/ Artikel

QR-Codes und Quishing

Quishing — QR-Code-Phishing — ist seit 2023 stark gewachsen: in Mails als PDF-Anhang, an E-Auto-Ladestationen, in Restaurants, auf Parkscheinautomaten. Wie der Angriff funktioniert, warum er klassische Mail-Filter umgeht, woran man manipulierte QR-Codes erkennt — und welche Reflexe vor dem Scannen helfen.

QR-Codes wirken harmlos: ein quadratisches Muster, das per Kamera in eine URL übersetzt wird. Genau diese Übersetzung ist das Problem — die URL ist für das Auge unsichtbar, bis das Smartphone sie auflöst. Quishing (QR-Phishing) nutzt diesen blinden Schritt, um Opfer auf gefälschte Seiten zu lenken — in Mail-Anhängen, an Ladesäulen, auf Restaurant-Tischen. Dieser Artikel zeigt, wie der Angriff abläuft und wie ein gesunder Reflex vor dem Scannen schützt.

01 · Abschnitt

Was Quishing besonders macht

Drei strukturelle Eigenschaften, die QR-Codes für Phishing attraktiv machen:

Unsichtbares Ziel. Im Gegensatz zu einem Mail-Link, bei dem man die URL prüfen kann (Hover, Long-Press), zeigt der QR-Code nur ein Muster. Die URL wird erst beim Scan sichtbar — und auf vielen Smartphones nur in einer kleinen Vorschau, die schnell verschwindet.
Mediums-Wechsel. Der QR-Code liegt oft im physischen Raum (Aufkleber, Plakat, Speisekarte) oder im PDF (Anhang in einer Mail). Beide Kanäle umgehen klassische URL-Sicherheits-Filter, die Browser-, Mail- und Endpoint-Schutz-Layer normalerweise einsetzen.
Mobile-Geräte als Ziel. QR-Codes werden fast immer mit dem Smartphone gescannt — also auf dem Endgerät, das weniger gut geschützt ist als ein Office-Laptop (kein Enterprise-Browser-Schutz, oft kein EDR, andere Mail-App).

Die Konsequenz: Sicherheits-Produkte, die Phishing-URLs im Mail-Verkehr erkennen, sehen QR-Code-URLs nicht. Erst beim Scannen entsteht der HTTP-Request — und der landet beim Mobile-Browser, oft im privaten Mobilfunk-Netz statt im Firmen-VPN.

02 · Abschnitt

Die drei wichtigsten Quishing-Spielarten

Spielart	Wo	Wie der Angriff läuft
PDF-Mail-Quishing	Mail-Anhang als PDF mit QR-Code	„Bitte scannen Sie zum Login bei Microsoft 365." QR führt auf AiTM-Login-Seite
Ladesäulen-Quishing	E-Auto-Ladestation, Parkscheinautomat	Aufkleber über echtem QR-Code; Zahlungsdaten werden abgegriffen
Speisekarten-Quishing	Restaurant, Café	Speisekarte hinter QR-Code; gefälschter Code lockt auf Phishing-Seite
Plakat-/Aufkleber-Quishing	Öffentlicher Raum	„Gewinnspiel teilnehmen", „Wahl-Information", „Verkehrs-Hinweis"
Verpackungs-Quishing	Aufkleber auf Paketen, Warenproben	Vorgeblicher Lieferschein-Scan, führt zu Daten-Abfrage
Geschäfts-Visitenkarten-Quishing	„Modernes Visitenkarte" mit QR-Code	Verlinkt auf v-Card oder LinkedIn — manipuliert auf Malware-Profil

PDF-Mail-Quishing ist seit 2023 die meistgenutzte Form im Geschäfts-Phishing. Eine Mail kommt z. B. mit Betreff „Microsoft 365: MFA-Erneuerung erforderlich", der Text bittet darum, ein angehängtes PDF zu öffnen und den darin enthaltenen QR-Code mit dem Smartphone zu scannen — „aus Sicherheitsgründen". Das PDF passiert klassische Mail-URL-Scanner, weil die schadhafte URL nicht im Mail-Text steht. Der Empfänger scannt mit dem Smartphone (privates Netz, kein Firmen-Schutz) und landet auf einer AiTM-Phishing-Seite (siehe aitm-phishing-und-mfa-bypass).

Ladesäulen-Quishing ist seit 2023/24 in Deutschland mehrfach dokumentiert. Aufkleber mit gefälschtem QR-Code werden über echte Codes geklebt; die Phishing-Domain klont das Bezahl-Interface des Ladesäulen-Betreibers. Im November 2023 warnte die Polizei in Baden-Württemberg explizit vor entsprechenden Fällen an EnBW- und Tesla-Ladestationen.

