arrow_backBlog
·5 Min. Lesezeit·Super QR Code Generator Team

QR-Code Sicherheitsprüfung: 7 Dinge vor dem Scannen überprüfen

Führe diese 7 schnellen Kontrollen durch, bevor du einen QR-Code scannst – vermeide Phishing, Malware und Umleitungen. Praktischer Leitfaden für Unternehmen und alltägliche Nutzer.

qr-code-sicherheitanti-phishingquishingqr-sicherheit
QR-Code Sicherheitsprüfung: 7 Dinge vor dem Scannen überprüfen
AI-generated

Die meisten Menschen scannen QR-Codes, ohne zweimal nachzudenken. Genau darauf rechnen Angreifer. Egal ob du als Kunde die Speisekarte im Restaurant scannst oder als Marketer dein eigenes Kampagnenmaterial prüfst – zu wissen, worauf man vor dem Scannen achten sollte, kann dich vor einer Umleitung zu einer Phishing-Seite, einem Malware-Download oder einem Formular zum Sammeln von Anmeldedaten bewahren.

Diese Checkliste funktioniert in zwei Richtungen: Nutze sie zum Schutz deiner selbst als Scanner, und nutze sie, um deine eigenen gedruckten QR-Materialien zu überprüfen, bevor Kunden damit interagieren.

Warum die Gewohnheit „Erst scannen, dann Fragen stellen" riskant ist

QR-Codes sind bewusst undurchsichtig gestaltet. Das menschliche Auge kann das Muster nicht dekodieren, um die Ziel-URL zu lesen. Angreifer nutzen dies aus, indem sie Aufkleber über legitime Codes kleben, betrügerische Codes auf gefälschten Rechnungen drucken oder Codes in Phishing-E-Mails versenden. Das Ziel bleibt verborgen, bis die Kamera aktiviert wird – und zu diesem Zeitpunkt klicken viele Menschen bereits durch, ohne die URL zu lesen.

Deshalb muss die Überprüfung vor und unmittelbar nach dem Scannen stattfinden, nicht nachdem du dein Passwort eingegeben hast.


Die 7-Punkte-Überprüfungscheckliste

1. Überprüfe den physischen Zustand des Codes

Wenn du einen gedruckten QR-Code an einem physischen Ort scannst, schaue dir diesen genau an. Ein Aufkleber, der über den ursprünglichen Code geklebt ist, gehört zu den häufigsten physischen Angriffsarten – die Aufkleber-Schicht kann leicht erhaben, falsch ausgerichtet oder von geringerer Druckqualität als das Umgebungsmaterial sein. Falls etwas manipuliert aussieht, scanne es nicht. Melde es dem Verantwort­lichen vor Ort.

2. Achte auf den Kontext

Legitime QR-Codes an physischen Orten erscheinen im Kontext: auf einer markengebundenen Speisekarte, auf einem Schild mit dem Firmenlogo, auf einer offiziellen Quittung. Ein Code, der auf eine öffentliche Oberfläche geklebt ist, ohne Branding oder Erklärung, ist ein Warnsignal. Frage dich: Gehört dieser Code hierher? Gibt es einen klaren, glaubwürdigen Grund für seinen Standort?

3. Nutze einen Scanner, der die URL zeigt

Die meisten modernen Smartphone-Kameras zeigen die Ziel-URL in einer Vorschau an, bevor du sie öffnest. Trainiere dich selbst, diese Vorschau tatsächlich zu lesen. Worauf du achten solltest:

  • Ist die Domain korrekt geschrieben? (z. B. paypa1.com statt paypal.com)
  • Gibt es eine ungewöhnliche Subdomain vor einer legitim aussehenden Domain? (z. B. paypal.com.evil.net – hier ist die echte Domain evil.net)
  • Verwendet die URL HTTPS?
  • Ist es eine verkürzte URL (bit.ly, tinyurl usw.) ohne sichtbares Ziel?

