Quishing ist QR-Code-Phishing — das Scannen eines gefälschten Codes leitet Sie auf eine Website weiter, die Ihre Anmeldedaten oder Zahlungsinformationen stiehlt. KI hat diese Betrügereien leichter zu erstellen und schwerer zu erkennen gemacht. Die sichersten Gewohnheiten sind: URL-Vorschau lesen bevor Sie tippen, nach dem Scannen eines öffentlichen QR-Codes niemals Zahlungs- oder Anmeldedaten eingeben und bei Unsicherheit Adressen manuell eintippen.
In den letzten Jahren haben Sie wahrscheinlich Dutzende von QR-Codes gescannt — für eine Restaurantspeisekarte, zum Bezahlen von Parkgebühren oder zum Einchecken irgendwo. Dieses kleine Quadrat ist inzwischen eines der Lieblingswerkzeuge von Betrügern, und KI hat es ihnen dramatisch einfacher gemacht, überzeugende gefälschte Codes zu erstellen. Der Trick heißt Quishing, und er verbreitet sich so schnell, dass sowohl das FBI als auch die FTC Warnungen dazu herausgegeben haben.
Was ist Quishing?
Das Wort kombiniert „QR" und „Phishing" — die übergeordnete Kategorie von Betrügereien, die eine vertrauenswürdige Organisation imitieren, um Ihre Anmeldedaten oder Zahlungsinformationen zu stehlen.
So funktioniert es: Ein Betrüger erstellt einen QR-Code, der Sie beim Scannen auf eine gefälschte Website weiterleitet, die genauso aussieht wie Ihre Bank, das Parkgebühren-Portal Ihrer Stadt oder die Paketverfolgungsseite eines Versandunternehmens. Die Seite fordert Sie auf, sich anzumelden, eine Zahlung zu bestätigen oder Ihre Identität zu verifizieren. Wenn Sie das tun, gehen Ihre Zugangsdaten oder Kartennummern direkt an den Betrüger.
Der Grund, warum QR-Codes für Betrüger besonders effektiv sind: E-Mail- und SMS-Sicherheitsfilter sind darauf ausgelegt, verdächtige Textlinks zu scannen — nicht darauf, Bilder zu lesen. Ein gefälschter QR-Code in einem PDF oder Bildanhang passiert die meisten Filter unbemerkt.
Wo gefälschte QR-Codes auftauchen
Gefälschte Codes tauchen an sehr alltäglichen Orten auf:
Parkautomaten. Ein Aufkleber mit einem gefälschten QR-Code wird über den legitimen Zahlungscode geklebt. Sie scannen ihn, geben Ihre Kreditkarte auf einer überzeugenden gefälschten „Parkgebühren"-Seite ein — und der Automat registriert Ihre Zahlung nie.
Restaurantspeisekarten. Die meisten QR-Menüs sind sicher, aber Betrüger wurden dabei erwischt, Aufkleber über die Originalcodes zu kleben. Die gefälschte Version leitet Sie auf eine Seite weiter, die möglicherweise nach Ihrer Kreditkarte „zur Tischreservierung" fragt oder ein Rabattformular anbietet.
Paketzustellungs-SMS. Sie erhalten eine Nachricht, dass Ihr Paket verspätet ist, und werden aufgefordert, einen Code zu scannen oder einem Link zu folgen, um die Lieferung umzuplanen. Die URL führt zu einer gefälschten Seite, die nach Ihrer Adresse und Zahlungsdaten fragt.
Flyer und Plakate. Gefälschte Codes sind auf Gemeindeflugblättern aufgetaucht — ein „kostengünstiger Geschenkgutschein" oder ein „exklusives Angebot" — in Waschsalons, Bibliotheken und Eingangshallen von Wohngebäuden.
E-Mails und PDF-Anhänge. Eine Nachricht einer angeblichen Bank, eines Versorgungsunternehmens oder Lieferdiensts enthält einen QR-Code, der Sie auffordert, Ihr „Konto zu verifizieren." Dies ist die häufigste digitale Variante und diejenige, die am ehesten an der E-Mail-Sicherheitssoftware vorbeikommt.
Warum KI dies viel schlimmer gemacht hat
Bevor KI-Schreibtools weitverbreitet verfügbar wurden, war eine Betrugs-E-Mail oft leicht zu erkennen: ungeschickte Formulierungen, Grammatikfehler, eine seltsame Anfrage, die nicht nach einer echten Bank klang. Das ist kein zuverlässiges Erkennungsmerkmal mehr.
Laut einem Bericht vom Juli 2026 stiegen KI-gestützte Phishing-Angriffe innerhalb eines einzigen Monats um das Vierzehnfache, und KI-generiertes Phishing macht inzwischen etwa 40 % aller Phishing-Angriffe aus. Betrüger nutzen KI, um perfekt professionelle E-Mails zu schreiben, realistisch aussehende gefälschte Login-Seiten zu erstellen und QR-Codes in großem Maßstab zu generieren — Hunderte leicht unterschiedlicher Versionen für verschiedene Zielgruppen oder Regionen.
Die Kombination ist besonders effektiv: Die E-Mail liest sich wie von einem echten Unternehmen, der QR-Code umgeht textbasierte Filter, und die gefälschte Website sieht identisch mit der echten aus. Der einzige Moment, in dem Sie es erkennen können, ist die Überprüfung der URL, auf die der Code tatsächlich verweist.
