Tobias Harmes
Tobias Harmes
4. Mai 2026

Quishing

Quishing

Quishing bezeichnet eine Betrugsmasche, bei der manipulierte QR-Codes auf gefälschte Webseiten führen, um sensible Daten abzugreifen oder Zahlungen umzuleiten. Gerade weil QR-Codes im Alltag als praktisch und vertraut gelten, wird diese Selbstverständlichkeit gezielt ausgenutzt. Das Risiko lässt sich deutlich verringern, wenn typische Muster bekannt sind und QR-Codes nicht ungeprüft verwendet werden.

Inhaltsverzeichnis

  1. Was ist Quishing?
  2. Warum Quishing besonders gefährlich ist
  3. Typische Beispiele für Quishing
    1. Quishing per Post
    2. Quishing im öffentlichen Raum
    3. Woran sich Quishing erkennen lässt
  4. So schützen Sie sich vor Quishing
    1. Vorgehen bei Briefen
    2. Vorgehen im öffentlichen Raum
    3. Was im Verdachtsfall zu tun ist
  5. Fazit
  6. FAQ
    1. Was ist Quishing?
    2. Wo kommt Quishing vor?
    3. Warum ist Quishing so schwer zu erkennen?
    4. Wie kann ich mich schützen?
    5. Was sollte ich tun, wenn ich betroffen bin?
    6. Wer kann mir beim Thema Quishing helfen?
    7. Kontaktieren Sie mich

IT Security Spezialist

Unsere IT-Security-Spezialisten unterstützen Sie bei der Konzeption und Umsetzung von umfassenden IT-Security-Konzepten.

informieren

Was ist Quishing?

Quishing ist eine Kombination aus QR-Code und Phishing. Gemeint ist ein Betrugsversuch, bei dem nicht ein sichtbarer Link, sondern ein QR-Code verwendet wird, um Menschen auf schädliche oder gefälschte Inhalte zu lenken. Ziel ist es, Zugangsdaten, Kontoinformationen, persönliche Daten oder Zahlungsinformationen zu erbeuten oder Betroffene zu bestimmten Handlungen zu verleiten.

Im Unterschied zum klassischen Phishing verlagert sich der erste Kontakt auf einen Code, der zunächst neutral wirkt. Während Phishing häufig mit E-Mails, Nachrichten oder gefälschten Formularen verbunden wird, kann Quishing sowohl digital als auch analog stattfinden. QR-Codes tauchen etwa in E-Mails auf, aber auch auf Briefen, an Automaten oder auf Aushängen im öffentlichen Raum. Gerade diese Verbindung aus digitaler und physischer Täuschung macht die Methode besonders schwer erkennbar.

Warum Quishing besonders gefährlich ist

Quishing nutzt ein Medium, das meist mit Komfort verbunden wird. Wer einen QR-Code scannt, erwartet häufig eine praktische Abkürzung und keine Sicherheitsprüfung. Dadurch sinkt die Aufmerksamkeit. Gleichzeitig können gefälschte Seiten inzwischen sehr überzeugend gestaltet sein. Logos, Farben, Formulare und Sprache werden so übernommen, dass der Eindruck einer bekannten Bank, eines Verkehrsunternehmens oder eines Bezahldienstes entsteht.

Hinzu kommt, dass die tatsächliche Zieladresse beim Scannen oft nur eingeschränkt sichtbar ist. Schon kleine Abweichungen in der Domain reichen aus, um aus einer seriös wirkenden Adresse eine betrügerische Seite zu machen. Besonders problematisch ist das in Situationen, in denen Menschen mobil unterwegs sind, schnell handeln wollen oder dem Umfeld vertrauen, in dem der QR-Code auftaucht. Ein Code auf einer Ladesäule, an einem Parkautomaten oder in einem Brief mit offiziellem Erscheinungsbild wirkt zunächst plausibel. Genau diese Vertrauensmomente werden beim Quishing gezielt ausgenutzt.

Typische Beispiele für Quishing

Ein häufiges Beispiel sind E-Mails mit QR-Code. Darin geben sich Angreifende etwa als Bank, Club, Dienstleister oder bekannte Organisation aus und behaupten, dass eine Sicherheitsprüfung, Aktualisierung oder Bestätigung erforderlich sei. Statt einen sichtbaren Link einzubauen, platzieren sie einen QR-Code in der Nachricht. Wer ihn scannt, gelangt auf eine gefälschte Website und gibt dort unter Umständen sensible Daten ein.

