Der neue KI-gestützte QR-Code-Betrug — und wie Sie ihn vermeiden

Sicherheit & Betrug Guide7 Min. Lesezeit·Aktualisiert 11. Juli 2026
Die kurze Antwort

Quishing ist QR-Code-Phishing — das Scannen eines gefälschten Codes leitet Sie auf eine Website weiter, die Ihre Anmeldedaten oder Zahlungsinformationen stiehlt. KI hat diese Betrügereien leichter zu erstellen und schwerer zu erkennen gemacht. Die sichersten Gewohnheiten sind: URL-Vorschau lesen bevor Sie tippen, nach dem Scannen eines öffentlichen QR-Codes niemals Zahlungs- oder Anmeldedaten eingeben und bei Unsicherheit Adressen manuell eintippen.

In den letzten Jahren haben Sie wahrscheinlich Dutzende von QR-Codes gescannt — für eine Restaurantspeisekarte, zum Bezahlen von Parkgebühren oder zum Einchecken irgendwo. Dieses kleine Quadrat ist inzwischen eines der Lieblingswerkzeuge von Betrügern, und KI hat es ihnen dramatisch einfacher gemacht, überzeugende gefälschte Codes zu erstellen. Der Trick heißt Quishing, und er verbreitet sich so schnell, dass sowohl das FBI als auch die FTC Warnungen dazu herausgegeben haben.

Was ist Quishing?

Das Wort kombiniert „QR" und „Phishing" — die übergeordnete Kategorie von Betrügereien, die eine vertrauenswürdige Organisation imitieren, um Ihre Anmeldedaten oder Zahlungsinformationen zu stehlen.

So funktioniert es: Ein Betrüger erstellt einen QR-Code, der Sie beim Scannen auf eine gefälschte Website weiterleitet, die genauso aussieht wie Ihre Bank, das Parkgebühren-Portal Ihrer Stadt oder die Paketverfolgungsseite eines Versandunternehmens. Die Seite fordert Sie auf, sich anzumelden, eine Zahlung zu bestätigen oder Ihre Identität zu verifizieren. Wenn Sie das tun, gehen Ihre Zugangsdaten oder Kartennummern direkt an den Betrüger.

Der Grund, warum QR-Codes für Betrüger besonders effektiv sind: E-Mail- und SMS-Sicherheitsfilter sind darauf ausgelegt, verdächtige Textlinks zu scannen — nicht darauf, Bilder zu lesen. Ein gefälschter QR-Code in einem PDF oder Bildanhang passiert die meisten Filter unbemerkt.

Wo gefälschte QR-Codes auftauchen

Gefälschte Codes tauchen an sehr alltäglichen Orten auf:

Parkautomaten. Ein Aufkleber mit einem gefälschten QR-Code wird über den legitimen Zahlungscode geklebt. Sie scannen ihn, geben Ihre Kreditkarte auf einer überzeugenden gefälschten „Parkgebühren"-Seite ein — und der Automat registriert Ihre Zahlung nie.

Restaurantspeisekarten. Die meisten QR-Menüs sind sicher, aber Betrüger wurden dabei erwischt, Aufkleber über die Originalcodes zu kleben. Die gefälschte Version leitet Sie auf eine Seite weiter, die möglicherweise nach Ihrer Kreditkarte „zur Tischreservierung" fragt oder ein Rabattformular anbietet.

Paketzustellungs-SMS. Sie erhalten eine Nachricht, dass Ihr Paket verspätet ist, und werden aufgefordert, einen Code zu scannen oder einem Link zu folgen, um die Lieferung umzuplanen. Die URL führt zu einer gefälschten Seite, die nach Ihrer Adresse und Zahlungsdaten fragt.

Flyer und Plakate. Gefälschte Codes sind auf Gemeindeflugblättern aufgetaucht — ein „kostengünstiger Geschenkgutschein" oder ein „exklusives Angebot" — in Waschsalons, Bibliotheken und Eingangshallen von Wohngebäuden.

E-Mails und PDF-Anhänge. Eine Nachricht einer angeblichen Bank, eines Versorgungsunternehmens oder Lieferdiensts enthält einen QR-Code, der Sie auffordert, Ihr „Konto zu verifizieren." Dies ist die häufigste digitale Variante und diejenige, die am ehesten an der E-Mail-Sicherheitssoftware vorbeikommt.

Warum KI dies viel schlimmer gemacht hat

Bevor KI-Schreibtools weitverbreitet verfügbar wurden, war eine Betrugs-E-Mail oft leicht zu erkennen: ungeschickte Formulierungen, Grammatikfehler, eine seltsame Anfrage, die nicht nach einer echten Bank klang. Das ist kein zuverlässiges Erkennungsmerkmal mehr.

Laut einem Bericht vom Juli 2026 stiegen KI-gestützte Phishing-Angriffe innerhalb eines einzigen Monats um das Vierzehnfache, und KI-generiertes Phishing macht inzwischen etwa 40 % aller Phishing-Angriffe aus. Betrüger nutzen KI, um perfekt professionelle E-Mails zu schreiben, realistisch aussehende gefälschte Login-Seiten zu erstellen und QR-Codes in großem Maßstab zu generieren — Hunderte leicht unterschiedlicher Versionen für verschiedene Zielgruppen oder Regionen.

Die Kombination ist besonders effektiv: Die E-Mail liest sich wie von einem echten Unternehmen, der QR-Code umgeht textbasierte Filter, und die gefälschte Website sieht identisch mit der echten aus. Der einzige Moment, in dem Sie es erkennen können, ist die Überprüfung der URL, auf die der Code tatsächlich verweist.

So überprüfen Sie einen QR-Code vor dem Tippen

Sie müssen QR-Codes nicht gänzlich aufgeben. Sie brauchen nur eine schnelle Gewohnheit: Lesen Sie die URL-Vorschau, bevor Sie tippen.

Auf dem iPhone: Wenn Sie Ihre Kamera auf einen QR-Code richten, erscheint oben auf dem Bildschirm eine kleine Benachrichtigung mit der Ziel-URL. Tippen Sie nicht sofort darauf — lesen Sie zuerst die Adresse.

Auf Android: Die meisten Android-Kamera-Apps zeigen eine kleine URL-Leiste unterhalb des QR-Code-Rahmens an. Lesen Sie diese, bevor Sie tippen.

Worauf Sie in der URL achten sollten:

  • Stimmt die Domain mit der Organisation überein, die Sie erwarten? Eine städtische Parkgebühren-App könnte „stadtname.de" oder „parkXYZ.de" sein — es sollte nicht „parking-secure-pay.net" mit einer unbekannten Domain sein.
  • Gibt es in der URL eine lange Reihe von Zufallszeichen? Legitime QR-Codes für ein Menü oder eine Zahlungsseite haben meist kurze, übersichtliche Adressen.
  • Enthält die Domain subtile Schreibfehler — „meinbank.net" statt „meinebank.de"? Solche Abweichungen sind beim schnellen Lesen leicht zu übersehen.

Sicherheitsgewohnheiten für die Zukunft

Tippen Sie Adressen manuell ein, wenn Sie unsicher sind. Wenn ein QR-Code in einer E-Mail Sie auffordert, Ihr Bankkonto zu „verifizieren", scannen Sie ihn nicht — öffnen Sie die App Ihrer Bank oder tippen Sie die bekannte Adresse in Ihren Browser. Die FTC empfiehlt dies ausdrücklich als primären Ratschlag zur QR-Code-Sicherheit.

Geben Sie niemals Zahlungs- oder Anmeldedaten ein, nachdem Sie einen öffentlichen Code gescannt haben. Wenn ein Parkautomat, ein Plakat oder ein beliebiger öffentlicher QR-Code nach Ihrer Kreditkarte oder Ihrem Passwort fragt, stoppen Sie. Legitime Parkgebühren-Apps und öffentliche Zahlungssysteme lassen Sie über eine etablierte App bezahlen, die Sie bereits haben, oder akzeptieren Ihre Karte direkt am Automaten. Sie müssen Ihre vollständige Kartennummer nicht auf einer Website eingeben, die Sie über einen QR-Aufkleber erreicht haben.

Prüfen Sie auf Aufkleber. Bevor Sie einen QR-Code auf einer physischen Oberfläche scannen — einem Automaten, einer Tischkarte, einem Plakat — schauen Sie, ob der Code direkt aufgedruckt ist oder ob sich ein Aufkleberrand darüber befindet. Ein Aufkleber über einem legitimen Code ist die häufigste physische Form dieses Betrugs.

Seien Sie besonders skeptisch gegenüber QR-Codes in E-Mails. Echte Banken, Versorgungsunternehmen und Lieferdienste brauchen nur selten, dass Sie einen QR-Code scannen. Sie haben Apps und Websites, die Sie direkt erreichen können. Eine unerwartete E-Mail mit einem QR-Code ist ein Warnsignal, selbst wenn das Branding korrekt aussieht.

Worauf Sie achten sollten

Diese Gewohnheiten werden die meisten Quishing-Versuche abfangen, aber keine einzelne Prüfung ist narrensicher. Betrüger verfeinern ihre Technik ständig, und die gefälschten Seiten, die sie erstellen, sind manchmal optisch von den echten nicht zu unterscheiden. Wenn Sie nach dem Scannen eines Codes Informationen eingegeben haben und sich dann unsicher fühlten, handeln Sie schnell: Ändern Sie Ihr Passwort, rufen Sie Ihre Bank an und melden Sie den Vorfall bei reportfraud.ftc.gov. Je früher Sie handeln, desto besser sind Ihre Chancen, den Schaden zu begrenzen.

Etwas, das dieser Leitfaden nicht abdeckt: KI-gestützte Folgeanrufe, die QR-Betrügereien manchmal begleiten. Ein Betrüger kann kurz nach dem Scannen eines Codes anrufen und behaupten, Ihre „Zahlung zu verifizieren", und nach Kartendaten fragen, die Sie nicht auf der gefälschten Website eingegeben haben. Wenn Sie nach dem Scannen eines QR-Codes einen unerwarteten Anruf erhalten, legen Sie auf und rufen Sie die Organisation direkt unter einer Nummer an, die Sie selbst nachschlagen.

Was Sie als Nächstes ausprobieren können

Quishing ist Teil einer breiteren Welle von KI-gestützten Betrügereien, die derzeit Posteingänge treffen — Wie Sie KI-Phishing-E-Mails erkennen behandelt die Anzeichen dafür, dass eine Nachricht nicht von einem Menschen geschrieben wurde. Und wenn Sie neben verdächtigen Nachrichten auch verdächtige Anrufe erhalten, führt Die besten KI-Anrufblocker gegen Betrug Sie durch die Tools, die dabei helfen können.

Veröffentlicht 11. Juli 2026 · Aktualisiert 11. Juli 2026Wie wir testen →

Häufig gestellte Fragen

Was ist Quishing?
Quishing ist eine Kurzform für QR-Code-Phishing. Betrüger platzieren einen gefälschten QR-Code — auf einem Aufkleber, in einer E-Mail oder in einer Textnachricht — der Sie auf eine täuschend echte gefälschte Website weiterleitet, die darauf ausgelegt ist, Ihr Passwort, Ihre Kreditkartennummer oder andere persönliche Daten zu stehlen. Der Begriff kombiniert 'QR' und 'Phishing', die übergeordnete Kategorie von Tricks, die vertrauenswürdige Organisationen imitieren, um Zugangsdaten zu stehlen.
Warum verwenden Betrüger QR-Codes statt normaler Links?
Ein normaler Phishing-Link zeigt die tatsächliche URL als Text an, den E-Mail-Sicherheitsfilter und vorsichtige Leser oft erkennen können. Ein QR-Code ist ein Bild — Ihre E-Mail-Sicherheitssoftware scannt Text, keine Bilder, sodass ein gefälschter QR-Code in einem PDF oder Bildanhang die meisten Filter unbemerkt passiert. Sie können auch nicht auf einen QR-Code schauen und erkennen, wohin er führt, so wie Sie auf einem Desktop-Computer mit der Maus über einen Hyperlink fahren würden.
Wie sehe ich vor dem Tippen, wohin ein QR-Code führt?
Auf den meisten Smartphones zeigt das Richten der Kamera auf einen QR-Code ein kleines URL-Vorschaubanner an, bevor Sie tippen — achten Sie auf diese Vorschau und lesen Sie sie sorgfältig. Auf dem iPhone erscheint dies als Benachrichtigung oben auf dem Bildschirm; auf Android erscheint es direkt unterhalb des QR-Code-Rahmens. Wenn die Domain in der Vorschau nicht mit der erwarteten Organisation übereinstimmt, tippen Sie nicht.
Sind QR-Codes auf Restaurantspeisekarten sicher?
Die meisten Restaurant-QR-Menüs sind völlig legitim — sie führen zu einem PDF oder einer einfachen Website, die das Restaurant eingerichtet hat. Das Risiko besteht in einem Aufkleber, der über den Originalcode geklebt wurde, was leicht zu erkennen ist: Achten Sie auf einen Aufkleberrand oder leicht unterschiedliches Papier über dem gedruckten Code. Wenn etwas aufgesetzt wirkt, informieren Sie das Personal und scannen Sie nicht.
Was soll ich tun, wenn ich bereits einen verdächtigen QR-Code gescannt habe?
Wenn Sie auf den Link getippt haben, aber keine Informationen eingegeben haben, schließen Sie den Browser — Sie sind mit großer Wahrscheinlichkeit sicher. Wenn Sie Benutzername und Passwort eingegeben haben, ändern Sie das Passwort sofort bei jedem Konto, wo Sie dasselbe verwenden, und aktivieren Sie die Zwei-Faktor-Authentifizierung. Wenn Sie eine Kreditkartennummer eingegeben haben, rufen Sie sofort Ihre Bank an. Melden Sie den verdächtigen Code bei reportfraud.ftc.gov.
Kann ich QR-Codes in E-Mails von Unternehmen vertrauen, die ich kenne?
Seien Sie vorsichtig. Betrüger kopieren gezielt das Branding bekannter Unternehmen — Banken, Lieferdienste, Versorgungsunternehmen — weil ein vertrautes Logo Ihre Wachsamkeit senkt. Die FTC rät davon ab, QR-Codes aus unerwarteten E-Mails zu scannen, selbst wenn sie offiziell aussehen. Gehen Sie stattdessen direkt auf die Website des Unternehmens, indem Sie die Adresse eintippen, oder rufen Sie die Nummer auf der Rückseite Ihrer Karte an.
Radim S.
Gründer & Redakteur

Radim ist Softwareentwickler, der seinen Tag damit verbringt, mit KI zu arbeiten, und seinen Abend damit, es Familienmitgliedern zu erklären, denen es egal ist, wie es funktioniert — nur was es für sie tun kann. Jede Anleitung wird vor der Veröffentlichung manuell getestet.