QR-Codes gehören längst zum Alltag. Man findet sie an Parkscheinautomaten, auf Speisekarten, auf Werbeplakaten oder auf Paketsendungen. Banken, Behörden und Energieversorger nutzen sie in Briefen und E-Mails, um Kunden direkt zu Zahlungsseiten oder Formularen zu führen. Gerade diese Bequemlichkeit macht QR-Codes jedoch attraktiv für Kriminelle. Experten sprechen von Quishing.
Das Prinzip ist einfach: Nutzer scannen einen manipulierten QR-Code und werden auf eine gefälschte Internetseite geleitet. Dort sollen sie persönliche Daten eingeben, Zugangsdaten preisgeben oder Zahlungen auslösen. Anders als bei klassischen Internetlinks erkennen viele Menschen die Gefahr nicht sofort, weil die eigentliche Zieladresse vor dem Scan unsichtbar bleibt.
Besonders im öffentlichen Raum häufen sich Fälle von Quishing. An Parkautomaten etwa kleben Betrüger gefälschte QR-Aufkleber über die originalen Codes. Wer den Code scannt, landet auf einer täuschend echten Bezahlseite und überweist Geld direkt an Kriminelle.
QR-Codes im öffentlichen Raum sollte man daher besonders kritisch prüfen. Auffällige Aufkleber, schlecht verklebte Schilder oder überklebte Originalcodes können Hinweise auf Manipulationen sein. Nutzer sollten nach Möglichkeit kontrollieren, ob die Internetadresse nach dem Scan plausibel wirkt. Viele Smartphones zeigen die Zieladresse vor dem Öffnen an. Stimmen Schreibweise, Anbietername oder Domain nicht exakt mit dem erwarteten Dienst überein, sollte der Vorgang sofort abgebrochen werden.
Sicherer ist es oft, die offizielle App eines Anbieters direkt zu nutzen. Wer die Internetadresse eines Dienstes bereits kennt, sollte sie besser manuell eingeben, statt einen QR-Code zu scannen. Auch kontaktlose Kartenzahlungen oder klassische Bezahlmethoden sind im Zweifel die sicherere Wahl.
Zunehmend setzen Kriminelle QR-Codes auch in E-Mails oder Briefen ein. Dort ersetzen sie herkömmliche Internetlinks, weil viele Sicherheitsprogramme verdächtige URLs inzwischen zuverlässig erkennen. Ein QR-Code hingegen wird von manchen Schutzsystemen weniger streng geprüft. Besonders perfide: Die Schreiben wirken oft offiziell und imitieren Banken, Paketdienste, Energieanbieter oder Behörden.
Empfänger sollten daher auch bei Briefen und E-Mails skeptisch bleiben. Wird zu schnellem Handeln gedrängt, etwa wegen angeblich offener Rechnungen, gesperrter Konten oder verpasster Zustellungen, ist Vorsicht geboten. Niemand sollte sensible Daten oder Zahlungsinformationen eingeben, ohne die Echtheit der Quelle geprüft zu haben. Im Zweifel empfiehlt sich der direkte Kontakt mit dem Unternehmen über bekannte Telefonnummern oder offizielle Webseiten.
Hilfreich können auch technische Schutzmaßnahmen sein. Viele Antivirenprogramme und Sicherheitslösungen prüfen inzwischen QR-Codes auf bekannte Betrugsseiten. Smartphones sollten regelmäßig aktualisiert werden, damit Sicherheitslücken geschlossen bleiben. Zudem empfiehlt sich die Zwei-Faktor-Authentifizierung für wichtige Onlinekonten.
Fachleute gehen davon aus, dass Quishing in den kommenden Jahren weiter zunehmen wird. Denn QR-Codes gelten als praktisch, schnell und unkompliziert – genau das nutzen Betrüger aus. Verbraucher müssen deshalb lernen, auch scheinbar harmlose Scans kritisch zu hinterfragen. Ein kurzer Moment der Prüfung kann verhindern, dass aus einem simplen Scan ein teurer Betrugsfall wird.