Quishing per Post

Besonders glaubwürdig wirken auch falsche Briefe von angeblichen Banken. In solchen Schreiben wird häufig ein dringender Handlungsbedarf behauptet, etwa die Aktualisierung des E-Bankings oder die Erneuerung eines Sicherheitsverfahrens. Der QR-Code erscheint dabei als bequemer Zugang zur vermeintlich offiziellen Seite, führt tatsächlich aber auf ein gefälschtes Portal. Hinweise können unpersönliche Anreden, stilistisch untypische Formulierungen oder ein insgesamt leicht unnatürlicher Kommunikationsstil sein.

Quishing im öffentlichen Raum

Auch im öffentlichen Raum kommt Quishing vor. So wurden manipulierte QR-Codes an E-Ladesäulen und Parkscheinautomaten entdeckt. Vorhandene Codes werden dabei überklebt oder durch falsche Bezahlseiten ersetzt. Zahlungen gehen dann nicht an den echten Anbieter, sondern an Betrüger. Teilweise lassen sich solche Fälschungen an sprachlichen Auffälligkeiten oder unplausiblen Auswahloptionen erkennen. Darauf sollte man sich jedoch nicht verlassen.

Webinar: Hacker hassen diesen Trick: Praxismaßnahmen für IT-Security-Awareness

In diesem Webinar erfahren Sie, wie Sie als IT-Security-Verantwortliche die Security-Awareness in Ihrem Unternehmen erhöhen können. Sie erhalten von uns konkrete Best Practices und Maßnahmen.
Jetzt anmelden

Hinzu kommen gefälschte Strafzettel oder Plakate in Bussen und Bahnen. Sie wirken auf den ersten Blick offiziell, sollen aber dazu verleiten, einen QR-Code zu scannen und persönliche Daten einzugeben. Solche Maschen funktionieren vor allem in Situationen, in denen Menschen schnell reagieren und wenig Zeit für eine genaue Prüfung haben.

Woran sich Quishing erkennen lässt

Nicht jeder QR-Code ist verdächtig. Auffällig wird es dann, wenn Druck, Dringlichkeit oder ein ungewöhnlicher Kontext hinzukommen. Vorsicht ist geboten, wenn…

  • ein Schreiben eine sofortige Reaktion fordert.
  • auf Konsequenzen wie Sperrungen oder Nachteile hingewiesen wird.
  • ein Code an einem Ort auftaucht, an dem er sichtbar überklebt oder nachträglich angebracht wurde.

Ein weiteres Warnsignal sind unpersönliche oder sprachlich auffällige Formulierungen. Das gilt für E-Mails ebenso wie für Briefe oder Plakate. Auch optisch glaubwürdige Seiten sollten kritisch geprüft werden. Ausschlaggebend ist nicht das Logo, sondern die tatsächliche Internetadresse. Bereits ein zusätzliches Zeichen, ein Bindestrich an der falschen Stelle oder eine leicht veränderte Domain kann auf eine Fälschung hinweisen.

So schützen Sie sich vor Quishing

Der wirksamste Schutz beginnt mit einem einfachen Grundsatz: QR-Codes sollten nicht automatisch gescannt werden. Hilfreich ist es, nur Kamera- oder Scanner-Funktionen zu verwenden, die das Ziel vor dem Öffnen anzeigen. So lässt sich die Internetadresse prüfen, bevor eine Seite aufgerufen wird. Dabei sollte die Domain vollständig gelesen werden. Entscheidend ist nicht nur ein bekannter Name am Anfang, sondern die gesamte Adresse.

Vorgehen bei Briefen

Bei Briefen, Zahlungsaufforderungen oder sicherheitsrelevanten Nachrichten sollte der Vorgang unabhängig verifiziert werden. Dafür sollten ausschließlich offizielle Kontaktwege genutzt werden, die selbst recherchiert wurden. Stammt ein Brief angeblich von einer Bank, sollte die Prüfung über das echte Online-Banking oder die offizielle Website erfolgen, nicht über den QR-Code oder eine im Schreiben genannte Rufnummer.

Vorgehen im öffentlichen Raum

Im öffentlichen Raum ist besondere Aufmerksamkeit sinnvoll. Bei Ladesäulen und Parkautomaten sollte geprüft werden, ob ein Code überklebt wurde. Wenn ein Display vorhanden ist, ist der dort angezeigte Code in der Regel vertrauenswürdiger als ein aufgeklebter Sticker. Noch sicherer ist es oft, direkt die offizielle App oder die vorhandene Kundenkarte des Anbieters zu nutzen. Bei auffälligen Aushängen in Bussen, Bahnen oder an anderen öffentlichen Orten sollte lieber beim Betreiber nachgefragt werden, statt spontan zu scannen.

