Was ist Quishing? QR-Code-Phishing erklärt — Der ultimative Guide 2026
Quishing ist QR-Code-Phishing — 2026 die am schnellsten wachsende Phishing-Variante in Deutschland. So funktioniert die Masche, so erkennst du sie, so schützt du dich. Mit aktuellen BSI- und Polizei-Daten, 18 dokumentierten Fällen aus Deutschland und FAQ.
Quishing kurz erklärt (TL;DR)
Quishing (QR-Code-Phishing) ist eine Betrugsmasche, bei der Kriminelle bösartige QR-Codes nutzen, um an Zugangsdaten, TANs, Kreditkartendaten oder Geld zu kommen. 2026 stiegen die Fallzahlen weltweit um über 600 % — in Deutschland vor allem an Parkautomaten, E-Ladesäulen, in gefälschten Bankbriefen, auf DHL-Briefkasten-Aufklebern und Scheibenwischer-Zetteln. Wirksamster Schutz: QR-Codes nur mit URL-Vorschau scannen oder mit einem Prüfer wie QRTrust gegen Phishing-Datenbanken abgleichen, bevor die Seite öffnet.
Was ist Quishing?
Quishing (ein Kunstwort aus „QR-Code” und „Phishing”) ist eine Form des Phishings, bei der Kriminelle bösartige QR-Codes als Angriffsvektor nutzen. Während klassisches Phishing E-Mails oder gefälschte Webseiten verwendet, transportiert Quishing den Schad-Link in einem maschinenlesbaren QR-Code — gedruckt, geklebt oder als Bild in einer E-Mail.
Der Grund, warum Quishing 2026 so gefährlich ist: QR-Codes sind für Menschen nicht lesbar. Niemand sieht der schwarz-weißen Matrix an, wohin sie führt — bis das Smartphone die URL bereits geöffnet hat. Spam-Filter und Mail-Gateways können den Code ebenfalls nicht prüfen, weil er ein Bild ist. Genau diese doppelte Blindheit machen sich Angreifer zunutze.
Definition: Quishing
Quishing ist eine Phishing-Methode, bei der Angreifer manipulierte oder bösartige QR-Codes verwenden, um Opfer auf gefälschte Websites zu locken, persönliche Daten zu stehlen oder Malware zu verbreiten.
Wie funktioniert ein Quishing-Angriff?
Ein typischer Quishing-Angriff läuft in mehreren Schritten ab:
- Der Angreifer erstellt einen bösartigen QR-Code, der zu einer gefälschten Website führt (z.B. eine Kopie der Login-Seite Ihrer Bank)
- Der QR-Code wird über verschiedene Kanäle verbreitet: E-Mails, gefälschte Parkscheine, Flyer, Social Media oder sogar über echte QR-Codes, die überklebt werden
- Das Opfer scannt den QR-Code mit dem Smartphone, ohne zu erkennen, dass er bösartig ist
- Das Opfer landet auf der gefälschten Website und gibt dort sensible Daten ein (Passwörter, Kreditkartendaten, persönliche Informationen) oder lädt unwissentlich Malware herunter
Reale Quishing-Beispiele aus Deutschland
Gefälschte Parkscheine
Angreifer kleben QR-Codes auf Parkautomaten, die zu gefälschten 'easy park'-Seiten führen und Kreditkartendaten stehlen. Die überklebten Codes sind oft schwer zu erkennen.
ADAC Phishing-E-Mails
E-Mails mit ADAC-Logo und QR-Codes, die zu gefälschten Mitgliederseiten führen, um persönliche Daten und Bankverbindungen abzugreifen.
Rheinbahn Deutschlandticket-Betrug
Gefälschte Plakate in Bussen und Bahnen mit QR-Codes, die vermeintlich zu kostenlosem Deutschlandticket führen - in Wahrheit zu Datendiebstahl.
Gefälschte Bankbriefe
Briefe im Commerzbank-Design mit QR-Codes für angebliche photoTAN-Aktivierung. Ziel: Online-Banking-Zugangsdaten stehlen.
E-Ladesäulen-Betrug
Überklebte QR-Codes an Elektro-Ladesäulen, die statt zur Bezahlseite zu Phishing-Websites führen.
Falsche Strafzettel
Betrügerische Strafzettel für Falschparker mit QR-Codes, die zu gefälschten Bezahlseiten führen.
