BSI warnt vor dramatischer Zunahme von QR-Code-Betrug

Eine neue Welle von Cyberangriffen, bekannt als „Quishing“, alarmiert Sicherheitsexperten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor einer Professionalisierung und dramatischen Zunahme dieser Betrugsmasche. Kriminelle nutzen dabei manipulierte QR-Codes, um an Passwörter und Bankdaten zu gelangen. Die Angriffe zielen gezielt auf Smartphone-Nutzer und machen alltägliche Situationen zur Falle.

Die unsichtbare Gefahr im Quadrat

Quishing kombiniert „QR-Code“ mit „Phishing“. Opfer werden durch das Scannen eines manipulierten Codes auf gefälschte Webseiten gelockt. Der Trick: Viele Sicherheitsprogramme behandeln einen QR-Code nur als harmlose Bilddatei. So umgehen Angreifer klassische Filter und dringen direkt in E-Mail-Postfächer oder den physischen Raum vor.

Da Kriminelle immer häufiger mobile Endgeräte ins Visier nehmen, ist ein grundlegender Schutz für Ihr Handy unverzichtbar. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie WhatsApp, Online-Banking und Ihre persönlichen Daten mit einfachen Schritten absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Masche nutzt unsere Gewohnheit aus. Seit der Pandemie scannen wir fast gedankenlos QR-Codes – im Restaurant, am Parkscheinautomat oder fürs WLAN. Kriminelle kleben ihre gefälschten Codes genau dort an: an E-Ladesäulen, Parkscheinautomaten oder in Bussen und Bahnen. Das BSI stuft Quishing als eine der akutesten digitalen Bedrohungen ein. Smartphones sind oft schlechter geschützt als Desktop-Computer, und auf dem kleinen Display fällt eine gefälschte URL weniger schnell auf.

Gefälschte Bankbriefe und manipulierte Automaten

Die Kreativität der Betrüger kennt kaum Grenzen. Eine verbreitete Taktik ist das physische Überkleben von legitimen Codes. In deutschen Städten ersetzten Täter die Original-Codes an Parkscheinautomaten. Wer scannte, um zu bezahlen, landete auf einer nachgebauten Bezahlseite und gab seine Kreditkartendaten preis.

Eine weitere, perfide Methode sind gefälschte Bankbriefe. Diese Schreiben, angeblich von Instituten wie den Volksbanken Raiffeisenbanken, fordern unter einem Vorwand zum Scannen eines QR-Codes auf. Dieser führt zu einer nachgebauten Online-Banking-Login-Seite. Die Täter lernen schnell: Nach einer ersten Welle mit fehlerhaften Codes folgte eine zweite, verbesserte Version mit funktionierender Phishing-Seite. Experten führen diese rasante Professionalisierung auf den Einsatz von Künstlicher Intelligenz zurück.

Nicht nur Privatpersonen, auch Firmen geraten durch psychologisch geschickte Betrugsmaschen wie den CEO-Fraud zunehmend unter Druck. Erfahren Sie in diesem kostenlosen Experten-Guide, wie Sie Ihr Unternehmen in vier Schritten effektiv vor modernen Phishing-Angriffen schützen. Anti-Phishing-Paket zur Hacker-Abwehr kostenlos anfordern

So schützen Sie sich vor Quishing

Obwohl die Angriffe ausgeklügelter werden, gibt es wirksame Schutzmaßnahmen. Die wichtigste Regel: Seien Sie misstrauisch gegenüber unaufgefordert erhaltenen QR-Codes.

• Quelle prüfen: Scannen Sie keine Codes aus unbekannten E-Mails, Briefen oder von Flyern. Misstrauen ist angebracht, wenn Sie unter Zeitdruck gesetzt werden.
• Manipulation erkennen: Überprüfen Sie Codes an öffentlichen Automaten. Wirken sie wie aufgeklebte Sticker? Dann ist Vorsicht geboten.
• Link-Vorschau nutzen: Verwenden Sie eine Scanner-App, die die Ziel-URL anzeigt, bevor die Seite öffnet. Prüfen Sie die Adresse auf verdächtige Domains.
• Keine sensiblen Daten eingeben: Seriöse Unternehmen fordern Sie nie per QR-Code auf einem Zettel zur Eingabe von Passwörtern oder vollständigen Kreditkartendaten auf.
• Direkten Weg wählen: Nutzen Sie für Dienstleistungen wie Parken die offizielle App direkt, anstatt einen Code am Automaten zu scannen.

Eine andauernde Bedrohung für die mobile Gesellschaft

Die Quishing-Welle zeigt die Verlagerung der Cyberkriminalität auf mobile Endgeräte. Sicherheitsexperten verzeichneten bereits Ende 2025 einen fünffachen Anstieg schädlicher QR-Codes in E-Mails. Das offenbart eine kritische Lücke: Während das Bewusstsein für Phishing auf dem PC gewachsen ist, wird das Smartphone oft als sicherer wahrgenommen – obwohl es das primäre Ziel ist.

Für Unternehmen bedeutet das, ihre Sicherheitsrichtlinien zwingend auf mobile Geräte auszuweiten und Mitarbeiter regelmäßig aufzuklären. Experten sind sich einig: Die Bedrohung wird weiter zunehmen. KI-Werkzeuge ermöglichen Kriminellen noch überzeugendere und personalisiertere Angriffe. Verbraucher müssen lernen, QR-Codes mit der gleichen kritischen Haltung zu begegnen wie verdächtige E-Mail-Anhänge.