So überprüfen Sie einen QR-Code vor dem Tippen
Sie müssen QR-Codes nicht gänzlich aufgeben. Sie brauchen nur eine schnelle Gewohnheit: Lesen Sie die URL-Vorschau, bevor Sie tippen.
Auf dem iPhone: Wenn Sie Ihre Kamera auf einen QR-Code richten, erscheint oben auf dem Bildschirm eine kleine Benachrichtigung mit der Ziel-URL. Tippen Sie nicht sofort darauf — lesen Sie zuerst die Adresse.
Auf Android: Die meisten Android-Kamera-Apps zeigen eine kleine URL-Leiste unterhalb des QR-Code-Rahmens an. Lesen Sie diese, bevor Sie tippen.
Worauf Sie in der URL achten sollten:
- Stimmt die Domain mit der Organisation überein, die Sie erwarten? Eine städtische Parkgebühren-App könnte „stadtname.de" oder „parkXYZ.de" sein — es sollte nicht „parking-secure-pay.net" mit einer unbekannten Domain sein.
- Gibt es in der URL eine lange Reihe von Zufallszeichen? Legitime QR-Codes für ein Menü oder eine Zahlungsseite haben meist kurze, übersichtliche Adressen.
- Enthält die Domain subtile Schreibfehler — „meinbank.net" statt „meinebank.de"? Solche Abweichungen sind beim schnellen Lesen leicht zu übersehen.
Sicherheitsgewohnheiten für die Zukunft
Tippen Sie Adressen manuell ein, wenn Sie unsicher sind. Wenn ein QR-Code in einer E-Mail Sie auffordert, Ihr Bankkonto zu „verifizieren", scannen Sie ihn nicht — öffnen Sie die App Ihrer Bank oder tippen Sie die bekannte Adresse in Ihren Browser. Die FTC empfiehlt dies ausdrücklich als primären Ratschlag zur QR-Code-Sicherheit.
Geben Sie niemals Zahlungs- oder Anmeldedaten ein, nachdem Sie einen öffentlichen Code gescannt haben. Wenn ein Parkautomat, ein Plakat oder ein beliebiger öffentlicher QR-Code nach Ihrer Kreditkarte oder Ihrem Passwort fragt, stoppen Sie. Legitime Parkgebühren-Apps und öffentliche Zahlungssysteme lassen Sie über eine etablierte App bezahlen, die Sie bereits haben, oder akzeptieren Ihre Karte direkt am Automaten. Sie müssen Ihre vollständige Kartennummer nicht auf einer Website eingeben, die Sie über einen QR-Aufkleber erreicht haben.
Prüfen Sie auf Aufkleber. Bevor Sie einen QR-Code auf einer physischen Oberfläche scannen — einem Automaten, einer Tischkarte, einem Plakat — schauen Sie, ob der Code direkt aufgedruckt ist oder ob sich ein Aufkleberrand darüber befindet. Ein Aufkleber über einem legitimen Code ist die häufigste physische Form dieses Betrugs.
Seien Sie besonders skeptisch gegenüber QR-Codes in E-Mails. Echte Banken, Versorgungsunternehmen und Lieferdienste brauchen nur selten, dass Sie einen QR-Code scannen. Sie haben Apps und Websites, die Sie direkt erreichen können. Eine unerwartete E-Mail mit einem QR-Code ist ein Warnsignal, selbst wenn das Branding korrekt aussieht.
Worauf Sie achten sollten
Diese Gewohnheiten werden die meisten Quishing-Versuche abfangen, aber keine einzelne Prüfung ist narrensicher. Betrüger verfeinern ihre Technik ständig, und die gefälschten Seiten, die sie erstellen, sind manchmal optisch von den echten nicht zu unterscheiden. Wenn Sie nach dem Scannen eines Codes Informationen eingegeben haben und sich dann unsicher fühlten, handeln Sie schnell: Ändern Sie Ihr Passwort, rufen Sie Ihre Bank an und melden Sie den Vorfall bei reportfraud.ftc.gov. Je früher Sie handeln, desto besser sind Ihre Chancen, den Schaden zu begrenzen.
Etwas, das dieser Leitfaden nicht abdeckt: KI-gestützte Folgeanrufe, die QR-Betrügereien manchmal begleiten. Ein Betrüger kann kurz nach dem Scannen eines Codes anrufen und behaupten, Ihre „Zahlung zu verifizieren", und nach Kartendaten fragen, die Sie nicht auf der gefälschten Website eingegeben haben. Wenn Sie nach dem Scannen eines QR-Codes einen unerwarteten Anruf erhalten, legen Sie auf und rufen Sie die Organisation direkt unter einer Nummer an, die Sie selbst nachschlagen.
Was Sie als Nächstes ausprobieren können
Quishing ist Teil einer breiteren Welle von KI-gestützten Betrügereien, die derzeit Posteingänge treffen — Wie Sie KI-Phishing-E-Mails erkennen behandelt die Anzeichen dafür, dass eine Nachricht nicht von einem Menschen geschrieben wurde. Und wenn Sie neben verdächtigen Nachrichten auch verdächtige Anrufe erhalten, führt Die besten KI-Anrufblocker gegen Betrug Sie durch die Tools, die dabei helfen können.


