§ 01 article

Gefälschte QR-Codes erkennen und Quishing vermeiden

Autor: Das QR Toolkit-Team · veröffentlicht: 2026-05-21

#gefälschte-qr-codes-erkennen#quishing#sicherheit#datenschutz

Die sicherste Regel zuerst: Schau dir immer den vollständigen Link an, bevor du ihn öffnest. Ein QR-Code selbst kann dir keinen Schaden zufügen – gefährlich wird erst das Ziel, auf das er zeigt. Wenn du vor dem Antippen siehst, wohin der Code führt, und die Adresse prüfst, hast du den größten Teil des Risikos schon ausgeschaltet. Diese Betrugsmasche mit gefälschten QR-Codes nennt man Quishing (von “QR” + “Phishing”), und sie ist in den letzten Jahren spürbar häufiger geworden.

In dieser Anleitung erklären wir, wie Quishing funktioniert, an welchen Anzeichen du einen Fake-Code erkennst und wie du Schritt für Schritt sicher scannst.

Was ist Quishing?

Beim Quishing nutzen Betrüger einen QR-Code, um dich auf eine gefälschte Webseite zu locken. Dort sollst du dann Login-Daten eingeben, eine Zahlung auslösen oder eine Schad-App installieren. Weil ein QR-Code für das menschliche Auge nur ein Muster aus Pixeln ist, kannst du das Ziel nicht “lesen” – und genau das machen sich die Täter zunutze.

Typische Quishing-Szenarien in Deutschland:

  • Aufgeklebte Codes am Parkautomaten oder an der Ladesäule, die zu einer gefälschten Bezahlseite führen.
  • Gefälschte Knöllchen oder Mahnungen mit QR-Code, der angeblich zur “Begleichung der Gebühr” führt.
  • Fake-Codes auf Speisekarten oder Plakaten, die über das Original geklebt wurden.
  • QR-Codes in E-Mails, die ein vermeintliches Paket oder ein Bankproblem ankündigen.

Woran du einen gefälschten QR-Code erkennst

Manche Hinweise siehst du schon, bevor du überhaupt scannst:

  • Ein Aufkleber über dem Original. Sitzt der Code auf einem Sticker, der über einen anderen geklebt wurde, ist höchste Vorsicht geboten.
  • Druck passt nicht zum Untergrund. Ein billig aufgedruckter Code auf einem hochwertigen Schild wirkt aufgesetzt.
  • Unerwartete Aufforderung zur Eile. “Jetzt sofort zahlen, sonst …” ist ein klassisches Druckmittel.
  • Unbekannter Absender. Ein QR-Code in einer E-Mail oder einem Brief, den du nicht erwartet hast.

Der wichtigste Check kommt aber erst nach dem Scan – beim Blick auf den Link.

Die Domain prüfen: der entscheidende Schritt

Wenn dein Scanner den Link vor dem Öffnen anzeigt, prüfst du die Domain – also den Teil direkt vor dem ersten einzelnen Schrägstrich. Genau dort verstecken sich die Tricks:

  • Lookalike-Domains: paypa1.com statt paypal.com, amaz0n-zahlung.net statt amazon.de. Ein vertauschter Buchstabe oder eine Ziffer reicht.
  • Echte Marke an falscher Stelle: paypal.sicher-login.ru gehört nicht zu PayPal, sondern zur Domain sicher-login.ru. Maßgeblich ist immer der letzte Teil direkt vor dem ersten Schrägstrich.
  • Zusätzliche Wörter und Bindestriche: deine-bank-konto-verifizierung.com ist fast nie die echte Bank.
  • Falsche Endung: Erwartest du eine .de-Adresse, dir wird aber .top, .xyz oder .click angezeigt? Skeptisch bleiben.

Im Zweifel: nicht den Code-Link öffnen, sondern die Adresse der Bank, des Shops oder der Behörde selbst von Hand im Browser eintippen.

QR Toolkit zeigt dir den Link nach dem Scannen an, bevor irgendetwas geöffnet wird. So kannst du die Domain in Ruhe prüfen und selbst entscheiden, ob du fortfährst.

Sicher scannen: die Checkliste

  1. Erst lesen, dann öffnen. Wirf immer einen Blick auf den vollständigen Link.
  2. Domain kontrollieren. Stimmt der Teil vor dem ersten Schrägstrich mit der erwarteten Marke überein?
  3. Keine Logins von unerwarteten Codes. Banken und Behörden fordern dich nicht per QR-Code zum Einloggen auf.
  4. Keine Zahlungen aus dem Nichts. Gib niemals Kreditkartendaten auf einer Seite ein, die du nur über einen fremden QR-Code erreicht hast.
  5. Keine App-Installation auf Zuruf. Lade Apps nur aus dem offiziellen App Store oder Google Play.
  6. Aufkleber misstrauisch betrachten. Im öffentlichen Raum lieber die offizielle Webseite direkt aufrufen.

Was tun, wenn du doch reingefallen bist?

Solltest du auf einer Fake-Seite Daten eingegeben haben:

  • Passwörter sofort ändern – bei dem betroffenen Dienst und überall, wo du dasselbe Passwort genutzt hast.
  • Bank oder Kreditkartenanbieter informieren, wenn Zahlungsdaten betroffen sind, und die Karte gegebenenfalls sperren lassen.
  • Anzeige erstatten und den Vorfall melden, etwa bei der Polizei oder der Verbraucherzentrale.

Das Fazit

Gefälschte QR-Codes sind real, aber leicht zu entschärfen, wenn du eine einzige Gewohnheit verinnerlichst: den Link vor dem Öffnen prüfen. Schau dir die Domain an, sei misstrauisch bei aufgeklebten Codes und gib niemals Login- oder Zahlungsdaten nach einem unerwarteten Scan ein. QR Toolkit unterstützt dich dabei, indem es den Link anzeigt, bevor er geöffnet wird – so behältst du die Kontrolle.

Häufige Fragen

Kann mich ein QR-Code allein durch das Scannen infizieren?

Nein. Das Scannen liest nur den hinterlegten Inhalt aus – meist eine Webseite. Gefährlich wird erst, was du danach tust: eine schädliche Seite öffnen, Daten eingeben oder eine App installieren. Deshalb ist der Blick auf den Link vor dem Öffnen so wichtig.

Achte auf den Teil direkt vor dem ersten einzelnen Schrägstrich – das ist die eigentliche Domain. Vertauschte Buchstaben, Ziffern statt Buchstaben, zusätzliche Bindestriche oder eine unerwartete Endung wie .xyz sind Warnzeichen. Im Zweifel die Adresse selbst von Hand eintippen.

Hilft QR Toolkit dabei, Quishing zu vermeiden?

Ja. QR Toolkit zeigt dir den vollständigen Link nach dem Scannen an, bevor etwas geöffnet wird. So kannst du die Domain prüfen und selbst entscheiden. Das Decodieren passiert dabei auf deinem Gerät.

<< cd /de/blog