Sicherheit
QR-Code-Sicherheit: Quishing erkennen und sicher scannen
QR-Codes sicher nutzen: Wie Quishing funktioniert, woran man manipulierte Codes erkennt und welche Regeln beim Scannen vor Phishing und Betrug schützen.
Eike-Christian Ramcke Inhalt
QR-Codes sind praktisch, weil sie eine komplizierte Adresse in einen einzigen Scan verwandeln. Genau diese Bequemlichkeit machen sich aber auch Betrüger zunutze. Dieser Artikel erklärt sachlich, wo die realen Risiken liegen, wie sogenanntes Quishing funktioniert und mit welchen einfachen Gewohnheiten sich QR-Codes sicher nutzen lassen, ohne in pauschale Verunsicherung zu verfallen.
Der QR-Code selbst ist harmlos
Zuerst eine wichtige Klarstellung: Ein QR-Code ist nichts weiter als eine grafische Darstellung von Daten, meist eine Adresse oder ein kurzer Text. Er kann selbst keine Schadsoftware enthalten und nichts ausführen. Das Muster wird vom Smartphone ausgelesen und in eine Information übersetzt, etwa in eine URL.
Das Risiko entsteht erst im nächsten Schritt, wenn diese Information verarbeitet wird. Führt der Code auf eine gefälschte Webseite, kann dort versucht werden, Zugangsdaten oder Zahlungsinformationen abzugreifen. Die Gefahr liegt also nicht im Code, sondern im Ziel und im eigenen Verhalten danach.
Diese Einordnung ist wichtig, weil sie zeigt, wo Schutz ansetzt. Es geht nicht darum, QR-Codes generell zu meiden, sondern darum, vor dem Öffnen kurz hinzusehen. Die meisten Angriffe scheitern bereits an einer aufmerksamen Prüfung der Zieladresse.
Hilfreich ist auch ein realistischer Blick auf die Häufigkeit. QR-Codes sind im Alltag allgegenwärtig, in Restaurants, auf Tickets, in Bedienungsanleitungen und auf Produktverpackungen. Die übergroße Mehrheit dieser Codes ist völlig unbedenklich und führt genau dorthin, wo man es erwartet. Quishing ist die Ausnahme, nicht die Regel. Genau deshalb ist Gelassenheit der richtige Grundton: Wer die wenigen Risikosituationen kennt und in diesen aufmerksam ist, kann den Komfort von QR-Codes weiterhin unbeschwert nutzen, ohne in jede Begegnung Misstrauen zu legen.
Was Quishing ist und wie es funktioniert
Quishing ist eine Wortverbindung aus QR-Code und Phishing. Beim klassischen Phishing wird eine gefälschte Nachricht verschickt, die zu einer betrügerischen Seite führt. Beim Quishing übernimmt der QR-Code diese Rolle: Er verbirgt die eigentliche Adresse hinter einem Muster, das man mit bloßem Auge nicht lesen kann.
Ein häufiges Muster sind überklebte Codes im öffentlichen Raum. Auf einen echten Aufkleber an einem Parkautomaten oder ein Plakat wird ein gefälschter Code geklebt, der statt zur Bezahlseite des Betreibers auf eine nachgebaute Seite führt. Optisch wirkt alles legitim, weil der Kontext stimmt und der gefälschte Code sauber gestaltet sein kann.
Das Gefährliche an Quishing ist die Kombination aus Vertrauen und Verdecktheit. Menschen scannen Codes oft beiläufig und prüfen die Adresse nicht. Genau auf diese Routine setzen die Angreifer. Die gute Nachricht: Mit wenigen bewussten Schritten lässt sich der Angriff zuverlässig ins Leere laufen lassen.
Neben überklebten Codes gibt es weitere Varianten. Verbreitet sind gefälschte Codes in unaufgeforderten E-Mails oder Briefen, die etwa zu einer angeblichen Paketverfolgung oder einer dringenden Kontobestätigung auffordern. Hier nutzt der Code denselben Druckmechanismus wie klassisches Phishing, umgeht aber Spam-Filter leichter, weil ein Bild schwerer maschinell zu prüfen ist als ein klickbarer Link. Auch hier gilt: Ein unerwartetes Schreiben, das zur Eingabe von Daten drängt, ist unabhängig vom Medium ein Warnsignal.
Nicht der QR-Code täuscht, sondern der Kontext drumherum. Wer die Zieladresse prüft, bevor er handelt, entzieht dem Quishing seine Grundlage.
