BSI warnt vor neuer Welle gefährlicher QR-Code-Betrügereien

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor einer neuen Betrugswelle. Kriminelle nutzen gefälschte QR-Codes und Künstliche Intelligenz, um massenhaft sensible Daten zu stehlen. Die sogenannten "Quishing"-Angriffe zielen auf die alltägliche Gewohnheit des QR-Code-Scannens ab.

Die perfiden Codes tauchen nicht nur in E-Mails und SMS auf, sondern kleben zunehmend im öffentlichen Raum. An Parkscheinautomaten, E-Ladesäulen oder auf manipulierten Rechnungen überkleben Betrüger legitime Codes. Wer scannt, landet auf täuschend echten Webseiten, die von KI generiert wurden. Dort sollen Passwörter, Bankdaten oder Kreditkarteninformationen abgegriffen werden.

Da Quishing-Angriffe gezielt die mobilen Sicherheitslücken von Android-Geräten ausnutzen, ist ein proaktiver Schutz Ihrer Daten wichtiger denn je. In diesem kostenlosen Ratgeber erfahren Sie, mit welchen 5 einfachen Maßnahmen Sie WhatsApp, Banking und Co. effektiv absichern. Gratis-Sicherheitspaket für Android-Nutzer jetzt anfordern

So funktioniert die perfide Masche

Der Angriff ist simpel und effektiv. Ein gefälschter QR-Code – digital oder als Aufkleber – leitet das Opfer direkt auf eine betrügerische Webseite. Für das menschliche Auge ist die dahinterliegende Adresse unsichtbar. Das in der Pandemie gewachsene Vertrauen in die praktischen Codes wird schamlos ausgenutzt.

Die Zielseiten sind oft perfekte Kopien von Banken, Zahlungsdienstleistern oder Online-Shops. Unter Vorwänden wie einer angeblichen Sicherheitsüberprüfung werden Nutzer zur Eingabe vertraulicher Daten gedrängt. Login-Passwörter und Transaktionsnummern (TANs) landen so direkt bei den Kriminellen.

Warum herkömmliche Sicherheit oft versagt

Quishing umgeht klassische Schutzmechanismen clever. Viele E-Mail-Sicherheitssysteme erkennen verdächtige Textlinks, behandeln QR-Codes in Nachrichten oder PDF-Anhängen aber als harmlose Bilder. Die Gefahr wird so vom oft besser geschützten PC auf das private Smartphone verlagert.

Auf dem kleinen Display fällt eine gefälschte URL in der Adresszeile viel weniger auf als auf einem großen Monitor. Diese hybride Angriffsmethode stellt Privatpersonen und Unternehmen vor neue Herausforderungen.

KI wird zum Brandbeschleuniger für Betrüger

Das BSI betont die zentrale Rolle Künstlicher Intelligenz. Früher verrieten sich Phishing-Versuche oft durch schlechte Grammatik. Heute erstellen KI-Modelle fehlerfreie, personalisierte Nachrichten und täuschend echte Webseiten im großen Stil.

Diese Technologie industrialisiert die Betrugskampagnen. Statt weniger generischer E-Mails können Kriminelle nun Tausende maßgeschneiderte Nachrichten versenden – und die Erfolgsquote steigt dramatisch.

Während KI-generierte Betrugsmaschen immer perfekter werden, bleiben viele Nutzer bei den grundlegenden Sicherheitseinstellungen ihres Smartphones nachlässig. Dieser kompakte Leitfaden bietet Ihnen Checklisten für geprüfte Apps und wichtige Sicherheits-Updates, um Hackern keine Chance zu geben. Kostenlosen Android-Sicherheits-Leitfaden herunterladen

Eine allgegenwärtige Gefahr

Die Zahl der Quishing-Angriffe explodiert. Sicherheitsexperten verzeichneten bereits Ende 2025 einen fünffachen Anstieg schädlicher QR-Codes in E-Mails binnen vier Monaten. Der Trend setzt sich fort und die Gefahr ist konkret: an der Parkuhr, an der E-Ladesäule, im Alltag.

Die Angriffe sind Teil einer Professionalisierung der Cyberkriminalität. Egal ob per E-Mail, SMS, Telefon oder QR-Code – die Methode bleibt Social Engineering. Opfer werden durch psychologischen Druck, Dringlichkeit oder Neugier zu unüberlegten Handlungen verleitet.

So schützen Sie sich vor QR-Betrug

Verbraucher müssen ein neues Sicherheitsbewusstsein entwickeln. Grundlegende Skepsis gegenüber unaufgeforderten QR-Codes ist der beste Schutz.

• Quelle prüfen: Scannen Sie keine Codes von unbekannten Absendern. Seien Sie misstrauisch bei überklebten Aufklebern im öffentlichen Raum.
• URL-Vorschau nutzen: Viele Smartphone-Kameras zeigen die Zieladresse vor dem Öffnen an. Prüfen Sie diese auf Merkwürdigkeiten.
• Keine Daten eingeben: Geben Sie niemals Passwörter oder Finanzdaten auf einer Seite ein, die Sie via QR-Code erreicht haben.
• Druck ignorieren: Betrüger erzeugen künstliche Eile. Nehmen Sie sich Zeit und rufen Sie im Zweifel die offizielle Webseite des Unternehmens manuell auf.
• Software aktuell halten: Halten Sie Betriebssystem und Sicherheits-Apps auf Ihrem Smartphone stets up-to-date.

Wer Opfer eines Angriffs wurde, sollte umgehend handeln: Bankkonten und Kreditkarten sperren lassen und Anzeige bei der Polizei erstatten.