Geschrieben von: Denise Schlüter
Ein Päckchen vor der Tür, keine Absenderadresse und billiger Inhalt. In den meisten Fällen ist dies nicht einfach nur ein Versehen. Brushing ist eine Betrugsmasche, die nicht neu ist, aber gerade wieder massiv zunimmt und bei der das Paket selbst nur der Anfang ist.
Fremde Ware, eigene Adresse – ein harmloses Versehen ist dieses Paket mit hoher Wahrscheinlichkeit nicht.
- Brushing nutzt gestohlene Adressdaten, um gefälschte Käuferbewertungen zu erzeugen – das Paket ist dabei nur Mittel zum Zweck.
- Ein unbestelltes Paket könnte ein Warnsignal sein: Eigene Zugangsdaten sollten umgehend geändert werden.
- Bezahlen oder zurückschicken muss man die falsch gelieferte Ware nicht. § 241a BGB schützt Verbraucher eindeutig.
Was ist Brushing überhaupt?
Brushing bezeichnet eine Methode, mit der unseriöse Händler, die überwiegend aus dem asiatischen Raum stammen, gefälschte, aber verifizierte Kundenbewertungen auf Portalen wie Amazon erzeugen. Das Prinzip dahinter ist so simpel wie dreist: Wer auf Amazon ein Produkt kauft, darf eine sogenannte „Verifizierter Kauf”-Rezension hinterlassen.
Diese Bewertungen genießen deutlich mehr Glaubwürdigkeit als gewöhnliche Rezensionen. Um sie zu erzeugen, ohne tatsächliche Käufer zu brauchen, legen die Täter auf fremde Namen und Adressen Konten an, bestellen günstige Artikel an reale Haushalte und verfassen die Bewertung dann selbst.
Das Ergebnis: Das Paket landet bei einer Person, die nichts bestellt hat. Der Shop bekommt eine positive, verifizierte Bewertung. Die Ware kostet die Betrüger wenig, der Ranking-Vorteil ist für sie viel wert. Je billiger das Produkt, desto attraktiver die Masche – Handyhüllen, No-Name-Elektronik, Küchenutensilien.
Keine neue Masche
Neu ist das nicht. Erste dokumentierte Fälle reichen bis ins Jahr 2020 zurück, als Tausende Amerikaner mysteriöse Pflanzensamen zugeschickt bekamen – später stellte sich heraus, dass sie überwiegend aus China stammten. Amazon verbannte daraufhin den Verkauf ausländischer Pflanzen in die USA. Doch die Masche verschwand nie ganz, sie hat sich seither nur weiterentwickelt.
Wie die Täter vorgehen
An die nötigen Daten kommen die Betrüger auf verschiedenen Wegen. Häufig kaufen sie Datensätze, die aus Hackerangriffen oder Datenlecks stammen und im Darknet gehandelt werden. Namen, Adressen und mitunter auch E-Mail-Adressen lassen sich dort für wenig Geld erwerben. Manchmal werden die Daten auch aus öffentlich zugänglichen Quellen zusammengetragen – sozialen Netzwerken, Branchenverzeichnissen, Bewertungsportalen.
Mit diesen Datensätzen erstellen die Täter Konten bei Marktplätzen wie Amazon, bestellen gezielt günstige Artikel und schicken sie an die betroffenen Haushalte. Die Sendung trägt den Namen des Empfängers, hat aber keine Rücksendeadresse. Wer im eigenen Amazon-Konto nachschaut, findet keinerlei Bestellung – weil die Bestellung eben über ein Fake-Profil lief, nicht über das eigene.
Betrüger gehen mit der Zeit
Besonders perfide ist die Weiterentwicklung, die Brushing seit 2024 zeigt: In immer mehr Paketen steckt ein QR-Code. Der Absender suggeriert damit, man könne herausfinden, woher die Sendung stammt. Tatsächlich führt der Code auf gefälschte Webseiten, die zur Dateneingabe auffordern, oder er löst direkt das Herunterladen von Schadsoftware aus.
Aus einer vergleichsweise harmlosen Bewertungsmasche wird so ein ernsthafter Angriff auf die Gerätesicherheit und persönliche Daten. Sicherheitsforscher des Unternehmens KnowBe4 warnten im Januar 2026 ausdrücklich vor dieser Kombination aus physischem Warenversand und digitalem Datenklau.
Warum die Masche gerade wieder Fahrt aufnimmt
Mehrere Faktoren treffen derzeit zusammen. Erstens haben umfangreiche Datenlecks im Jahr 2025 dafür gesorgt, dass Millionen aktueller Adressdaten im Umlauf sind – frisches Material für Brushing-Kampagnen. Zweitens profitieren die Täter vom anhaltenden Boom des Online-Shoppings und vom Trend zur Mystery Box: Viele Verbraucher empfangen regelmäßig Pakete und überprüfen nicht bei jedem einzelnen, ob sie es wirklich bestellt haben.
Drittens ist der Anreiz für die Täter gestiegen. Amazon hat sein Bewertungssystem mehrfach reformiert, echte verifizierte Bewertungen sind dadurch noch wertvoller – und teurer zu kaufen. Brushing bleibt im Vergleich relativ günstig und schwer zurückzuverfolgen, weil die Täter hinter Fake-Konten agieren und oft außerhalb europäischer Rechtsbereiche sitzen.