Speisekarten-Quishing entstand in der Corona-Zeit mit den überall eingeführten QR-Speisekarten. Manche Restaurants legen heute kleine Aufkleber-QRs auf den Tischen aus — die sind nahezu unmöglich auf Echtheit zu prüfen.

03 · Abschnitt

Wie du Quishing erkennst

Vor dem Scan: zwei sehr einfache Reflexe.

Physische QR-Codes:

Ist es ein Aufkleber? Echte QR-Codes (Ladesäule, Speisekarte) sind meist gedruckt oder eingelasert. Ein offensichtlicher Aufkleber über einem anderen Code ist ein starkes Warnsignal.
Passt der Code zum Kontext? Ein QR-Code, der nicht zum Anbieter-Branding passt (anderes Logo daneben, andere Farbgebung, völlig fremdes Format) — verdächtig.
Gibt es eine Alternative? Echte Ladesäulen lassen Bezahlung auch ohne QR-Scan zu (App, Karte). Wenn der QR-Code der einzige Weg ist und sonst nichts angeboten wird, ist Vorsicht angebracht.

QR-Codes in Mails:

Erwartest du das? Ein PDF mit QR-Code, das du nicht erwartet hast, ist ein starkes Phishing-Signal — egal welcher Absender draufsteht.
Macht der Anbieter das normalerweise so? Microsoft, Google, Banken kommunizieren MFA-Themen nicht per QR-Code im PDF. Eine „MFA-Erneuerung per QR"-Mail ist mit hoher Wahrscheinlichkeit Phishing.
Warum gerade per Mobile? Echte Verifikations-Prozesse erlauben oft auch das Desktop-Login. Ein QR-Code, der erzwingt, dass du das Telefon einsetzt, will das Mobile-Endgerät als Eintrittspunkt — verdächtig.

Beim Scan:

URL-Vorschau aktivieren. iOS zeigt seit iOS 11 die URL beim Scan vor dem Öffnen; Android meist auch (je nach App). Vor dem Öffnen die Domain prüfen — passt sie zum Anbieter, den der QR-Code suggeriert?
Long-Press auf die Vorschau. Auf iOS kannst du die URL kopieren und in einem Notiz-Editor anschauen, statt direkt zu öffnen.
Dedizierter QR-Scanner. Einige Apps (z. B. Kaspersky QR-Scanner, ESET QR-Reader) prüfen Ziel-URLs gegen Phishing-Datenbanken vor dem Öffnen.

04 · Abschnitt

Was passiert nach einem schädlichen Scan

Wenn die URL geöffnet ist, sind drei Szenarien typisch:

1. Klassische Phishing-Seite. Das Smartphone landet auf einer gefälschten Login-Seite (Microsoft, Bank, Provider). Wenn das Opfer dort einloggt, gehen Daten an den Angreifer — bei AiTM-Setups inklusive der Session-Cookie nach 2FA.

2. Direkte Zahlungs-Abfrage. „Bitte geben Sie Ihre Kreditkarten-Daten ein, um den Lade-/Park-/Bestellvorgang zu starten." Klassischer Karten-Diebstahl, oft mit echt wirkenden Folge-Mails als Bestätigung.

3. Malware-Download. Der Browser bietet einen App-Download an — entweder per Sideload-APK (Android) oder per Konfigurations-Profil (iOS). Wer installiert, gibt dem Angreifer Geräte-Zugang.

In allen drei Fällen ist die Reaktion ähnlich der auf andere Phishing-Vorfälle:

Sofort die Verbindung trennen (Browser-Tab schließen, ggf. WLAN aus).
Bei eingegebenen Daten: Passwörter sofort ändern, Bank-Karte sperren, Anti-Fraud-Hotline anrufen.
Bei installierten Profilen / Apps: Profil/App entfernen, Geräte-Sicherheits-Status prüfen, ggf. Werkseinstellungen.

Vertieft im Artikel phishing-meldungen-und-reports.

05 · Abschnitt

Quishing in Unternehmen: was Teams brauchen

Für IT-Abteilungen ist Quishing eine besondere Herausforderung, weil es klassische Mail-Schutz-Schichten unterläuft:

Mail-Gateways scannen Mail-Anhänge auf Schadcode (Makros, ausführbare Inhalte), aber prüfen QR-Codes in PDFs erst selten. Einige Hersteller (Proofpoint, Mimecast, Microsoft Defender für O365) haben seit 2023/24 dezidierte Quishing-Detection-Module — Aktivierung lohnt prüfen.
Sandboxing der Anhänge erkennt PDFs mit QR-Codes oft nicht als verdächtig, weil das PDF selbst harmlos ist.
Endpoint-Schutz auf dem Office-Laptop bringt nichts, wenn der Scan vom privaten Smartphone aus passiert.

