MWMichael WinklerBlogbymw.de ↗
Werkzeuge & Tipps

QR-Code gescannt, Konto leer? So schützt du dich vor der neuen Quishing-Welle

Das BSI warnt vor einer neuen Welle von QR-Code-Betrug – mit gefälschten Bankbriefen und Aufklebern an Automaten. Ich erkläre dir, wie „Quishing" funktioniert und mit welchen einfachen Handgriffen du sicher bleibst.

QR-Codes sind praktisch – ich baue sie selbst ständig für Kunden ein: aufs Plakat, auf die Visitenkarte, in den Laden. Genau diese Selbstverständlichkeit machen sich Betrüger gerade zunutze. Das BSI warnt aktuell vor einer neuen Welle von QR-Code-Betrug, dem sogenannten Quishing – und die Fälschungen sehen dank KI täuschend echt aus. Höchste Zeit, dass ich dir zeige, wie die Masche läuft und wie du dich mit ein paar einfachen Handgriffen schützt.

Was Quishing ist

„Quishing" ist Phishing über QR-Codes – das Kunstwort setzt sich aus QR und Phishing zusammen. Die Betrüger betten eine schädliche Adresse in einen QR-Code ein und kombinieren ihn mit einer glaubwürdigen Nachricht. Scannst du den Code, landest du auf einer täuschend echt nachgebauten Login-Seite – etwa deiner Bank. Gibst du dort deine Zugangsdaten ein, sind sie weg.

Aktuell tauchen laut BSI vor allem zwei Wege auf:

  • Gefälschte Briefe und E-Mails, angeblich von deiner Bank, mit einem QR-Code und einem dringenden Aufruf („Konto bestätigen", „Sicherheitsupdate nötig").
  • Aufkleber im öffentlichen Raum – zum Beispiel über den echten QR-Code am Parkautomaten geklebt.

Der wichtigste Gedanke: Ein QR-Code ist nur ein Link

Als Entwickler sage ich dir: An einem QR-Code selbst ist nichts Gefährliches. Er ist nichts weiter als ein Link in Strichform. Gefährlich ist immer erst die Seite dahinter. Deshalb gilt dieselbe Vorsicht wie bei jedem Link in einer E-Mail – nur dass du die Adresse hier nicht siehst, bevor du scannst.

So bleibst du sicher – die Handgriffe

  • Vorschau lesen, nicht blind öffnen. Fast jede Handy-Kamera zeigt dir die Ziel-Adresse an, bevor sie die Seite öffnet. Lies sie. Sieht die Domain krumm aus (bank-sicherheit-login.xyz statt der echten Bankadresse), brich ab.
  • Im Zweifel manuell tippen. Das BSI empfiehlt ausdrücklich, Adressen lieber selbst einzugeben. Wenn deine Bank etwas von dir will, geh über die Adresse, die du kennst – nicht über den Code aus dem Brief.
  • Kein Login nach QR-Scan. Auf einer Seite, die du über einen QR-Code aus einem Brief oder von einem Aufkleber erreicht hast, gibst du niemals Bank- oder Passwortdaten ein.
  • Skeptisch bei Druck und Dringlichkeit. „Sofort handeln, sonst wird gesperrt" ist das klassische Alarmsignal – egal ob per Brief, Mail oder QR.
  • Zwei-Faktor aktivieren. Selbst wenn ein Passwort mal abhandenkommt, bremst der zweite Faktor den Angreifer aus.

Und wenn es doch passiert ist: sofort die Bank kontaktieren und Anzeige erstatten – so rät es auch das BSI.

Damit du siehst, wie harmlos die Technik eigentlich ist: Mit meinem kostenlosen QR-Code-Generator auf tools.bymw.de kannst du dir selbst einen Code für deinen eigenen Link bauen – ohne Anmeldung, direkt im Browser. Der Unterschied ist nur, wer den Code erstellt und wohin er führt. Wenn du für dein Business QR-Codes oder eine vertrauenswürdige Landingpage brauchst, melde dich bei mir.

Quellen

Hat dir der Artikel gefallen?
#Sicherheit#QR-Code#Quishing#Phishing#BSI

Du hast ein Projekt im Kopf?

Ich entwickle Android-Apps und moderne Websites für Selbstständige und kleine Unternehmen — von der ersten Idee bis zum Release.

Projekt anfragen →