationen, vergleichbar mit einem Link auf einer Webseite. Schadcode steckt nicht im Quadrat. Das Risiko entsteht erst durch das, was du nach dem Scannen mit diesen Informationen machst.

Die echten Risiken beim QR-Code scannen

Phishing und gefälschte Links

Die häufigste Gefahr ist ein QR-Code, der dich auf eine Phishing-Seite leitet – eine täuschend echte Nachbildung, die deine Zugangsdaten oder Bankinformationen abgreifen soll. Weil du einem QR-Code das Ziel nicht ansiehst, umgehen Angreifer genau die Skepsis, die du bei einem verdächtigen Link in einer E-Mail normalerweise hättest.

Quishing: QR-Phishing im Alltag

Sicherheitsexperten haben dem QR-basierten Phishing einen eigenen Namen gegeben: Quishing (aus „QR” und „Phishing”). Ein Betrüger klebt einen gefälschten Code über einen echten – etwa am Parkscheinautomaten, auf der Speisekarte im Restaurant oder auf einem Plakat. Scannst du den falschen Code, landest du auf einer überzeugend gestalteten Bezahlseite, die der Angreifer kontrolliert.

Quishing nimmt zu, weil QR-Codes viele E-Mail-Filter umgehen. Eine E-Mail mit einem QR-Code-Bild statt eines klickbaren Links rutscht oft an Spam-Filtern vorbei, die eine verdächtige URL sonst markieren würden. In Deutschland haben Sparkassen und Volksbanken bereits vor gefälschten Briefen mit QR-Codes gewarnt, die angeblich zur „Bestätigung der Kontodaten” auffordern.

Schädliche Downloads und Datensammler

Manche QR-Codes verweisen nicht auf eine Webseite, sondern auf einen Datei-Download. Moderne Smartphones fragen vor jeder Installation nach – trotzdem solltest du das im Hinterkopf behalten. Andere Codes leiten dich über mehrere Weiterleitungen, um dein Surfverhalten zu profilieren, oder auf Seiten, die per Tracking-Skripten möglichst viele personenbezogene Daten einsammeln.

So scannst du QR-Codes sicher

Mit ein paar einfachen Gewohnheiten bist du in der Praxis fast immer auf der sicheren Seite.

1. Link vor dem Öffnen prüfen

Das ist der wichtigste Schritt. Eine vertrauenswürdige Scanner-App zeigt dir den dekodierten Inhalt an, bevor irgendetwas passiert. QR Toolkit ist genau nach diesem Prinzip gebaut: Nach dem Scan erscheint zuerst der vollständig dekodierte Inhalt auf dem Bildschirm. Du entscheidest, ob du den Link öffnest, kopierst oder verwirfst. Nichts geschieht ohne deine Zustimmung. Die Dekodierung läuft dabei direkt auf deinem Gerät.

2. Die URL genau anschauen

Sobald du die Adresse siehst, lies sie aufmerksam. Passt die Domain zur Marke oder zum Dienst, den du erwartest? Achte auf kleine Tippfehler wie „arnazon.de” statt „amazon.de” oder ungewöhnliche Endungen. Wirkt etwas nicht stimmig, öffne den Link nicht.

3. Einen vertrauenswürdigen Scanner verwenden

Die Kamera-App deines Smartphones öffnet Links oft sofort, ohne dass du sie in Ruhe prüfen kannst. Eine dedizierte Scanner-App gibt dir mehr Kontrolle. Achte auf eine App, die Inhalte zuerst als Vorschau zeigt, einen Verlauf führt und ohne Werbung sowie ohne Tracking-SDKs auskommt – ein echtes Plus für den Datenschutz.

4. Bei öffentlichen QR-Codes vorsichtig sein

Behandle Codes im öffentlichen Raum mit gesunder Skepsis. Codes auf offizieller Beschilderung eines bekannten Unternehmens sind meist unproblematisch. Aufkleber an Laternenmasten, lose Flyer oder handschriftliche Zettel verdienen genaues Hinsehen. Sieht es so aus, als wäre ein Code über einen anderen geklebt, scanne ihn lieber nicht.

