arrow_backBlog
·5 Min. Lesezeit·Super QR Code Generator Team

QR-Code-Phishing (Quishing): Wie du Angriffe erkennst und abwehrst

Quishing-Angriffe nehmen rasant zu. Lerne, bösartige QR-Codes zu erkennen, deine Kunden zu schützen und deine Kampagnen vor Missbrauch zu sichern.

qr-code-sicherheitquishinganti-phishingqr-code best practices
QR-Code-Phishing (Quishing): Wie du Angriffe erkennst und abwehrst
AI-generated

QR-Codes sind mittlerweile überall — auf Restaurantmenüs, Veranstaltungsausweisen, Zahlungsterminals, Parkautomaten. Diese Allgegenwärtigkeit hat sie zu einer ernsten Angriffsfläche gemacht. „Quishing" (QR-Code-Phishing) ermöglicht es Angreifern, E-Mail-Filter komplett zu umgehen, denn die bösartige URL sitzt in einem Bild statt in einem reinen Text-Link. Sicherheitsteams bei großen Banken und Behörden stufen Quishing als einen der am schnellsten wachsenden Social-Engineering-Vektoren der letzten zwei Jahre ein. Wenn du QR-Codes für dein Unternehmen erstellst, hilft dir das Verständnis von Quishing sowohl dir selbst als auch den Personen, die deine Codes scannen.

Wie Quishing-Angriffe aussehen

Ein Quishing-Angriff folgt einem einfachen Schema:

  1. Der Angreifer erstellt einen QR-Code, der eine bösartige URL kodiert — meist eine Seite zum Sammeln von Zugangsdaten, die wie ein Bank-, Paketdienst- oder Arbeitsplatz-Login aussieht.
  2. Der Code wird in eine Phishing-E-Mail eingebettet (wo er Link-Scan-Filter umgeht), auf einem Aufkleber ausgedruckt und über einen legitimen QR-Code geklebt, oder auf einem Flyer in öffentlichen Räumen hinterlassen.
  3. Das Opfer scannt mit dem Smartphone. Mobile Browser haben weniger robuste Phishing-Schutzmaßnahmen als Desktop-Browser, daher gelingt der Angriff häufiger.

Die schädlichste Variante ist Aufkleber-Hijacking: Ein Krimineller druckt einen gefälschten QR-Aufkleber und klebt ihn über deinen Code auf einer physischen Anzeige. Deine Kunden scannen, was nach deinem Code aussieht, landen aber auf einer gefälschten Zahlungs- oder Login-Seite.

Sechs Zeichen für einen potenziell bösartigen QR-Code

Beibringe deinem Team — und erinnere deine Kunden daran — diese Punkte vor jeder Aktion zu überprüfen:

  • Aufkleber auf gedrucktem Material. Legitime Codes sind normalerweise Teil des ursprünglichen Drucks. Ein Aufkleber oben drauf, besonders wenn er schief oder blasig ist, ist ein rotes Zeichen.
  • URL-Domäne stimmt nicht mit der Marke überein. Nach dem Scannen zeigt die meisten Handy-Kameras die URL vor. Ein Code, der von „deinbank.de" sein soll, aber zu „deinb4nk-sicher.net" führt, ist gefälscht.
  • Kein HTTPS. Jedes Zahlungs- oder Login-Ziel sollte HTTPS verwenden. Reines HTTP im Jahr 2026 ist ein sofortiges Warnsignal.
  • Dringende Sprache um den Code. „Jetzt scannen oder dein Konto wird gesperrt" ist Social Engineering, keine legitime Geschäftskommunikation.
  • Unerwarteter Standort. Ein QR-Code an einem zufälligen Laternenpfahl, der zur Zahlung auffordert, ist inhärent verdächtig; derselbe Code auf einem gebrandeten, laminerten Schild in einem verifizierten Geschäft nicht.
  • Umleitungsketten, die du nicht eingerichtet hast. Wenn du als Marketer Scan-Daten überprüfst und unerwartete Zwischendomänen in deinem Umleitungspfad siehst, investigate sofort.