So scannt man QR-Codes sicher
Die wirksamste Maßnahme ist banal und wird trotzdem oft übersprungen: die Vorschau der Adresse. Nahezu jede moderne Kamera-App zeigt nach dem Scan zuerst die Ziel-URL an, bevor die Seite tatsächlich geöffnet wird. Dieser kurze Moment reicht aus, um die Domain zu prüfen.
Achte dabei nicht nur darauf, ob ein bekannter Name irgendwo vorkommt, sondern auf die tatsächliche Hauptdomain unmittelbar vor der ersten Schrägstrich-Trennung. Tippfehler-Varianten bekannter Marken, ungewöhnliche Endungen oder kryptische Adressen sind deutliche Warnzeichen. Stimmt die Domain nicht mit dem erwarteten Absender überein, sollte die Seite nicht geöffnet werden.
| Risiko | Schutzmaßnahme |
|---|---|
| Gefälschte Zielseite (Phishing) | Vorschau-URL prüfen, Hauptdomain mit erwartetem Absender abgleichen |
| Überklebter Code im öffentlichen Raum | Auf aufgeklebte oder abgelöste Aufkleber achten, im Zweifel offizielle App nutzen |
| Daten- oder Zahlungsdiebstahl | Keine Logins oder Zahlungen über zufällig gescannte Codes |
| Untergeschobener App-Download | Apps ausschließlich aus den offiziellen Stores installieren |
| Verkürzte, undurchsichtige URL | Adresse vor dem Öffnen ansehen, bei Unklarheit nicht fortfahren |
Drei Regeln decken den Großteil der Alltagssituationen ab. Erstens: keine Zugangsdaten oder Zahlungen über einen Code eingeben, den man zufällig im öffentlichen Raum gefunden hat. Zweitens: Apps niemals über einen Link aus einem QR-Code installieren, sondern direkt im offiziellen App-Store suchen. Drittens: bei jedem unerwarteten Code, der zu einer Eingabe von Daten auffordert, innehalten und die Quelle hinterfragen.
Hilfreich ist außerdem, die Geräte selbst aktuell zu halten. Ein gepflegtes Betriebssystem und ein moderner Browser warnen häufig vor bekannten betrügerischen Seiten, bevor sie vollständig laden. Diese technische Schutzschicht ersetzt die eigene Prüfung nicht, ergänzt sie aber sinnvoll. Wer zusätzlich vertrauliche Konten mit einer Zwei-Faktor-Authentifizierung absichert, verringert den Schaden selbst dann, wenn ein Passwort einmal auf einer gefälschten Seite eingegeben wurde. Sicherheit entsteht so aus mehreren übereinanderliegenden, einfachen Maßnahmen statt aus einer einzelnen Vorkehrung.
Was Ersteller von QR-Codes beitragen können
Sicherheit ist keine reine Aufgabe der Scannenden. Wer QR-Codes für Kundschaft, Gäste oder Leser bereitstellt, kann viel dazu beitragen, dass die eigenen Codes als vertrauenswürdig erkennbar sind und sich von Fälschungen abheben.
Der erste Hebel ist die Zieladresse. Eine kurze, nachvollziehbare Domain, die klar zum Absender gehört, lässt sich in der Scan-Vorschau leicht prüfen. Verweist ein Code dagegen auf einen kryptischen Weiterleitungsdienst, ist für die Scannenden nicht erkennbar, wohin die Reise geht. Statische Codes mit der eigenen Domain sind hier im Vorteil, weil das Ziel direkt im Code steht und nicht hinter einer fremden Weiterleitung verschwindet.
1 Blick
Vorschau-URL prüfen genügt meist
0 Logins
über zufällig gefundene Codes
nur Stores
für App-Downloads
Der zweite Hebel ist der Kontext. Ein QR-Code sollte beschriftet sein: Wer steht dahinter, und was passiert beim Scannen? Ein klarer Hinweis neben dem Code, etwa der Firmenname und der Zweck, erschwert es Betrügern, einen Code unbemerkt auszutauschen, weil eine Manipulation eher auffällt. Auf gedruckten Materialien hilft zudem eine fest verbundene Platzierung statt eines leicht überklebbaren Aufklebers.