4. Misstraue unerklärten URL-Verkürzern

Kurz-URLs verbergen das endgültige Ziel. Viele legitime Kampagnen nutzen sie zwar, aber eine unaufgeforderte oder nicht markierte Kurz-URL in einem QR-Code verdient es, als verdächtig behandelt zu werden – besonders in E-Mails, WhatsApp-Nachrichten oder auf Papier, das du nicht angefordert hast. Die Risiken gestapelter Verkürzer sind erheblich genug, dass es sich lohnt, mehr über wie URL-Verkürzer mit QR-Codes interagieren zu erfahren, wenn du dynamische Codes nutzt.

5. Überprüfe die Zielseite, bevor du etwas eingibst

Sobald du die Seite geöffnet hast – aber bevor du etwas eingibst oder einen Button tippst – führe eine schnelle Vertrauensprüfung durch:

  • HTTPS-Schloss vorhanden? Nicht ausreichend als alleiniges Zeichen, aber dessen Fehlen ist disqualifizierend.
  • Passt die Domain zur erwarteten Marke? Die Seite könnte mit einer echten Seite identisch aussehen, aber auf einer ähnlichen Domain gehostet sein.
  • Wirst du sofort aufgefordert, Anmeldedaten oder Zahlungsinformationen einzugeben? Legitime Services fordern dies selten auf der ersten Seite eines QR-Scans ohne Erklärung.
  • Sind Datenschutz und Kontaktdaten sichtbar? Phishing-Seiten kümmern sich selten darum. Du kannst überprüfen, welche Vertrauenssignale Scanner vor einer Konvertierung prüfen, um eine legitime Landingpage einzuschätzen.

6. Überprüfe dynamische Codes, die dir gehören, regelmäßig

Wenn du dynamische QR-Codes für dein Unternehmen eingesetzt hast, kann die Umleitung verändert werden – von dir oder theoretisch von jedem, der Zugriff auf dein Dashboard hat. Überprüfe deine aktiven Codes monatlich:

  • Melde dich bei deiner QR-Plattform an und bestätige die Ziel-URL für jeden aktiven Code.
  • Scanne den Code selbst in einer neuen Sitzung und überprüfe, ob er dich zum erwarteten Ziel führt.
  • Überprüfe, dass die Zielseite noch erreichbar ist und nicht kompromittiert wurde.

Dies ist einer der unterschätzten Unterschiede bei der Entscheidung zwischen statischen und dynamischen QR-Codes: Dynamische Codes bieten enormen Spielraum, erfordern aber eine laufende Sicherheits­haltung, die statische Codes nicht brauchen.

7. Achte auf ungewöhnliche Berechtigungsanfragen nach dem Scannen

Einige bösartige QR-Ziele versuchen, Browser-Berechtigungsaufforderungen (Mikrofon, Kamera, Standort, Benachrichtigungen) sofort beim Seiten­laden auszulösen. Falls eine Seite, auf die du über einen QR-Code gelangt bist, ungewöhnliche Berechtigungen fordert, bevor du etwas getan hast, verlasse sie sofort und melde den Code. Kein legitimes Restaurant, Einzelhandelsgeschäft oder Dienstleister braucht dein Mikrofon, um dir ein Menü zu zeigen.


Für Geschäftsinhaber: Härte deine QR-Einsätze ab

Wenn du QR-Codes über dein kleines Unternehmen oder Marketing­kampagnen verbreitest, ist die obige Checkliste auch eine nützliche Perspektive, was deine Kunden bewerten sollten (oder müssen). Ein paar Praktiken, die das Risiko auf deiner Seite senken:

  • Nutze eine Plattform mit Domain-Verifizierung, damit deine QR-Codes immer über deine eigene Marken-Kurzdomäne aufgelöst werden, nicht über eine generische.
  • Drucke manipulationssichere Materialien, wo Codes angebracht sind – geprägte Rahmen, holografische Overlays oder QR-Codes, die in das Design integriert sind, anstatt als Aufkleber hinzugefügt zu werden.
  • Füge sichtbaren Kontext um jeden Code hinzu: dein Logo, eine kurze Beschreibung des Ziels und idealerweise die reine URL in kleiner Schrift darunter.
  • Richte Scan-Monitoring auf und warnte dich selbst vor ungewöhnlichen Traffic-Spitzen, die darauf hindeuten könnten, dass jemand deinen Code umgeleitet oder eine Fälschung platziert hat.