Was im Verdachtsfall zu tun ist

Wer einen verdächtigen QR-Code gescannt hat, sollte schnell reagieren. Wurden bereits Daten eingegeben oder Zahlungen ausgelöst, ist es wichtig, umgehend die eigene Bank zu informieren und gegebenenfalls Karten oder Zugänge sperren zu lassen. Zusätzlich sollte der Vorfall bei der Polizei gemeldet werden. Je schneller gehandelt wird, desto größer ist die Chance, den Schaden zu begrenzen.

Auch wenn noch kein unmittelbarer Schaden eingetreten ist, sollte der Vorfall dem betroffenen Unternehmen oder Betreiber gemeldet werden, etwa einem Verkehrsunternehmen oder einem Ladesäulenanbieter. So lassen sich falsche Codes oder gefälschte Aushänge schneller entfernen und andere Personen warnen.

IT Security Check

IT Security Checkliste

IT Security Checkliste für Unternehmen zur Umsetzung einer umfassenden IT-Sicherheitsstrategie mit praktischen Tipps für alle relevanten Security Bereiche. Jetzt lesen!

Jetzt anfordern

Fazit

Quishing ist eine Form des Phishings, die ein vertrautes Alltagswerkzeug für Betrugszwecke nutzt. Die Methode funktioniert nicht nur in E-Mails, sondern auch per Briefpost, an Automaten, an Ladesäulen oder im öffentlichen Raum. Gerade weil QR-Codes bequem sind und häufig ohne größere Prüfung gescannt werden, entsteht ein relevantes Risiko für Datenmissbrauch und finanzielle Schäden.

Der wirksamste Schutz besteht aus Aufmerksamkeit, technischer Vorsicht und unabhängiger Prüfung. Wer QR-Codes nicht reflexhaft scannt, Zieladressen sorgfältig kontrolliert und bei sensiblen Vorgängen auf offizielle Kanäle setzt, reduziert das Risiko deutlich. Quishing lebt von Eile, Vertrauen und Gewohnheit. Genau dort sollte der Schutz ansetzen.

FAQ

Was ist Quishing?

Quishing ist Phishing mit QR-Codes. Statt eines normalen Links wird ein QR-Code genutzt, um Menschen auf gefälschte Webseiten zu führen oder sie zu schädlichen Handlungen zu verleiten.

Wo kommt Quishing vor?

Nicht nur in E-Mails, sondern auch in Briefen, an Parkautomaten, an E-Ladesäulen, auf falschen Strafzetteln oder auf Plakaten in Bussen und Bahnen.

Warum ist Quishing so schwer zu erkennen?

Weil QR-Codes das eigentliche Ziel verbergen und viele Nutzer die hinterlegte Adresse vor dem Öffnen nicht genau prüfen können. Zudem wirken die Einsatzorte oft vertrauenswürdig.

Wie kann ich mich schützen?

Scannen Sie QR-Codes nur aus vertrauenswürdigen Quellen, prüfen Sie die Zieladresse vor dem Öffnen und verifizieren Sie sensible Vorgänge immer über offizielle Kanäle.

Was sollte ich tun, wenn ich betroffen bin?

Kontaktieren Sie sofort Ihre Bank, sperren Sie bei Bedarf Zugänge oder Karten und melden Sie den Vorfall der Polizei.

Wer kann mir beim Thema Quishing helfen?

Wenn Sie Unterstützung zum Thema Quishing benötigen, stehen Ihnen die Experten von RZ10, dem auf dieses Thema spezialisierten Team der mindsquare AG, zur Verfügung. Unsere Berater helfen Ihnen, Ihre Fragen zu beantworten, das passende Tool für Ihr Unternehmen zu finden und es optimal einzusetzen. Vereinbaren Sie gern ein unverbindliches Beratungsgespräch, um Ihre spezifischen Anforderungen zu besprechen.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Weitere Beiträge:

Knowhow

Vishing

Vishing
Vishing: Social Engineering per Telefon. Erkennungszeichen, typische Maschen und wirksame Schutzmaßnahmen für Unternehmen und Privatpersonen.
Artikel lesen
Knowhow

Schadsoftware

Beitragsbild Schadsoftware
Schadsoftware, auch Malware genannt, bezeichnet schädliche Programme oder Dateien, die Computer und Netzwerke infiltrieren. Mehr lesen.
Artikel lesen
Knowhow

Die Top 10 Dienstleister für SAP Security in 2026

TOP Dienstleister SAP Security
Top 10 Dienstleister SAP Security in Deutschland: Experten für sichere SAP-Systeme, Compliance und Cyber-Schutz.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security & Berechtigungen
Download
Über 300 Seiten praxisnahes SAP-Wissen mit Tipps, Tricks und Tutorials direkt aus echten Systemen.
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage