Ein QR-Code am Parkplatz, auf dem Paket-Zettel oder im Restaurant wirkt harmlos: kurz scannen, fertig. Genau diese Routine nutzen Angreifer aus. Beim sogenannten Quishing (QR-Code-Phishing) führt der Code zu einer Webseite oder Aktion, die Daten abgreift, Zahlungen umleitet oder schädliche Inhalte nachlädt. Das Gefährliche: Viele Schutzmechanismen greifen schlechter als bei klassischen E-Mail-Links, weil Nutzer:innen die Zieladresse vor dem Öffnen seltener prüfen.
In der Praxis treten Quishing-Fälle häufig dort auf, wo QR-Codes unüberwacht sind: Aushänge, Kassenbereiche, Ladesäulen, Briefkästen, Messestände oder interne schwarze Bretter. In Unternehmen kommen QR-Codes zusätzlich in WLAN-Onboarding, Inventar-Labels oder auf Besucherausweisen vor. Dadurch ist Quishing nicht nur ein Privatnutzer-Thema, sondern auch relevant für Security-Teams, Helpdesks und Compliance.
Wie Quishing-Angriffe typischerweise ablaufen
Überkleben, Austauschen, Nachdrucken
Der einfachste Angriffsweg ist physisch: Ein echter QR-Code wird überklebt oder ein neuer Code wird daneben platziert („Scannen Sie hier“). In Sekunden entsteht eine Umleitung auf eine Fake-Seite. Besonders häufig ist das bei Bezahl-QRs (z. B. Spenden, Parken) oder bei angeblichen Service-Seiten (Sendungsverfolgung, Kundenkonto, Rechnungen).
Umleitungen über Kurzlinks und Tracking-Parameter
Viele QR-Codes enthalten verkürzte Links oder Umleitungs-URLs. Das ist nicht automatisch bösartig, erschwert aber die Prüfung: Der Domainname ist nicht sofort erkennbar, und mehrere Redirects können am Ende auf einer ganz anderen Zielseite landen. Angreifer nutzen außerdem Parameter, um die Seite an Gerät, Sprache oder Standort anzupassen und so glaubwürdiger zu wirken.
Aktionen statt Webseiten: Apps, Profile, Konfigurationen
Nicht jeder QR-Code öffnet nur eine URL. Manche Codes triggern Aktionen wie „Kontakt hinzufügen“, „WLAN verbinden“, „App im Store öffnen“ oder „Kalendertermin erstellen“. Diese Aktionen sind oft praktisch, können aber missbraucht werden, um Nutzer:innen in unsichere Konfigurationen zu führen oder sie zu einer riskanten Installation zu drängen. Deshalb ist das Prinzip wichtig: Erst prüfen, dann ausführen.
Woran sich riskante QR-Codes im Alltag erkennen lassen
Warnzeichen am Aushang und im Kontext
Quishing ist oft weniger technisch, sondern sozial: Der Kontext soll Druck erzeugen („Strafgebühr“, „letzte Mahnung“, „nur heute“). Verdächtig sind insbesondere QR-Codes, die sensible Aktionen verlangen: Login, Zahlungsdaten, Identitätsdaten oder das Installieren einer App. Auch „offizielle“ Codes ohne nachvollziehbare Absenderinfos (kein Name, keine Telefonnummer, kein Ort) sind ein rotes Tuch.
Physische Auffälligkeiten liefern zusätzliche Hinweise: Luftblasen, schiefes Label, andere Papierqualität, ein zweiter QR-Code über dem ersten oder ein „neues“ Schild, das nicht zum Umfeld passt. Bei Parkautomaten und Ladesäulen ist die Kombination aus QR-Code und Zahlungsaufforderung ein häufiger Köder.
Domain-Check: Das wichtigste Signal nach dem Scan
Die entscheidende Prüfung passiert nach dem Scan, bevor im Browser bestätigt wird. Der Domainname (nicht der Seitentitel) muss plausibel sein. Typische Täuschungen sind Tippfehler, zusätzliche Wörter, fremde TLDs oder Subdomains, die seriös wirken, aber nicht zur Marke gehören. Ein Beispielmuster: statt firma.de wird firma-support.example genutzt.
Wenn ein QR-Scanner die Zieladresse nur stark verkürzt anzeigt, sollte das Öffnen abgebrochen werden. Besser ist ein Scan mit Vorschau, die die vollständige URL sichtbar macht. Im Zweifel: URL kopieren, in einem sicheren Notizfeld prüfen, dann erst öffnen.
Smartphone sicher einstellen: weniger Risiko beim Scannen
Scan-Vorschau erzwingen und Auto-Öffnen vermeiden
Viele Kamera-Apps erkennen QR-Codes automatisch. Praktisch ist das, aber gefährlich, wenn sofort geöffnet wird. In den Einstellungen sollte bevorzugt eine Vorschau/Bestätigung aktiv sein. Bei Scannern aus App-Stores ist kritisch zu prüfen, ob sie unnötige Berechtigungen verlangen. Eine QR-App braucht in der Regel Kamera-Zugriff – sonst wenig.
Browser-Härtung für QR-Links
Da Quishing fast immer im Browser endet, lohnt eine saubere Browser-Konfiguration: Blockieren von Pop-ups, restriktiver Umgang mit Website-Berechtigungen (Kamera/Mikrofon/Standort), und das Deaktivieren automatischer Downloads. Außerdem sollten Passwort-Manager eingesetzt werden: Sie füllen Zugangsdaten nur auf der passenden Domain aus. Das ist ein wirksamer Schutz gegen Fake-Loginseiten, weil auf der falschen Domain kein Autofill erfolgt.
Für den Kontoschutz gehört konsequent Multi-Faktor-Authentifizierung (zweiter Faktor) dazu. Damit bleibt ein abgefischtes Passwort allein meist wertlos. Ergänzend hilft, wenn möglich, die Nutzung von Passkeys oder FIDO2-Authentikatoren, weil sie domaingebunden sind.
Updates und Geräteschutz nicht vernachlässigen
Quishing kann auch auf Exploit-Seiten führen, die Schwachstellen in Browsern oder WebViews ausnutzen. Deshalb sind zeitnahe Updates von Betriebssystem und Browser wichtig. In Unternehmen sollte Mobile Device Management (MDM) Mindestversionen erzwingen und unsichere Browser-Engines oder veraltete WebViews blockieren.
Wenn QR-Codes im Unternehmen eingesetzt werden: Governance statt Bauchgefühl
Eigene QR-Codes signieren und nachvollziehbar machen
Unternehmen sollten QR-Codes so gestalten, dass Manipulation auffällt. Praxisnah sind: klare Absenderkennzeichnung, kurze Begleittexte, eine leicht prüfbare Ziel-Domain und ein sichtbarer Hinweis, welche Aktion erwartet wird („öffnet Intranet-URL“, „führt zu Ticket-Portal“). QR-Codes, die auf externe Shortener zeigen, sind intern schwer zu verifizieren und sollten vermieden werden.
Technische Leitplanken: Filter, Proxy, App-Whitelisting
Im Unternehmensnetz lassen sich QR-Ziele nicht physisch verhindern, aber der Schaden kann begrenzt werden. Sinnvoll sind DNS-/Webfilter gegen bekannte Phishing-Domains, sowie Policies, die App-Installationen aus unbekannten Quellen unterbinden. Für Windows-Endpoints existieren dafür Whitelisting-Ansätze; eine passende Vertiefung bietet AppLocker & WDAC gezielt einsetzen.
Für den Fall, dass ein QR-Code doch auf eine schädliche Seite führt, erhöht sauberes Logging die Reaktionsfähigkeit. Zentralisierte Auswertung ist besonders dann hilfreich, wenn mehrere Mitarbeitende betroffen sein könnten; dazu passt Logs zentral auswerten.
Konkrete Schritte, die sofort wirken
Die folgenden Maßnahmen sind bewusst pragmatisch gehalten und lassen sich ohne Spezialtools umsetzen. Sie reduzieren die Angriffsfläche deutlich, ohne QR-Codes pauschal zu verbieten.
- Nach dem Scan die Ziel-Domain prüfen: stimmt der Name exakt, inklusive TLD (z. B. .de vs. .com)?
- Keine Logins oder Zahlungen über QR-Links, wenn die Seite unerwartet kommt; stattdessen manuell die bekannte Adresse eintippen.
- QR-Codes an Automaten/Aushängen auf Überkleber prüfen und verdächtige Codes dem Betreiber melden.
- Auf Smartphones Auto-Öffnen deaktivieren und nur Scanner mit URL-Vorschau verwenden.
- Browser-Berechtigungen restriktiv halten, automatische Downloads blockieren.
