Die meisten Menschen scannen QR-Codes, ohne zweimal nachzudenken. Genau darauf rechnen Angreifer. Egal ob du als Kunde die Speisekarte im Restaurant scannst oder als Marketer dein eigenes Kampagnenmaterial prüfst – zu wissen, worauf man vor dem Scannen achten sollte, kann dich vor einer Umleitung zu einer Phishing-Seite, einem Malware-Download oder einem Formular zum Sammeln von Anmeldedaten bewahren.
Diese Checkliste funktioniert in zwei Richtungen: Nutze sie zum Schutz deiner selbst als Scanner, und nutze sie, um deine eigenen gedruckten QR-Materialien zu überprüfen, bevor Kunden damit interagieren.
Warum die Gewohnheit „Erst scannen, dann Fragen stellen" riskant ist
QR-Codes sind bewusst undurchsichtig gestaltet. Das menschliche Auge kann das Muster nicht dekodieren, um die Ziel-URL zu lesen. Angreifer nutzen dies aus, indem sie Aufkleber über legitime Codes kleben, betrügerische Codes auf gefälschten Rechnungen drucken oder Codes in Phishing-E-Mails versenden. Das Ziel bleibt verborgen, bis die Kamera aktiviert wird – und zu diesem Zeitpunkt klicken viele Menschen bereits durch, ohne die URL zu lesen.
Deshalb muss die Überprüfung vor und unmittelbar nach dem Scannen stattfinden, nicht nachdem du dein Passwort eingegeben hast.
Die 7-Punkte-Überprüfungscheckliste
1. Überprüfe den physischen Zustand des Codes
Wenn du einen gedruckten QR-Code an einem physischen Ort scannst, schaue dir diesen genau an. Ein Aufkleber, der über den ursprünglichen Code geklebt ist, gehört zu den häufigsten physischen Angriffsarten – die Aufkleber-Schicht kann leicht erhaben, falsch ausgerichtet oder von geringerer Druckqualität als das Umgebungsmaterial sein. Falls etwas manipuliert aussieht, scanne es nicht. Melde es dem Verantwortlichen vor Ort.
2. Achte auf den Kontext
Legitime QR-Codes an physischen Orten erscheinen im Kontext: auf einer markengebundenen Speisekarte, auf einem Schild mit dem Firmenlogo, auf einer offiziellen Quittung. Ein Code, der auf eine öffentliche Oberfläche geklebt ist, ohne Branding oder Erklärung, ist ein Warnsignal. Frage dich: Gehört dieser Code hierher? Gibt es einen klaren, glaubwürdigen Grund für seinen Standort?
3. Nutze einen Scanner, der die URL zeigt
Die meisten modernen Smartphone-Kameras zeigen die Ziel-URL in einer Vorschau an, bevor du sie öffnest. Trainiere dich selbst, diese Vorschau tatsächlich zu lesen. Worauf du achten solltest:
- Ist die Domain korrekt geschrieben? (z. B.
paypa1.comstattpaypal.com) - Gibt es eine ungewöhnliche Subdomain vor einer legitim aussehenden Domain? (z. B.
paypal.com.evil.net– hier ist die echte Domainevil.net) - Verwendet die URL HTTPS?
- Ist es eine verkürzte URL (bit.ly, tinyurl usw.) ohne sichtbares Ziel?
4. Misstraue unerklärten URL-Verkürzern
Kurz-URLs verbergen das endgültige Ziel. Viele legitime Kampagnen nutzen sie zwar, aber eine unaufgeforderte oder nicht markierte Kurz-URL in einem QR-Code verdient es, als verdächtig behandelt zu werden – besonders in E-Mails, WhatsApp-Nachrichten oder auf Papier, das du nicht angefordert hast. Die Risiken gestapelter Verkürzer sind erheblich genug, dass es sich lohnt, mehr über wie URL-Verkürzer mit QR-Codes interagieren zu erfahren, wenn du dynamische Codes nutzt.
5. Überprüfe die Zielseite, bevor du etwas eingibst
Sobald du die Seite geöffnet hast – aber bevor du etwas eingibst oder einen Button tippst – führe eine schnelle Vertrauensprüfung durch:
- HTTPS-Schloss vorhanden? Nicht ausreichend als alleiniges Zeichen, aber dessen Fehlen ist disqualifizierend.