Woran erkennt man Quishing?
- • Unerwartete QR-Codes in E-Mails (besonders von Banken, Microsoft, Google)
- • QR-Codes auf Parkscheinen oder öffentlichen Plätzen, die 'überklebt' aussehen
- • Dringende Aufforderungen zum Scannen ('Ihr Konto wird gesperrt', 'Letzte Chance')
- • QR-Codes von unbekannten Absendern in Social Media
- • URLs nach dem Scan, die verdächtig aussehen oder nicht zum erwarteten Unternehmen passen
Wie schützen Sie sich vor Quishing?
- Verwenden Sie QRTrust: Unsere App scannt QR-Codes und prüft sie in Echtzeit gegen unsere lokale Bedrohungsdatenbank und KI-Modelle, bevor Sie die URL öffnen.
- Nutzen Sie Apps, die Ziel-URLs anzeigen: Scannen Sie QR-Codes nur mit Apps, die die Zieladresse zunächst anzeigen, bevor die Seite geöffnet wird. So können Sie verdächtige Links erkennen.
- Achten Sie genau auf Satzzeichen in URLs: Wichtig: 'beispiel.de/123' ist legitim, aber 'beispiel.de-123.com' führt zu einer völlig anderen, möglicherweise betrügerischen Website!
- Ignorieren Sie überklebte QR-Codes: QR-Codes auf Parkautomaten, Ladesäulen oder öffentlichen Plätzen, die überklebt aussehen, sollten niemals gescannt werden.
- Prüfen Sie Briefe und E-Mails kritisch: Bei verdächtigen Briefen (z.B. von Ihrer Bank): Kontaktieren Sie die Institution über eine selbst recherchierte Telefonnummer, nicht über Angaben im Brief.
- Im Betrugsfall: Sofort handeln: Kontaktieren Sie die Polizei, rufen Sie Ihre Bank an oder nutzen Sie den Sperr-Notruf 116 116, wenn Sie Opfer geworden sind.
Quishing im Unternehmen
Für Unternehmen ist Quishing eine besonders große Bedrohung. Mitarbeiter sind oft das schwächste Glied in der Sicherheitskette. Ein einziger gescannter bösartiger QR-Code kann:
• Firmendaten kompromittieren • Ransomware ins Netzwerk bringen • Zugangsdaten für kritische Systeme stehlen • Compliance-Verstöße verursachen (DSGVO, NIS2)
Fazit
Quishing ist eine wachsende Bedrohung, die QR-Codes als Angriffsvektor nutzt. Die Unsichtbarkeit des Ziels macht QR-Codes zum perfekten Werkzeug für Cyberkriminelle.
Der beste Schutz ist eine Kombination aus Awareness, gesundem Misstrauen und technischen Lösungen wie QRTrust, die jeden QR-Code vor dem Öffnen überprüfen.
Schützen Sie sich jetzt vor Quishing
QRTrust prüft jeden QR-Code in Echtzeit gegen mehrere Bedrohungsdatenbanken und warnt Sie vor Gefahren.
QRTrust kostenlos testenQuellen
Dieser Artikel basiert teilweise auf Informationen der Verbraucherzentrale NRW:
Quishing: Falsche QR-Codes in Mails, Briefen, ÖPNV und Straßenverkehr →Quishing-Statistik 2026 — Deutschland im Visier
Quishing ist 2026 die am schnellsten wachsende Phishing-Variante. Aktuelle Zahlen aus BSI-Lagebericht, Polizei-Statistiken und Branchen-Reports (Stand: Q1 2026):
mehr Quishing-Versuche weltweit (Q1 2026 vs. Q1 2025, Keepnet)
erkannte Quishing-Angriffe allein im 1. Quartal 2026 (FBI/Sicherheitsbranche)
aller Phishing-Payloads enthalten 2026 einen QR-Code (2021: 0,8 %)
durchschnittlicher Schaden pro Quishing-Vorfall im Unternehmen (Keepnet 2026)
der Smartphone-Nutzer scannen QR-Codes ohne URL-Prüfung
dokumentierte Quishing-Wellen in deutschen Städten seit Mitte 2025
Quishing vs. Phishing, Smishing & Vishing — der Unterschied
Die Phishing-Familie kennt vier Hauptvarianten. Sie unterscheiden sich nur im Kanal — das Ziel ist immer dasselbe: Daten oder Geld stehlen.
| Variante | Kanal | Typisches Beispiel 2026 | Wie schwer erkennbar? |
|---|---|---|---|
| Phishing | Gefälschte Bank-Mail mit Login-Link | Mittel — Spam-Filter helfen | |
| Smishing | SMS / Messenger | DHL-SMS mit Paket-Tracking-Link | Hoch — kaum Filter auf dem Handy |
| Vishing | Telefon / VoIP | Anruf vom „Microsoft-Support” | Hoch — kein technischer Filter |
| Quishing | QR-Code (gedruckt/digital) | Sticker auf Parkautomat oder Bankbrief | Sehr hoch — URL ist unsichtbar |
Quishing-Wellen in Deutschland: Reale Fälle 2025–2026
Quishing ist kein Theorie-Risiko. Diese Fälle haben wir dokumentiert — jeder Eintrag ist ein eigener Bericht mit Quellen, Polizei-/BSI-Belegen und Schutzhinweisen:
Berlin: Tagesschau/rbb-Welle (Mai 2026)
Quishing-Sticker an Parkautomaten und E-Ladesäulen in ganz Berlin — Hunderte Betroffene.
Polen: Scheibenwischer-Zettel mit QR-Code (April 2026)
Falsche „Strafzettel” der KAS landen auf Autoscheiben — Cold-Channel-Quishing aus dem Nachbarland.
Schwabenheim: E-Ladesäulen-Quishing (März 2026)
Überklebte QR-Codes leiteten E-Auto-Fahrer auf gefälschte Bezahlseiten.
Tauberbischofsheim: Gefälschte Bankbriefe (März 2026)
VR Bank, ING-DiBa, ApoBank: Polizei Heilbronn warnt vor Quishing per Brief.
DKB-Scam-Briefe mit QR-Code (Februar 2026)
Täuschend echte DKB-Briefe fordern „TAN-Aktivierung” per QR-Code.
WhatsApp Ghost Pairing (Januar 2026)
BSI warnt: QR-Code-Kopplung bei WhatsApp Web wird für Account-Übernahmen missbraucht.
DHL-Quishing am Briefkasten (Dezember 2025)
Klebe-Etiketten am Briefkasten täuschen Paket-Avis vor und stehlen Adress- und Zahlungsdaten.
DEW21 Ladesäulen Dortmund (Dezember 2025)
Quishing-Sticker auf Ladesäulen des Dortmunder Versorgers DEW21 — wir warnten zuerst.
Dortmunder Quishing-Welle (November 2025)
Parkautomaten und E-Ladesäulen in der gesamten Stadt — koordinierte Welle.
Deutsche Bank QR-Code-Warnung (Oktober 2025)
Deutsche Bank warnt aktiv vor Brief-Quishing mit angeblicher TAN-Aktualisierung.
Häufige Fragen zu Quishing (FAQ)
Was bedeutet Quishing?+
Quishing ist ein Kunstwort aus „QR-Code” und „Phishing”. Es bezeichnet Phishing-Angriffe, bei denen Kriminelle bösartige QR-Codes nutzen, um Opfer auf gefälschte Websites zu locken, Zugangsdaten oder TANs zu stehlen oder Schadsoftware zu verbreiten.
Wie gefährlich ist Quishing 2026 wirklich?+
Sehr gefährlich. Im ersten Quartal 2026 stiegen Quishing-Versuche weltweit um über 600 %. Polizei und BSI haben in Deutschland Dutzende Wellen dokumentiert — von Berlin über Dortmund bis Tauberbischofsheim. Im Unternehmenskontext liegt der durchschnittliche Schaden pro Vorfall bei über einer Million Euro.
Wie erkenne ich einen Quishing-Angriff?+
Typische Warnzeichen: ein QR-Code an einer Stelle, an der vorher keiner war (überklebt); ein unerwarteter Brief mit QR-Code von Bank, Behörde oder Versicherung; Druck zur Eile („sofort handeln”) nach dem Scan; und URLs, die nach dem Scan nicht zum erwarteten Anbieter passen (Tippfehler-Domains, fremde Top-Level-Domains, IP-Adressen statt Domain).
Was ist der Unterschied zwischen Phishing und Quishing?+
Phishing nutzt klassische Kanäle wie E-Mail oder gefälschte Webseiten. Quishing transportiert den Phishing-Link in einem QR-Code. Der zentrale Unterschied: Spam-Filter und Mail-Gateways können den Code nicht prüfen (er ist ein Bild), und auch Menschen können die Ziel-URL vor dem Scan nicht sehen.
Sind QR-Codes grundsätzlich unsicher?+
Nein. QR-Codes selbst sind eine sichere Technologie. Unsicher wird es, sobald jemand die URL nicht prüft, bevor er die Seite öffnet. Mit einem Prüfer wie QRTrust, der den Link gegen aktuelle Phishing-Datenbanken (PhishTank, Google Safe Browsing) und KI-Modelle abgleicht, sind QR-Codes wieder sicher nutzbar.
Wie schütze ich mich konkret vor Quishing?+
Sechs Maßnahmen: 1) Scanner-App mit URL-Vorschau nutzen — niemals automatisch öffnen. 2) Auf Tipp-Fehler in Domains achten (z. B. „spark-asse.de” statt „sparkasse.de”). 3) QR-Codes von Banken oder Behörden grundsätzlich ignorieren — diese kommunizieren über andere Wege. 4) Überklebte QR-Codes nie scannen. 5) Bei Brief-Quishing die Institution unter der offiziell recherchierten Nummer kontaktieren. 6) Eine spezialisierte App wie QRTrust verwenden.
Ich habe einen verdächtigen QR-Code gescannt — was tun?+
Nicht in Panik geraten. Solange keine Daten eingegeben wurden, ist das Risiko gering. Wenn doch: sofort betroffene Passwörter ändern, Online-Banking über Sperr-Notruf 116 116 sperren lassen, Bank unter der offiziellen Servicenummer anrufen und Anzeige bei der Polizei erstatten. Vorfall mit Screenshots dokumentieren.
Wo melde ich Quishing-Angriffe?+
In Deutschland an: Verbraucherzentrale (verbraucherzentrale.de), die Polizei (Online-Wache des jeweiligen Bundeslands), das BSI (über die Meldestelle des BSI bzw. die Allianz für Cybersicherheit) und bei Bank-Quishing direkt an die betroffene Bank (z. B. phishing@deutsche-bank.de). Wir bei QRTrust nehmen Meldungen ebenfalls auf und führen sie unserer Bedrohungsdatenbank zu.
Gibt es Quishing-Schutz für Unternehmen?+
Ja. Ein Unternehmen sollte drei Ebenen kombinieren: 1) Awareness-Training (Quishing-Phishing-Simulationen). 2) Eine technische QR-Code-Prüfung — z. B. QRTrust Enterprise auf Firmen-Smartphones und in Mail-Gateways. 3) Eine Meldevorlage für NIS-2-konforme Incident Reports an das BSI. Wir bieten ein integriertes Paket für Behörden und KRITIS-Betreiber.
Welche QR-Codes werden 2026 am häufigsten gefälscht?+
Top-Köder in Deutschland: 1) Parkautomaten („Easy Park”-Klone). 2) E-Ladesäulen (Bezahlseiten). 3) Bankbriefe (TAN-/photoTAN-Aktualisierung). 4) DHL- und Paketdienst-Aufkleber. 5) Strafzettel auf Auto-Scheibenwischern. 6) Restaurant-Speisekarten. 7) WhatsApp-Web-Kopplung (Ghost Pairing).
Ist Quishing strafbar?+
Ja. Quishing ist in Deutschland nach §263 StGB (Betrug), §202a StGB (Ausspähen von Daten) und §263a StGB (Computerbetrug) strafbar — je nach Tatbestand mit Freiheitsstrafe bis zu fünf Jahren. Beim Inverkehrbringen gefälschter QR-Codes greifen zusätzlich §269 StGB (Fälschung beweiserheblicher Daten) und §202c StGB (Vorbereiten von Ausspähen).
Was macht QRTrust gegen Quishing?+
QRTrust scannt jeden QR-Code und gleicht die Ziel-URL in Echtzeit gegen PhishTank (1 Mio.+ Phishing-URLs), Google Safe Browsing, unsere eigene KI-gestützte Klassifizierung und einen URL-Redirect-Resolver ab. Verdächtige Seiten werden blockiert, bevor sie öffnen. Die App ist DSGVO-konform, läuft auf EU-Servern und ist für Privatnutzer kostenlos.