Ende 2025 berichteten Verbraucherschützer über eine deutlich gestiegene Anzahl von Meldungen, besonders rund um die Weihnachtszeit, als das allgemeine Paketaufkommen Brushing-Sendungen zusätzlich leicht camouflierte.
Anfang März 2026 meldeten mehrere deutsche Medien erneut eine Zunahme der Fälle. Das Problem ist mittlerweile so präsent, dass Amazon eine eigene Hilfeseite zum Thema eingerichtet hat, auf der Betroffene ihren Fall direkt melden können.
Was das wirkliche Risiko ist
Wer ein unbestelltes Paket erhält und nichts weiter tut, wird in den meisten Fällen keinen direkten finanziellen Schaden erleiden. Das Paket muss nach deutschem Recht weder bezahlt noch zurückgeschickt werden – § 241a BGB ist eindeutig. Die Ware darf behalten werden.
Das eigentliche Problem liegt woanders. Wer Opfer von Brushing wird, weiß, dass seine Adressdaten kompromittiert sind. Häufig sind weitere Informationen im Umlauf: E-Mail-Adressen, Telefonnummern, manchmal auch Passwörter aus denselben Datenlecks. Diese Daten können für Phishing-Angriffe, Identitätsdiebstahl oder unautorisierten Zugriff auf Konten genutzt werden. Wer den beiliegenden QR-Code scannt, geht darüber hinaus ein erhebliches Sicherheitsrisiko ein – sein Gerät und alle darauf gespeicherten Daten können gefährdet sein.
Für Amazon selbst ist Brushing ein strukturelles Problem. Gefälschte Bewertungen verzerren Rankings, drücken seriöse Händler nach unten und untergraben das Vertrauen ins gesamte Bewertungssystem. Das schadet letztlich allen – Käufern wie ehrlichen Verkäufern.
Was zu tun ist, wenn ein solches Paket ankommt
Zuerst ausschließen, ob das Paket ein Geschenk aus dem Bekanntenkreis ist. Klingt banal, erspart aber unnötige Aufregung. Ist das ausgeschlossen, gilt: den QR-Code auf keinen Fall scannen, egal wie neugierig man ist. Er erfüllt keinen legitimen Zweck.
Den Fall dem Amazon-Kundenservice melden – am besten mit einem Foto des Versandetiketts. Amazon kann dann den Dritthändler prüfen, dessen Fake-Konto für die Bestellung genutzt wurde. Die Ware darf man behalten oder entsorgen; eine Rücksendung ist nicht erforderlich.
Gleichzeitig sollte man die eigene Datensicherheit überprüfen. Dienste wie HaveIBeenPwned.com zeigen, ob die eigene E-Mail-Adresse in bekannten Datenlecks auftaucht. Passwörter für Online-Banking, Bezahldienste, Amazon und andere Shopping-Plattformen sowie E-Mail-Konten sollten geändert werden
Am besten sind einzigartige, starke Passwörter, die für jeden Dienst separat vergeben werden. Zusätzlich empfiehlt sich die Aktivierung der Zwei-Faktor-Authentifizierung überall dort, wo sie angeboten wird.
Wer mehrere Sendungen hintereinander erhält, kann davon ausgehen, dass seine Adresse bei den Tätern als verlässliche Lieferadresse gilt. In diesem Fall sollte man zusätzlich eine Strafanzeige bei der örtlichen Polizei erstatten – auch wenn die Ermittlungschancen gering sind, hilft es zumindest dabei, das Ausmaß des Problems statistisch zu erfassen.
Wie du dich im Vorfeld schützt
Vollständiger Schutz ist schwierig, weil man selbst keinen Einfluss darauf hat, ob eine Plattform, bei der man registriert ist, gehackt wird. Was man kontrollieren kann: die eigene digitale Angriffsfläche klein halten.
Wer dieselbe E-Mail-Adresse und dasselbe Passwort für mehrere Dienste nutzt, macht es Tätern nach einem Datenleck besonders leicht. Ein Passwort-Manager hilft dabei, starke, individuelle Zugangsdaten für jeden Dienst zu verwalten. Zurückhaltung beim Anlegen von Konten auf unbekannten Shopping-Plattformen reduziert ebenfalls das Risiko, dass Adressdaten in falsche Hände gelangen.
Grundsätzlich sollte man beim Empfang unbekannter Pakete skeptisch bleiben. Das gilt auch dann, wenn die Sendung offiziell wirkt oder von einem bekannten Dienstleister wie DHL oder Hermes zu kommen scheint. Offizielle Paketdienstleister legen keine QR-Codes in Sendungen, die zur Dateneingabe auffordern. Sendungsnummern lassen sich immer manuell auf den offiziellen Seiten der Zusteller prüfen.
Brushing ist eine Masche, die mit wenig Aufwand viel Schaden anrichten kann – für Verbraucher, für Portalbetreiber und für das Vertrauen in den Online-Handel insgesamt. Wer weiß, wie sie funktioniert, ist bereits einen großen Schritt voraus.
