QR-Phishing: die Gefahren – und wie Sie sich davor schützen

Einen QR-Code scannen, um ein Parkticket zu bezahlen, einen Cappuccino zu bestellen oder eine Rechnung zu begleichen – was soll daran schon verdächtig sein? Wir scannen QR-Codes ständig, meist ohne groß darüber nachzudenken. Verständlich: Sie sind praktisch und befinden sich an Orten, an denen man sie erwartet. Leider wissen Cyberkriminelle das ebenfalls auszunutzen. Manipulierte QR-Codes tauchen immer häufiger auf und werden gezielt für Phishing-Angriffe eingesetzt.



Was ist QR-Phishing?

QR-Phishing – auch Quishing genannt – ist eine Betrugsmasche, bei der Cyberkriminelle manipulierte QR-Codes erstellen, um Menschen zu täuschen und Daten zu stehlen. Diese Methode verbreitet sich rasant, denn das Erstellen und Verteilen von QR-Codes ist kinderleicht.

Wie funktioniert QR-Phishing?

Ein Angreifer erzeugt einen QR-Code, der zu einer gefälschten Website, einer manipulierten Zahlungsseite oder zu schädlichen Dateien führt. Anschließend verbreitet er diesen Code – etwa als Sticker an öffentlichen Orten, als Bild auf einer Fake-Rechnung oder als Anhang in einer Phishing-Mail. Diese Betrugsversuche erscheinen oft dort, wo Bequemlichkeit und Neugierde die Vorsicht überlagern.

Wie gefährlich ist das Scannen eines gefälschten QR-Codes?

Das hängt vom Typ des Codes ab. Manche führen zu gefälschten Formularen oder betrügerischen Zahlungsseiten. Das ist zwar riskant, aber in der Regel unproblematisch, solange Sie keine Daten eingeben, nichts anklicken oder keine Zahlung auslösen. Andere Varianten sind deutlich gefährlicher: Einige installieren beim Scannen sofort Malware. Wenn ein QR-Code mit einem Virus oder einer automatisch installierenden Schadsoftware versehen ist, reicht ein einziger Scan aus, um Ihr Gerät zu kompromittieren.

Wie erkennt man QR-Phishing?

QR-Phishing ist schwieriger zu erkennen als klassische Phishing-Angriffe. In E-Mails kann man Links durch einfaches Darüberfahren prüfen. Bei QR-Codes sieht man das Ziel erst, nachdem man gescannt hat. Das Smartphone zeigt erst dann eine URL-Vorschau an – achten Sie besonders auf Folgendes:

  • Erkennen Sie die Domain wieder? (z. B. google.com ist legitim)
  • Führt der Link zu einer echten Website? (gooogle.com oder security-google.com sind verdächtig)
  • Vorsicht bei URL-Verkürzern wie bit.ly – das Ziel bleibt verborgen
  • Seien Sie misstrauisch, wenn statt eines Domainnamens eine IP-Adresse angezeigt wird
  • Denken Sie daran: https bedeutet nicht „sicher“, sondern nur, dass die Verbindung verschlüsselt ist

Warum ist QR-Phishing so erfolgreich?

Studien zeigen, dass Phishing-E-Mails mit QR-Codes genauso gut funktionieren wie klassische Phishing-Nachrichten. Das ist besorgniserregend, denn QR-Phishing ist schwerer zu erkennen. Gründe dafür sind:

  • Es nutzt dieselben psychologischen Trigger wie erfolgreiche Phishing-Mails
  • Es wirkt glaubwürdig, unaufdringlich und oft sehr subtil
  • Viele Sicherheitslösungen blockieren QR-basierte Angriffe noch unzureichend
  • Es gibt keine sichtbare URL, die man vorab prüfen kann
  • Der Einsatz von LLMs macht auch Quishing zunehmend raffinierter

Wie lässt sich Quishing in Ihrer Organisation verhindern?

Auch wenn aktuelle Technologien QR-Phishing noch nicht vollständig abwehren können, gibt es wirksame Maßnahmen:

1. Technische Schutzmaßnahmen

Implementieren Sie automatische Sicherheitsmechanismen, die schädliche QR-Codes erkennen und blockieren – eine zentrale Empfehlung aktueller Forschung.

