Wappen von Polizei
| Sperr-Notruf (Karten, Banking) | |
| Webseite | www.sperr-notruf.de |
| Telefon (Inland) | 116 116 |
| Telefon (Ausland) | +49 30 4050 4050 |
| Erreichbarkeit | 24 Stunden täglich, kostenfrei |
Quishing: Ablauf & Schutzmaßnahmen
Ein kurzer Scan, eine vertraut wirkende Seite, ein paar eingegebene Daten. Mehr braucht es nicht, damit Kriminelle dein Konto leerräumen. Quishing kombiniert harmlose Alltagstechnik mit hochprofessioneller Täuschung und trifft immer mehr Menschen auch 2026 an Parkautomaten, im Briefkasten und sogar im Bus. Wir zeigen dir, wie der QR-Code-Betrug abläuft, woran du ihn erkennst und welche Schritte im Schadensfall wirklich helfen.
Ein einziger gescannter QR-Code reicht aus, damit Kriminelle deine Bankdaten abgreifen oder Schadsoftware auf dein Smartphone bringen.
Inhaltsverzeichnis
Das Wichtigste auf einen Blick
- Quishing ist QR-Code-Phishing. Kriminelle leiten dich über manipulierte Codes auf täuschend echte Fake-Seiten und greifen dort Bank- oder Login-Daten ab.
- Betroffen sind besonders Parkautomaten, gefälschte Bankbriefe, Strafzettel-Imitate, E-Ladesäulen und angebliche Paketankündigungen.
- Im Fall der Fälle musst du schnell handeln. Karte sperren, Bank informieren, Beweise sichern und Anzeige erstatten.
- Bestmöglicher Schutz liegt auch in deiner Hand. Angezeigte Zieladresse prüfen, offizielle Apps statt Codes nutzen und überklebte Aufkleber niemals scannen.
Was steckt hinter der Quishing-Masche
Bei Quishing handelt es sich um ein Kunstwort aus QR-Code und Phishing. Es beschreibt eine Variante des Datendiebstahls, bei der Täter klassische Schadlinks hinter einem QR-Code verstecken. Anstelle einer verdächtigen Adresse sieht das Opfer nur ein quadratisches Muster aus schwarzen und weißen Punkten. Genau diese fehlende Sichtbarkeit macht die Masche wirkungsvoll. Wo eine seltsame URL in einer Mail Misstrauen weckt, wird ein Code ohne nachzudenken gescannt.
Ein Quishing-Angriff folgt fast immer demselben Drehbuch. Zuerst stoßen Opfer auf einen QR-Code, zum Beispiel draußen auf einem Aufkleber, in einer Mail oder in einem Brief. Nach dem Scan öffnet das Smartphone eine Seite, die einer bekannten Marke täuschend ähnlich sieht. Dort werden Bankzugangsdaten, Kreditkartendetails oder Login-Daten eingegeben. Die Daten landen direkt bei den Tätern.
Häufig wird das Opfer anschließend auf die echte Webseite weitergeleitet, damit der Betrug nicht sofort auffällt. In extremen Fällen lädt der Code direkt eine Schadsoftware wie DocSwap herunter, die Kamera, Mikrofon, SMS und Zwei-Faktor-Codes ausliest.
Wo dir Quishing im Alltag begegnet
- Manipulierte Parkscheinautomaten: Täter überkleben den echten QR-Code mit einem professionell gestalteten Aufkleber im Design bekannter Bezahldienste. Wer scannt und bezahlt, landet auf einer Fake-Seite und wird anschließend zur echten Adresse weitergeleitet.
- Gefälschte Bankbriefe: Empfänger erhalten ein vermeintliches Schreiben ihrer Bank, das zur Aktualisierung des Online-Bankings oder zur Bestätigung neuer Sicherheitsrichtlinien auffordert. Der abgedruckte QR-Code führt direkt auf eine gefälschte Login-Seite.
- Quishing an E-Ladesäulen: Statt zur regulären Abrechnung leitet der überklebte Code an Ladepunkten auf eine gefälschte Webseite, die Kreditkartendaten abgreift.
- Falsche Strafzettel: Unter Scheibenwischern landen Imitate echter Strafzettel, die mit Bußgeld drohen und per QR-Code zur sofortigen Zahlung drängen.
- Plakate und Aushänge im ÖPNV: Manipulierte Plakate in Bussen, Bahnen und Haltestellen versprechen Gewinne, vergünstigte Tickets oder Umfrage-Prämien. Der eingebaute QR-Code führt anschließend zur Datenfalle.
- Paketbenachrichtigungen: Angebliche DHL- oder Paketdienst-Karten flattern in den Briefkasten und bitten per QR-Code um eine Adressbestätigung oder eine kleine Zollgebühr. Wer scannt, gibt seine Daten preis.
- E-Mails: Auch in Mailpostfächern tauchen QR-Codes auf, so zum Beispiel als angebliches Dankesgeschenk für eine Umfrage oder als vermeintliche Sicherheitswarnung eines bekannten Unternehmens.
Quishing in Zahlen
Ein kurzer Blick auf die Lage zeigt, wie verbreitet QR-Code-Betrug ist und wie lange das Problem bereits besteht. Die Zahlen stammen aus Schadenserhebungen und Sicherheitsreports der letzten Jahre.
- Bereits Anfang 2021 registrierte die Verbraucherzentrale NRW zahlreiche Phishing-Mails mit QR-Codes. Seitdem häufen sich die Meldungen mit deutlichen Schwerpunkten an Parkautomaten und in gefälschten Bankbriefen.
- Am 7. Oktober 2024 veröffentlichte die BaFin eine offizielle Warnung vor Quishing und stuft die Masche seither als wachsende Gefahr für Verbraucher im Finanzbereich ein.
- Im Bundeslagebild Cybercrime 2025 weist das BKA rund 335.000 Cybercrime-Fälle im engeren Sinne aus, von denen rund zwei Drittel aus dem Ausland oder von unbekannten Tatorten begangen wurden. Quishing ist ein wachsender Teil dieses Phänomenbereichs.
- Das LKA Nordrhein-Westfalen warnt vor Briefen, die seriöse Kreditinstitute imitieren, und ruft Empfänger ausdrücklich dazu auf, die Echtheit nur über die offiziellen Kontaktwege der Bank zu prüfen.
Daran erkennst du gefälschte QR-Codes sofort
Viele Quishing-Versuche lassen sich entlarven, bevor das eigene Geld in Gefahr gerät. Hilfreich ist ein direkter Vergleich, wie die Adresse hinter einem echten Code aussieht und welche Auffälligkeiten typisch für eine Fälschung sind. Hier bekommst du die wichtigsten Merkmale zum Gegenprüfen auf einen Blick:
| Merkmal | Echter Code | Quishing-Code |
|---|---|---|
| Zieladresse | easypark.com | easy-park-de.com oder easypark.de-pay.com |
| Verbindung | https mit gültigem Zertifikat des Anbieters | http oder falsches Zertifikat ohne Anbieterbezug |
| Platzierung | Fest aufgedruckt oder unter Schutzfolie | Frischer Aufkleber, leicht versetzt über dem Original |
| Sprache und Rechtschreibung | Fehlerfrei und mit korrekten Umlauten | Fehlende Umlaute, Anglizismen, ungelenke Formulierungen |
| Datenabfrage | Bezahlung über bekannte Schnittstelle, keine Konto-Logins | Direkter Abruf von Banking-, Karten- oder Login-Daten |
Auch das Verhalten der Seite verrät viel. Sollst du nach dem Scan eine ungewöhnliche Eingabe machen und zum Beispiel eine PIN außerhalb der gewohnten Banking-App eintragen, beende den Vorgang am besten. Verdächtig ist ebenfalls jeder Brief von der Bank, der ausdrücklich zur Verifizierung über einen QR-Code auffordert. Seriöse Institute verlangen diesen Schritt nicht.
✔️ Eine kurze Plausibilitätsprüfung hilft mehr als jede Sicherheits-App. Wer unsicher ist, ruft die Seite eines Anbieters lieber direkt im Browser oder über dessen Original-App auf und ignoriert den Code im Zweifel komplett.
So machst du dich unangreifbar gegen Quishing
Die wichtigsten Schutzmaßnahmen gegen Betrug aller Art liegen weniger in technischer Hochrüstung als in einer kurzen, bewussten Pause vor jedem Scan. Wer ein paar Routinen einübt, macht es Tätern bei ihrem Vorgehen deutlich schwerer.
Zieladresse vor dem Aufruf anzeigen lassen
Auf modernen Smartphones kannst du einstellen, dass die URL nach einem Scan zuerst angezeigt statt automatisch geladen wird. Lies die Adresse vollständig, achte auf Tippfehler, vertauschte Buchstaben und ungewöhnliche Endungen wie .info, .top oder .xyz hinter einem bekannten Markennamen.
Offizielle Apps statt Code verwenden
Beim Parken, Laden oder Online-Banking ist die App des Anbieters der sicherste Weg. Wer den Bezahlvorgang dort startet, umgeht jeden manipulierten Code vor Ort. Bei Briefen mit QR-Code ruf den Absender immer über die im Internet recherchierte Hauptnummer an und niemals über eine im Schreiben abgedruckte Telefonnummer.
Zwei-Faktor-Authentifizierung aktivieren
Selbst wenn Zugangsdaten in falsche Hände geraten, blockiert ein zweiter Faktor den Zugriff auf dein Konto. Am besten sind App-basierte Verfahren oder Hardware-Token, weniger sicher sind reine SMS-TANs. Auch eine Anmeldung per Passkey oder Biometrie reduziert das Risiko deutlich.
Smartphone aktuell und sauber halten
Eine aktuelle Betriebssystem-Version schließt Lücken, über die Schadprogramme nach einem Scan geladen und ausgeführt werden. Ergänzend hilft eine seriöse Antivirus-App, die schädliche Links und APK-Dateien blockiert. Die Installation aus unbekannten Quellen sollte standardmäßig deaktiviert bleiben.
Überklebte Codes immer melden
Findest du an einem Parkautomaten, einer Ladesäule oder im ÖPNV einen offensichtlich aufgeklebten Code, scanne ihn nicht und informiere den Betreiber. Eine kurze Mail an die Verbraucherzentrale hilft zusätzlich, weitere Menschen vor dieser Masche zu warnen.
Der 3-Sekunden-Check vor jedem Scan
Bevor du einen QR-Code aufrufst, halte einen Moment inne und prüfe drei Dinge.
Erstens, sitzt der Code dort, wo er hingehört, oder klebt er auffällig auf einem anderen Untergrund? Zweitens, passt der Anbieter zum Ort, also EasyPark am Parkautomaten oder die echte Bank im verifizierten Brief? Drittens, ist die nach dem Scan angezeigte Adresse plausibel und ohne kreative Zusatzdomains wie de-pay.com? Wenn auch nur ein Punkt unklar ist, brich ab und nutze die App.
Sofortmaßnahmen, wenn der Schaden bereits da ist
Hast du einen verdächtigen QR-Code gescannt und Daten eingegeben, zählt jede Minute. Kriminelle versuchen, abgegriffene Informationen so schnell wie möglich zu nutzen. Die folgenden Schritte in dieser Reihenfolge begrenzen den Schaden:
- Schritt 1, Karten sperren: Ruf umgehend den zentralen Sperr-Notruf 116 116 an und lass alle deine Karten sperren. Der Anruf ist aus dem deutschen Festnetz und Mobilfunk kostenfrei. Aus dem Ausland erreichst du den Dienst unter +49 30 4050 4050.
- Schritt 2, Bank kontaktieren: Melde dich bei deinem Kreditinstitut, lass Online-Banking-Zugänge sperren und prüfe alle Transaktionen der letzten Stunden. SEPA-Lastschriften können acht Wochen lang ohne Begründung zurückgebucht werden. Bei nicht autorisierten Abbuchungen verlängert sich die Frist auf bis zu 13 Monate.
- Schritt 3, Beweise sichern: Fotografiere den fraglichen Code, den Aufkleber, das Schreiben oder die Mail. Erstelle Screenshots der gefälschten Seite und notiere die URL aus der Browserchronik. Halte Datum, Uhrzeit und Ort des Scans fest.
- Schritt 4, Anzeige erstatten: Erstatte Anzeige bei der örtlichen Polizei oder über die Onlinewache deines Bundeslandes. Bitte zusätzlich um eine KUNO-Meldung für deine Debitkarte, damit sie aus dem Lastschriftverfahren herausgehalten wird.
- Schritt 5, Smartphone überprüfen: Falls eine Datei oder App heruntergeladen wurde, starte den abgesicherten Modus, deinstalliere verdächtige Apps und führe einen vollständigen Virenscan durch. Im Zweifel ist ein Werksreset die sicherste Option.
- Schritt 6, Folgeaktivitäten beobachten: In den folgenden Wochen lohnt sich der wachsame Blick auf Konto, Mail-Eingang und Briefpost. Tauchen seltsame Bestellungen oder Inkassoforderungen auf, melde dich erneut bei Bank und Polizei.
🖊️ Musterschreiben für eine Strafanzeige
Hilfreich ist im Fall der Fälle ein Anschreiben an die Polizei oder Staatsanwaltschaft, in dem du den Vorfall strukturiert schilderst. Das Schreiben kannst du bei der Anzeige beilegen oder online hochladen.
Den folgenden Text passt du an deinen Fall an. Ergänze deine eigenen Daten und alle vorhandenen Belege wie Screenshots, Foto des QR-Codes oder Kontoauszüge.
Vorlage Anzeige wegen Quishing
[Dein Vor- und Nachname]
[Deine Straße und Hausnummer]
[PLZ und Ort]
An
[Zuständige Polizeidienststelle oder Onlinewache deines Bundeslandes]
[Ort], [Datum]
Strafanzeige wegen Computerbetrugs gemäß § 263a StGB, Quishing-Vorfall
Sehr geehrte Damen und Herren,
hiermit erstatte ich Strafanzeige gegen Unbekannt wegen Computerbetrugs. Am [Datum] um etwa [Uhrzeit] habe ich am Ort [genaue Adresse oder Beschreibung des Tatorts, zum Beispiel Parkscheinautomat in der Musterstraße 12, 12345 Musterstadt] einen QR-Code gescannt, der sich später als manipuliert herausstellte.
Der Code befand sich auf [Aufkleber, Brief, Mail, Plakat] und führte mich auf die Seite [URL, falls bekannt]. Dort habe ich folgende Daten eingegeben, [konkrete Daten, etwa Kreditkartennummer, Bankzugang, persönliche Angaben]. Kurz darauf wurden auf meinem Konto folgende nicht autorisierte Abbuchungen festgestellt, [Auflistung].
Beigefügt finden Sie [Screenshots der Seite, Foto des QR-Codes, Kopie des Schreibens, Kontoauszug, Kommunikation mit der Bank].
Ich bitte um Aufnahme der Anzeige, um Mitteilung des Aktenzeichens und um Information, sobald Ermittlungsergebnisse vorliegen. Mit der Übermittlung der Daten an Geschädigtenvertretungen bin ich einverstanden.
Mit freundlichen Grüßen
[Unterschrift]
Wichtig: Hebe eine Kopie des Anschreibens und sämtliche Belege auf. Halte das Aktenzeichen schriftlich fest, denn du brauchst es für Rückfragen bei der Bank, beim Bezahldienstleister und für eventuelle zivilrechtliche Schritte.
Hier bekommst du im Fall der Fälle Hilfe
Bei einem Quishing-Vorfall stehen mehrere offizielle Stellen bereit, an die du dich kostenfrei wenden kannst. Je früher du Kontakt aufnimmst, desto besser stehen die Chancen, Schaden zu begrenzen und andere Verbraucher zu warnen.
- Verbraucherzentrale (Beratung und Phishingradar)
- Onlinewachen der Polizeien der Länder
- BaFin-Verbraucherinformationen zu Datendiebstahl
- Auskunftsstelle des Bundeskriminalamts
Beratung und Hilfe für Quishing-Opfer
🔎 Nie wieder etwas verpassen
Damit du auch in Zukunft nicht ins offene Messer rennst, lohnt sich der regelmäßige Blick auf aktuelle Warnmeldungen. Behörden und Verbraucherportale aktualisieren ihre Hinweise oft binnen weniger Tage, wenn neue Maschen auftauchen.
- Warnhinweise des BKA
- Phishingradar der Verbraucherzentrale
- Aktuelle Verbraucherthemen des BSI
- Programm Polizeiliche Kriminalprävention
➡️ Auch bei Betrugstest entdeckst du Artikel zu zahlreichen Betrugsmaschen, mit denen du dein Sicherheitswissen vertiefen kannst.
- Finde zum Beispiel heraus, wie Smishing per SMS funktioniert und woran du gefälschte Kurznachrichten sofort entlarvst.
- Im Beitrag rund um Paketzustellungs-Betrug erfährst du, wie Kriminelle DHL- und Hermes-Imitate für Datendiebstahl nutzen.
- Ein unterschätztes Risiko sind Verschlüsselungstrojaner. Schaue dich in unserem Ransomware-Artikel um und lerne, wie du dich vor erpresserischer Schadsoftware schützt.
- Eine vollständige Übersicht findest du in unserer Sammlung aller Betrugsmaschen. Bleib auf dem Laufenden und sei den Tätern stets eine Idee voraus.
Häufige Fragen und Antworten
An dieser Stelle beantworten wir Fragen, die in den vorherigen Abschnitten noch nicht behandelt wurden. So hast du das wichtigste Hintergrundwissen rund um Quishing griffbereit.
Kann ein QR-Code direkt mein Smartphone infizieren?
Allein der Scan installiert nichts. Gefährlich wird es, wenn der Code zu einer Datei oder APK führt und du die Installation bestätigst. Auch das Eintippen von Daten auf einer Fake-Seite reicht für viele Angriffe. Sicherheitsupdates, das Sperren unbekannter Quellen und eine Antiviren-App reduzieren das Risiko.
Sind iPhones beim Scannen sicherer als Android-Geräte?
iPhones sind weniger anfällig für direkte Schadsoftware, weil Apps fast ausschließlich über den App Store installiert werden. Schutz vor Phishing-Seiten bieten beide Systeme nicht automatisch. Wer auf einer gefälschten Bankseite Daten eingibt, ist unabhängig vom Betriebssystem gefährdet.
Haftet die Bank, wenn ich auf Quishing hereingefallen bin?
Banken haften meist nur, wenn du nicht grob fahrlässig gehandelt hast. Hast du Zugangsdaten freiwillig auf einer gefälschten Seite eingegeben, wird die Bank prüfen, ob du Sorgfaltspflichten verletzt hast. Melde den Vorfall sofort, sichere Beweise und bitte um eine schriftliche Stellungnahme. Bei Streit hilft die Schlichtungsstelle deiner Bank oder ein Anwalt für Bankrecht weiter.
(0)
Kommentare
Deine Meinung ist wichtig – teile sie mit uns!