Wie du deine QR-Kampagnen sicherst

Nutze dynamische QR-Codes mit Ziel-Überwachung

Mit einem dynamischen QR-Code kannst du die Ziel-URL jederzeit ändern, ohne neu zu drucken. Wenn jemand deinen Code mit einem Aufkleber kappert, kannst du die zugrunde liegende URL auf eine Warnseite umleiten — und du kannst Scan-Daten auf Anomalien überwachen (ungewöhnliche Standorte, plötzliche Traffic-Spitzen aus fremden Städten), die darauf hindeuten könnten, dass dein Code ausgebeutet wird. Statische Codes bieten nach dem Druck keine solche Möglichkeit.

Registriere eine erkennbare Short-Domain

Generische Short-Domains wie bit.ly oder qr.io trainieren Nutzer, die URL-Vorschau zu ignorieren, weil sie nie wie deine Marke aussieht. Wenn deine Plattform eine Custom-Short-Domain unterstützt (z. B. links.deinmarke.de), nutze sie. Kunden lernen, sie zu erkennen; Angreifer können sie nicht billig replizieren.

Füge sichtbares Branding zum Code selbst hinzu

Ein gebrandeter QR-Code — mit deinem Logo, Markenfarben und klarem Call-to-Action wie „Scannen zum Zahlen — DeinMarke.de" — ist schwerer mit einem Aufkleber überzeugend zu replizieren. Unsere markenkonforme QR-Codes unterstützen Logo-Einbettung und Custom-Auge-Stile, sodass der fertige Code visuell so unverwechselbar ist, dass ein einfacher schwarz-weiß-Aufkleber offensichtlich falsch aussieht.

Laminiere und befestige physische Codes

Aufkleber-Hijacking ist leichter bei Codes auf Papierpapieren oder leichten Anzeigen. Laminierte Einsätze, Acryl-Ständer oder direkt auf robustem Material gedruckte Codes sind schwerer überzeugend zu überlagern. Für risikobehaftete Standorte (insbesondere Zahlungs-QR-Codes) solltest du einen sekundären Verifikationsschritt erwägen — wie die Anzeige der ersten vier Ziffern des erwarteten Gesamtbetrags auf dem Bildschirm, bevor der Nutzer Details eingibt.

Überprüfe deine gedruckten Codes regelmäßig

Baue eine einfache Kontrolle in deine Abläufe ein: Wer dein Lokal morgens öffnet, führt einen schnellen visuellen Scan aller angezeigten QR-Codes durch. Achte auf Aufkleber, Blasen oder physische Beschädigungen. Das kostet nichts und fängt Aufkleber-Hijacking ab, bevor die meisten Kunden es antreffen.

Was du deinen Kunden sagen solltest

Wenn du QR-Codes für Zahlungen oder Kontozugriff nutzt, geht eine einzeilige Anweisung neben jedem Code weit:

„Nach dem Scannen: Bestätige, dass die URL mit deinmarke.de beginnt, bevor du Details eingibst."

Das setzt eine Erwartung. Kunden, die es gewohnt sind, die URL zu verifizieren, fallen viel weniger auf einen gekapperten Code herein, selbst wenn deine physische Sicherheitsprüfung einen Aufkleber verpasst.

Eine Anmerkung zu Scan-Analytics als Sicherheitssignal

Das Überwachen deiner QR-Code-Scan-Analytics ist nicht nur eine Marketing-Übung — es ist ein leichtes Sicherheitssignal. Wenn ein Code, der normalerweise 20 Scans pro Tag bekommt, plötzlich 400 Scans aus einer Stadt zeigt, wo du keine Kunden hast, stimmt etwas nicht. Entweder wird dein Code in einem unerwarteten Kontext geteilt, oder jemand testet eine geklonte Version. In jedem Fall verdient es Untersuchung.

Wichtigste Erkenntnisse

  • Quishing (QR-Code-Phishing) funktioniert durch das Kodieren von bösartigen URLs in Bildern und umgeht E-Mail-Link-Scanner — was es zu einer wachsenden Bedrohung macht.
  • Aufkleber-Hijacking ist der häufigste physische Angriffsvektor: Kriminelle kleben gefälschte Codes über legitimen.
  • Dynamische QR-Codes ermöglichen es dir, Ziele zu ändern und Missbrauch zu überwachen; statische Codes geben dir nach dem Druck keine Optionen.
  • Brande deine Codes visuell, nutze eine erkennbare Domäne und füge eine URL-Verifikationsanweisung neben jeden Zahlungs- oder Login-QR-Code ein.
  • Behandele Anomalien in deinen Scan-Analytics — plötzliche Spitzen, ungewöhnliche Geographien — als potenzielles Sicherheitsalarm, nicht nur als Marketing-Neugierde.
  • Tägliche physische Überprüfungen der angezeigten Codes kosten nichts und bleiben die zuverlässigste Methode, um Aufkleber-Hijacking früh zu erkennen.

Häufige Fragen

Wie erkenne ich, ob ein QR-Code vor dem Scannen manipuliert wurde?expand_more
Achte auf physische Zeichen eines Aufklebers über dem ursprünglichen gedruckten Material — Blasen, Fehlausrichtung oder ein leicht anderes Finish. Nachdem du gescannt hast, aber bevor du auf einen Link klickst, überprüfe die URL-Vorschau, die deine Kamera zeigt. Wenn die Domäne nicht mit der Marke rund um den Code übereinstimmt, schließe sofort, ohne die Seite zu besuchen.
Was sollte ich tun, wenn ich denke, dass mein Geschäfts-QR-Code gehackt wurde?expand_more
Wenn du einen dynamischen QR-Code nutzt, melde dich sofort in deiner QR-Plattform an und leite das Ziel auf eine Warnseite um, während du untersuchst. Entferne manipulierte physische Codes aus der Anzeige, überprüfe deine Scan-Analytics auf ungewöhnliche Aktivitäten und benachrichtige deine Kunden über andere Kanäle (E-Mail, Social Media), dass der Code vorübergehend gesperrt ist.
Sind QR-Code-Zahlungen sicherer als NFC-Tap-to-Pay bezüglich Phishing-Risiko?expand_more
NFC-Tap-to-Pay kommuniziert direkt mit einem verifizierten Terminal, was aufkleber-basiertes Hijacking praktisch unmöglich macht — die physische Hardware ist der Vertrauensanker. QR-Code-Zahlungen basieren darauf, dass der Nutzer zur korrekten URL navigiert, was ein Phishing-Risiko einführt, das NFC vermeidet. Bei Hochwert-Zahlungsszenarien birgt NFC ein deutlich geringeres Social-Engineering-Risiko.
Kann Antivirus-Software auf meinem Telefon mich vor Quishing-Angriffen schützen?expand_more
Einige Mobile-Security-Apps kennzeichnen nach dem Scannen eines QR-Codes bekannte bösartige URLs, aber die Abdeckung ist inconsistent und hängt davon ab, ob die spezifische Phishing-Domain bereits in der Bedrohungsdatenbank ist. Eine neu registrierte Phishing-Domain, die in einem gezielten Angriff verwendet wird, wird möglicherweise nicht erkannt. Manuelle URL-Verifikation bleibt der zuverlässigste Schutz, besonders für Zahlungs- oder Login-Seiten.
Wie kommen Angreifer davon, gefälschte QR-Aufkleber an öffentlichen Orten anzubringen?expand_more
Es dauert nur Sekunden, einen kleinen Aufkleber über einen vorhandenen QR-Code zu kleben, und die meisten öffentlichen Orte haben kein Personal, das ihre Beschilderung täglich überprüft. Angreifer zielen oft auf Orte mit hohem Verkehrsaufkommen und wenig Überwachung ab — Parkautomaten, Café-Theken, gemeinsame Drucker im Workspace — wo ein bösartiger Code hunderte Scans sammeln kann, bevor jemand die Manipulation bemerkt.

Weitere Beiträge

Frühjahrs-QR-Code-Kampagnen: 5 Taktiken, die wirklich konvertieren

Herbst-QR-Code-Kampagnen: 7 Taktiken für mehr Umsatz

Dynamische QR-Weiterleitung: Scanner automatisch zu verschiedenen URLs lenken

QR-Code erstellen