- Multi-Faktor-Authentifizierung für wichtige Konten aktivieren, um Passwortdiebstahl abzufedern; Details dazu in MFA im Alltag sicher nutzen.
- In Unternehmen: QR-Codes nur mit eigener Domain, klarer Kennzeichnung und definierter Ownership (wer darf Codes erstellen/ändern?).
Entscheidungshilfe: öffnen, abbrechen oder verifizieren?
Ein kurzer Entscheidungsbaum für typische QR-Situationen
- QR-Code führt zu Login oder Zahlung?
- Ja: Nur öffnen, wenn der Anlass erwartet ist und die Domain exakt stimmt; sonst abbrechen und die bekannte Adresse manuell aufrufen.
- Nein: Weiter prüfen.
- QR-Code ist unüberwacht (Aushang, Automat, Briefkasten) und wirkt nachträglich angebracht?
- Ja: Nicht öffnen; Betreiber/Ortspersonal informieren.
- Nein: Weiter prüfen.
- URL ist verkürzt oder Scanner zeigt keine vollständige Adresse?
- Ja: Abbrechen oder mit Scanner/Preview erneut scannen, bis die Domain sichtbar ist.
- Nein: Domain prüfen, dann erst öffnen.
- Die Seite fordert ungewöhnliche Berechtigungen, App-Installation oder „Sicherheitsprüfung“?
- Ja: Schließen, keine Eingaben, keine Installation. Bei Firmenkonten zusätzlich IT/Security informieren.
- Nein: Aktion nur ausführen, wenn sie zum Kontext passt.
Was nach einem falschen Scan zu tun ist
Wenn nur geöffnet wurde
Wurde eine Seite nur geöffnet und sofort geschlossen, ist das Risiko oft begrenzt, aber nicht null. Wichtig ist, keine Daten eingegeben zu haben und keine Downloads bestätigt zu haben. Browser-Downloads prüfen und den Tab-Verlauf nicht als „harmlos“ abtun, wenn Weiterleitungen sichtbar waren.
Wenn Zugangsdaten eingegeben wurden
Dann zählt Geschwindigkeit: Passwort sofort ändern (nicht über den QR-Link, sondern über die manuell aufgerufene, bekannte Website). Falls Wiederverwendung möglich ist, auch andere Konten prüfen. Zusätzlich Sitzungen abmelden („Log out of all devices“) und in den Kontoeinstellungen nach neuen Weiterleitungen, Posteingangsregeln oder verknüpften Apps schauen. Für den allgemeinen Schutz vor Kontoübernahmen ist Multi-Faktor-Authentifizierung der zentrale Hebel.
Wenn eine Zahlung ausgelöst oder eine App installiert wurde
Bei Zahlungen sollten Transaktionsdetails gesichert (Betrag, Empfänger, Uhrzeit) und der Zahlungsdienstleister kontaktiert werden. Bei App-Installationen: App deinstallieren, Berechtigungen prüfen, und bei Unternehmensgeräten den Vorfall an den Helpdesk geben. MDM-Logs und Proxy/DNS-Logs können helfen, den Umfang zu bewerten und weitere Geräte zu identifizieren.
Warum QR-Codes trotz Risiko sinnvoll bleiben können
Sicherheitsnutzen durch klare Prozesse
QR-Codes sind nicht per se unsicher. Sie sind ein Transportmechanismus für Daten. Sicherheit entsteht durch überprüfbare Ziele (eigene Domains), durch Sichtbarkeit der URL vor dem Öffnen und durch Kontoschutzmaßnahmen wie Multi-Faktor-Authentifizierung. In Unternehmen helfen zusätzlich klare Verantwortlichkeiten und eine standardisierte Gestaltung, damit Manipulation auffällt.
Einordnen: QR-Link ist nur ein Link
Der wichtigste Perspektivwechsel: Ein QR-Code ersetzt nur das Tippen einer Adresse. Alle bekannten Regeln für Links gelten weiterhin: Domain prüfen, Kontext hinterfragen, keine sensiblen Eingaben auf überraschenden Seiten, und keine Installationen aus Drucksituationen heraus. Wer das konsequent anwendet, senkt das Quishing-Risiko deutlich, ohne auf die Bequemlichkeit von QR-Codes verzichten zu müssen.
Verwandte Themen im Überblick
Quishing ist eng mit allgemeinem Link- und Login-Missbrauch verbunden. Für weiterführende Praxis sind diese Themen naheliegend: Phishing in E-Mails stoppen und Cookies und Logins härten.