- Passt die Domain zur erwarteten Marke? Die Seite könnte mit einer echten Seite identisch aussehen, aber auf einer ähnlichen Domain gehostet sein.
- Wirst du sofort aufgefordert, Anmeldedaten oder Zahlungsinformationen einzugeben? Legitime Services fordern dies selten auf der ersten Seite eines QR-Scans ohne Erklärung.
- Sind Datenschutz und Kontaktdaten sichtbar? Phishing-Seiten kümmern sich selten darum. Du kannst überprüfen, welche Vertrauenssignale Scanner vor einer Konvertierung prüfen, um eine legitime Landingpage einzuschätzen.
6. Überprüfe dynamische Codes, die dir gehören, regelmäßig
Wenn du dynamische QR-Codes für dein Unternehmen eingesetzt hast, kann die Umleitung verändert werden – von dir oder theoretisch von jedem, der Zugriff auf dein Dashboard hat. Überprüfe deine aktiven Codes monatlich:
- Melde dich bei deiner QR-Plattform an und bestätige die Ziel-URL für jeden aktiven Code.
- Scanne den Code selbst in einer neuen Sitzung und überprüfe, ob er dich zum erwarteten Ziel führt.
- Überprüfe, dass die Zielseite noch erreichbar ist und nicht kompromittiert wurde.
Dies ist einer der unterschätzten Unterschiede bei der Entscheidung zwischen statischen und dynamischen QR-Codes: Dynamische Codes bieten enormen Spielraum, erfordern aber eine laufende Sicherheitshaltung, die statische Codes nicht brauchen.
7. Achte auf ungewöhnliche Berechtigungsanfragen nach dem Scannen
Einige bösartige QR-Ziele versuchen, Browser-Berechtigungsaufforderungen (Mikrofon, Kamera, Standort, Benachrichtigungen) sofort beim Seitenladen auszulösen. Falls eine Seite, auf die du über einen QR-Code gelangt bist, ungewöhnliche Berechtigungen fordert, bevor du etwas getan hast, verlasse sie sofort und melde den Code. Kein legitimes Restaurant, Einzelhandelsgeschäft oder Dienstleister braucht dein Mikrofon, um dir ein Menü zu zeigen.
Für Geschäftsinhaber: Härte deine QR-Einsätze ab
Wenn du QR-Codes über dein kleines Unternehmen oder Marketingkampagnen verbreitest, ist die obige Checkliste auch eine nützliche Perspektive, was deine Kunden bewerten sollten (oder müssen). Ein paar Praktiken, die das Risiko auf deiner Seite senken:
- Nutze eine Plattform mit Domain-Verifizierung, damit deine QR-Codes immer über deine eigene Marken-Kurzdomäne aufgelöst werden, nicht über eine generische.
- Drucke manipulationssichere Materialien, wo Codes angebracht sind – geprägte Rahmen, holografische Overlays oder QR-Codes, die in das Design integriert sind, anstatt als Aufkleber hinzugefügt zu werden.
- Füge sichtbaren Kontext um jeden Code hinzu: dein Logo, eine kurze Beschreibung des Ziels und idealerweise die reine URL in kleiner Schrift darunter.
- Richte Scan-Monitoring auf und warnte dich selbst vor ungewöhnlichen Traffic-Spitzen, die darauf hindeuten könnten, dass jemand deinen Code umgeleitet oder eine Fälschung platziert hat.
Du kannst sichere, nachverfolgbare Codes direkt von Super QR Code Generator generieren und die Ziel-URL unter deiner Kontrolle halten.
Wichtigste Erkenntnisse
- Das größte QR-Sicherheitsrisiko ist, dass die URL verborgen bleibt, bevor du durchklickst – trainiere dich, die Vorschau zu lesen.
- Physische Manipulationen (Aufkleber über Codes) sind ein echtes Angriffsrisiko in Restaurants, Verkehrswesen und Einzelhandel.
- Unerklärte URL-Verkürzer und sofortige Anfragen nach Anmeldedaten nach dem Scannen sind die zwei klarsten Warnsignale.
- Geschäftsinhaber sollten ihre eingesetzten dynamischen QR-Codes als aktive digitale Assets behandeln, die regelmäßig überprüft werden müssen, nicht als einmalige Tools.
- Sichtbare Branding-Elemente und eine klartextliche URL rund um deine gedruckten Codes reduzieren sowohl Betrugsbrisiken als auch Zögerlichkeit beim Scannen.