2. Security-Awareness-Training

Binden Sie QR-Phishing in Ihr Awareness-Programm ein. Mitarbeitende lernen so, die Gefahr zu verstehen, Warnsignale zu erkennen und richtig zu reagieren.

3. Nachdenken vor dem Scannen

Steht neben dem Code eine dringende Aufforderung oder ein verlockendes Angebot? Vorsicht – klassische Köder! Fragen Sie sich: Passt der QR-Code zur Situation? Taucht er an einem ungewöhnlichen Ort auf oder stammt von einer unbekannten Quelle, lieber nicht scannen.

4. Immer die URL prüfen

Nach dem Scan zeigt Ihr Smartphone eine Vorschau an – sehen Sie genau hin. Wenn Sie bereits auf der Seite gelandet sind, prüfen Sie die Adressleiste, bevor Sie interagieren. Im Zweifel: direkt bei der Person oder Organisation nachfragen. Spoofing ist weit verbreitet.

5. Vorsicht bei Daten und Zahlungen

Geben Sie niemals leichtfertig persönliche Daten ein oder tätigen Sie Zahlungen, ohne die Quelle zu verifizieren. Holen Sie bei Unsicherheiten Rücksprache bei Dritten ein – etwa beim Absender, der Organisation oder einem Kollegen.

Kollegen testen und trainieren – mit Awaretrain

Möchten Sie das QR-Phishing-Bewusstsein Ihrer Mitarbeitenden in einer sicheren Umgebung testen? Mit Tracker-Phishing erweitern Sie Ihre Phishing-Simulationen um eine zusätzliche Dimension. Sie erhalten Einblicke in das Nutzerverhalten über mehrere Kanäle hinweg – nicht nur per E-Mail.

Wie funktioniert Tracker-Phishing?

Über die Tracker-Phishing-Funktion von Awaretrain erstellen Sie sichere QR-Codes, die Sie flexibel verteilen können – auf Postern, Stickern oder in E-Mails. Sobald jemand den Code scannt, landet die Person auf einer sicheren Landingpage mit vorbereiteten Tipps. Oft ist nichts so lehrreich wie eine selbst erlebte Situation. Sie finden die Funktion im Plattformmenü unter Phishing > Trackerkampagnen und die Ergebnisse unter Berichte > Trackerberichte.

Noch kein Awaretrain-Account? Testen Sie die Plattform 28 Tage kostenlos.

QR-Phishing-Training

Begleiten Sie Ihre Simulationen durch gezielte Awareness-Trainings, um die Wirkung Ihrer Kampagne zu verstärken. Unsere umfangreiche Content-Bibliothek umfasst mehr als 70 Module – darunter eine fünfminütige Security Snack-Einheit zum Thema QR-Phishing. In kurzer Zeit erfahren Ihre Mitarbeitenden, was QR-Phishing ist, wie es funktioniert und wie man es erkennt.

QR-Phishing ist nur eine von vielen Bedrohungen, mit denen Ihre Teams konfrontiert werden können. Regelmäßige Trainings und wiederkehrende Phishing-Simulationen halten das Risikobewusstsein hoch.

Sie brauchen Unterstützung?

Unser Team aus Security-Awareness-Experten steht Ihnen jederzeit zur Verfügung.

Ontdek meer

Blogs & News

4 Dezember 2025

Webinar: QR- und USB-Phishing mit Awaretrain simulieren

Blogs & News

24 November 2025

5 Tipps für einen starken Einstieg in die Security Awareness

Blogs & News

1 Oktober 2025

Cybersecurity Awareness Month 2025
Alle Blogartikel ansehen

Testen Sie unsere Security Awareness Plattform 28 Tage kostenlos

Kostenloses Testkonto
70+

Trainingsmodule

1.000+

Kund:innen weltweit

1 Mio.+

Geschulte Mitarbeitende

Kommen Sie an Bord und bauen Sie mit Awaretrain nachhaltige Security Awareness auf.

Zertifizierungen

Mehr entdecken

Unser Ansatz
Security Awareness Plattform
DSGVO- & Datenschutz-Training
Phishing-Simulation
Kostenlos testen
Preise & Pakete
Cybersicherheitskultur-Check
Kostenlose Poster
Partner werden

Kontakt

+49-6035-970 151
info@awaretrain.de

Awareness on track

© Awaretrain | Alle Rechte vorbehalten
Impressum
Geschäftsbedingungen
Datenschutz