Du kannst sichere, nachverfolgbare Codes direkt von Super QR Code Generator generieren und die Ziel-URL unter deiner Kontrolle halten.


Wichtigste Erkenntnisse

  • Das größte QR-Sicherheitsrisiko ist, dass die URL verborgen bleibt, bevor du durchklickst – trainiere dich, die Vorschau zu lesen.
  • Physische Manipulationen (Aufkleber über Codes) sind ein echtes Angriffsrisiko in Restaurants, Verkehrswesen und Einzelhandel.
  • Unerklärte URL-Verkürzer und sofortige Anfragen nach Anmeldedaten nach dem Scannen sind die zwei klarsten Warnsignale.
  • Geschäftsinhaber sollten ihre eingesetzten dynamischen QR-Codes als aktive digitale Assets behandeln, die regelmäßig überprüft werden müssen, nicht als einmalige Tools.
  • Sichtbare Branding-Elemente und eine klartextliche URL rund um deine gedruckten Codes reduzieren sowohl Betrugsbrisiken als auch Zögerlichkeit beim Scannen.

Häufige Fragen

Wie kann ich sehen, wohin ein QR-Code führt, bevor ich ihn vollständig öffne?expand_more
Die meisten iPhone- und Android-Kameras zeigen eine URL-Vorschaubanner am oberen Bildschirmrand an, wenn du die Kamera auf einen QR-Code richtest. Lese diese URL sorgfältig durch, bevor du tippst. Du kannst auch eine dedizierte QR-Scanner-App nutzen, die die vollständige Ziel-URL zeigt und dir ermöglicht zu entscheiden, ob du weitermachst. Überspringe nie diesen Vorschauschritt, besonders bei unerwarteten Codes.
Wie sollte eine QR-Code-URL aussehen, um als vertrauenswürdig zu gelten?expand_more
Eine vertrauenswürdige QR-URL beginnt mit HTTPS, nutzt eine erkennbare, korrekt geschriebene Markendomain und kettet sich nicht durch mehrere Umleitungen oder obskure Verkürzer. Idealerweise passt sie zum Markennamen des Unternehmens, das den Code platziert hat. Eine URL mit willkürlichen Zeichen, ähnlichen Zeichen (wie die Ziffer 1 statt des Buchstabens l) oder einer unbekannten Top-Level-Domain verdient besondere Vorsicht, bevor du weitermachst.
Kann ein QR-Code nur durch das Scannen Malware auf mein Telefon installieren?expand_more
Das Scannen allein – die Kamera liest das Muster – installiert nichts. Das Risiko kommt vom Ziel, das es öffnet. Eine bösartige URL kann zu einer Drive-by-Download-Seite führen, die versucht, Browser-Sicherheitslücken auszunutzen, oder ein Phishing-Formular, das Anmeldedaten sammelt. Dein Betriebssystem und Browser auf dem neuesten Stand zu halten, ist die primäre technische Verteidigung gegen Drive-by-Download-Versuche.
Wie oft sollten Unternehmen ihre aktiven QR-Code-Ziele überprüfen?expand_more
Eine monatliche Überprüfung ist für die meisten kleinen Unternehmen eine angemessene Grundlage. Scanne jeden aktiven Code selbst in einer neuen Browser-Sitzung, bestätige die Ziel-URL in deinem QR-Plattform-Dashboard und überprüfe, ob die Landingpage korrekt lädt und nicht verändert wurde. High-Traffic- oder zahlungsbezogene Codes – wie solche, die zu Online-Bestellungen oder Zahlungsseiten führen – verdienen Kontrollen alle zwei Wochen.
Was macht einen QR-Code auf einem Restauranttisch risikanter als einen in einer E-Mail?expand_more
Physische QR-Codes sind anfällig für Aufkleber-über-Aufkleber-Manipulationen – jeder kann einen gefälschten Code drucken und über den Original kleben, ohne dass das Restaurant es bemerkt. E-Mail-QR-Codes sind eher Teil von organisierten Phishing-Kampagnen, die massenhaft versendet werden. Beide erfordern URL-Überprüfung, aber physische Codes erfordern zusätzlich eine visuelle Überprüfung des Codes und seiner Umgebung auf Manipulationszeichen vor dem Scannen.