5. Dein Smartphone aktuell halten

Aktuelle iOS- und Android-Versionen bringen eingebaute Schutzmechanismen gegen bekannte Phishing-Seiten und schädliche Downloads mit. Wer Betriebssystem und Browser regelmäßig aktualisiert, profitiert von den neuesten Sicherheits-Patches.

QR-Codes und Datenschutz: worauf es in Deutschland ankommt

Gerade in Deutschland ist Datenschutz ein zentrales Thema. Viele kostenlose QR-Code-Apps finanzieren sich über Werbung und geben Daten an Werbenetzwerke weiter. Genau hier setzt eine datenschutzfreundliche App an:

• Dekodierung auf dem Gerät. Bei QR Toolkit wird der QR-Code lokal auf deinem Smartphone ausgelesen.
• Keine Werbung, kein Tracking. Es sind keine Werbenetzwerke oder Tracking-SDKs eingebunden und es wird keine Werbe-ID verwendet.
• Verlauf im eigenen Konto. Dein Scan- und Generier-Verlauf wird in deinem persönlichen Konto gespeichert (Supabase, EU-Region) und ist durch Row-Level Security geschützt – nur du kannst ihn lesen.

Sicherheitstipps für Unternehmen

Wenn dein Unternehmen QR-Codes einsetzt, trägst du auch Verantwortung für deine Kundschaft.

• HTTPS verwenden. Jede URL hinter einem QR-Code sollte über HTTPS verschlüsselt laufen.
• Eigene Domain nutzen. Verzichte bei geschäftskritischen Codes auf kostenlose URL-Verkürzer. Wird der Dienst abgeschaltet oder gekapert, funktionieren deine Codes nicht mehr oder leiten ins Leere.
• Physische Codes kontrollieren. Prüfe ausgehängte Codes regelmäßig, damit niemand einen Aufkleber mit einem fremden Code darüberklebt.
• Team schulen. Mitarbeitende sollten wissen, dass sie auf Dienstgeräten keine QR-Codes aus unbekannten Quellen scannen – genauso wenig wie sie verdächtige E-Mail-Links anklicken würden.

Fazit

QR-Codes sind eine sichere und nützliche Technik, wenn du sie mit ein wenig Bewusstsein einsetzt. Die Risiken entstehen nicht durch das Quadrat selbst, sondern dadurch, Links blind zu folgen, ohne ihr Ziel zu prüfen – dasselbe Risiko wie bei jedem Link im Internet.

Scanne klug: Nutze eine App wie QR Toolkit, die dir den Inhalt zeigt, bevor du handelst. Prüfe URLs, bevor du sie öffnest. Sei vorsichtig bei Codes im öffentlichen Raum. Mit diesen Gewohnheiten scannst du entspannt und behältst die Kontrolle.

Häufige Fragen

Kann ein QR-Code einen Virus enthalten?

Nein. Ein QR-Code speichert nur Daten, meist eine URL. Gefährlich wird es erst durch die Seite oder Datei, auf die er verweist. Deshalb solltest du den dekodierten Link immer ansehen, bevor du ihn öffnest.

Was ist Quishing?

Quishing ist QR-Phishing: Betrüger nutzen einen QR-Code, um dich auf eine gefälschte Webseite zu locken und Zugangs- oder Bankdaten abzugreifen. Häufig kleben sie dafür einen falschen Code über einen echten oder verschicken QR-Codes per Brief und E-Mail. Das BSI und die Verbraucherzentralen warnen ausdrücklich davor.

Wie kann ich einen QR-Code sicher scannen?

Verwende einen QR-Code-Scanner, der den Link zuerst als Vorschau anzeigt, prüfe die Domain auf Tippfehler und sei bei aufgeklebten Codes vorsichtig. Apps wie QR Toolkit dekodieren auf dem Gerät und zeigen dir den Inhalt, bevor irgendetwas geöffnet wird – das schützt zuverlässig vor Quishing.