Der dritte Hebel ist die Konsistenz über alle Kanäle hinweg. Wird derselbe Code auf der Website, im Schaufenster und auf gedruckten Materialien verwendet, können Kunden die Echtheit leichter abgleichen. Weicht ein Code an einer Stelle plötzlich ab, fällt das schneller auf. Sinnvoll ist es außerdem, das Ziel hinter den eigenen Codes regelmäßig selbst zu testen. So fällt frühzeitig auf, wenn ein Code im öffentlichen Raum überklebt oder beschädigt wurde. Diese organisatorische Sorgfalt kostet wenig Zeit und schützt zugleich die eigene Reputation, denn ein betrügerisch umgeleiteter Code fällt am Ende auf den vermeintlichen Absender zurück.
Sicher und gelassen mit QR-Codes umgehen
QR-Codes sind kein Sicherheitsproblem an sich, sondern ein Werkzeug, das wie jeder Link bewusst genutzt werden will. Die Risiken rund um Quishing lassen sich mit wenigen Gewohnheiten beherrschen: die Vorschau-URL prüfen, auf überklebte Codes achten und sensible Eingaben nur bei vertrauenswürdiger Quelle vornehmen.
Für Ersteller gilt das Gegenstück: durch klaren Absender, nachvollziehbare Domain und gute Beschriftung Vertrauen schaffen. Wer eigene Codes erzeugt, kann das direkt mit dem QR-Code-Generator auf code-erzeugen.de tun, der statische Codes lokal im Browser erstellt. Wer tiefer einsteigen möchte, findet in der Anleitung zum QR-Code erstellen die Grundlagen und im Ratgeber statische vs. dynamische QR-Codes die Einordnung, warum die Wahl der Code-Art auch für die Nachvollziehbarkeit eine Rolle spielt.
Häufige Fragen
Was bedeutet Quishing?
Quishing ist eine Wortverbindung aus QR-Code und Phishing. Dabei werden QR-Codes genutzt, um Menschen auf gefälschte Webseiten zu locken oder unbemerkt Aktionen auszulösen, etwa eine Zahlung oder einen App-Download.
Kann ein QR-Code selbst Schadsoftware enthalten?
Nein. Ein QR-Code ist nur ein Muster, das Text oder eine Adresse codiert. Gefahr entsteht erst durch das, worauf der Code verweist, etwa eine gefälschte Seite oder ein manipulierter Download.
Wie erkenne ich einen manipulierten QR-Code?
Achte auf aufgeklebte Codes über bestehenden Aufdrucken, etwa an Parkautomaten oder Plakaten. Prüfe vor dem Öffnen die Vorschau-URL im Scanner und ob die Domain zum erwarteten Absender passt.
Ist es sicher, über einen QR-Code zu bezahlen?
Nur, wenn die Quelle vertrauenswürdig ist und die Zieladresse zum erwarteten Anbieter passt. Bei zufällig im öffentlichen Raum gefundenen Codes sollte man keine Zahlungen oder Logins durchführen.
Worauf sollten Ersteller von QR-Codes achten?
Auf einen klar erkennbaren Absender, eine kurze, nachvollziehbare Domain und eine eindeutige Beschriftung neben dem Code. Das hilft Scannenden, die Echtheit einzuordnen.
Quellen
Über die Autorenschaft
Eike-Christian Ramcke
Geschäftsführer AKARA Solutions GmbH
Themengebiet: Redaktionelle Aufsicht, QR-Code-Technik und Fehlerkorrektur
Mehr über Eike-Christian Ramcke →Verwandte Artikel
Grundlagen
QR-Code erstellen: Anleitung Schritt für Schritt
QR-Code erstellen leicht gemacht: Inhalt wählen, eingeben, gestalten, herunterladen. Mit Tipps zu Inhaltstypen, PNG vs. SVG und zuverlässigem Scannen.
Lesezeit 7 Min.
Technik
Wie funktioniert ein QR-Code? Aufbau und Technik erklärt
Wie ein QR-Code technisch funktioniert: Module, Finder-Muster, Datenbereich, Reed-Solomon-Fehlerkorrektur und Kapazität verständlich und praxisnah erklärt.
Lesezeit 8 Min.
Design
QR-Code mit Logo und Farbe gestalten ohne Scanbarkeit zu verlieren
So gestalten Sie einen QR-Code mit Logo in der Mitte, Markenfarbe und hohem Kontrast. Mit Grenzwerten, Risiko-Tabelle und Praxistest für zuverlässiges Scannen.
Lesezeit 7 Min.