Was wirkt:

Mail-Gateway-Erweiterung mit Quishing-Modul aktivieren.
PDF-Inhalts-Filterung auf QR-Code-Präsenz — eine PDF mit QR-Code als alleinigem aktiven Element ist sehr verdächtig.
Mobile Application Management (Microsoft Intune, Apple Business Manager) — auf Firmen-Smartphones definierte Browser-Schutzlisten anwenden.
Awareness-Schulung mit konkretem Quishing-Beispiel. Mitarbeitende sehen oft nicht, dass die Mail mit dem MFA-QR-Code ein Phish ist — sie haben das Format noch nie als verdächtig kategorisiert.
MFA-Prozesse klar dokumentieren. „Microsoft schickt dir niemals einen QR-Code per Mail" sollte ein expliziter Punkt im IT-Awareness-Material sein.

06 · Abschnitt

Praktisches: was du im Alltag tust

Im Restaurant / Café:

QR-Speisekarte: nach dem Scan einmal die Domain im URL-Balken prüfen. Wenn die Domain zur Restaurant-Marke passt (oder zu einem bekannten Anbieter wie menu. / speise. / qr-menu.de / flowmenu.com), in Ordnung. Wenn völlig fremd: ablehnen.
Im Zweifel das Personal um die Papier-Karte bitten.

An der Ladesäule:

Auf manipulierte Aufkleber achten. Kein eindeutiger Aufkleber von außen sichtbar? Code passt zum Anbieter (Tesla, EnBW, IONITY)?
Im Zweifel die Anbieter-App nutzen (Tesla, EnBW Mobility+, EWE Go, Maingau, Charge On usw.) — die App kennt die Ladesäule per ID und stellt direkt Verbindung her, ohne QR-Code.

An Parkscheinautomaten:

Echte städtische Parksysteme nutzen Apps (EasyPark, ParkNow, ParkU, Yellowbrick), die manchmal QR-Code anbieten. Wer mehrfach in der gleichen Stadt parkt: App installieren, QR-Codes überspringen.

In Hotels, an Auto-Mieten-Schaltern, Mietwagen-Stationen:

Vorsicht bei Aufklebern auf Schalter-Theken. „Bitte hier scannen für unsere App" — wenn der Anbieter offiziell wirkt (Hertz, Sixt, Marriott, NH Hotels), Domain prüfen.

In Mails:

PDF mit QR-Code: standardmäßig misstrauisch behandeln. Wenn Anbieter und Anlass plausibel sind, trotzdem nicht über den QR-Code einloggen — stattdessen die offizielle Anbieter-Seite oder App nutzen.

Privat geteilte QR-Codes:

Visitenkarten-QR-Codes von Bekannten: kein höheres Risiko als die Person selbst. Bei Unbekannten: vorher die URL anschauen.

07 · Abschnitt

Eine zwei-Sekunden-Regel

Drei Fragen, in zwei Sekunden:

Wer hat das hier hingelegt? Echter Anbieter, oder könnte es ein Aufkleber sein?
Was steht in der URL-Vorschau? Passt die Domain zum Anbieter?
Brauche ich das wirklich? Habe ich eine alternative — App, Karte, Webadresse selbst tippen?

Eine sehr kleine kognitive Investition mit großem Nutzen. Wer sich angewöhnt, vor dem Scan kurz zu prüfen, schließt 95 Prozent der Quishing-Maschen aus — ohne in eine generelle QR-Phobie zu verfallen.

08 · Abschnitt

Häufige Stolperfallen

Mail-PDF mit QR-Code: heute der häufigste Geschäfts-Phish

Microsoft veröffentlichte 2023 in mehreren Threat-Intel-Beiträgen Statistiken: QR-Code-Phishing in PDF-Anhängen hat zwischen Frühjahr und Herbst 2023 um den Faktor 10 zugenommen. Klassische Mail-URL-Scanner sehen die URL nicht — sie steht eben nicht im Mail-Text.

Ladesäulen-Quishing in Deutschland 2023 dokumentiert

Im November 2023 warnte die Polizei in Baden-Württemberg vor manipulierten QR-Codes an Ladesäulen. Mehrere Opfer mit niedrigen vier- bis fünfstelligen Schäden. EnBW und Tesla haben in der Folge Hinweise auf den Säulen ergänzt — "Aufkleber-Warnung"-Sticker bei einigen Anbietern.

iOS und Android zeigen URL-Vorschau

Beide mobilen Betriebssysteme zeigen vor dem Öffnen einer QR-Code-URL eine Vorschau mit der vollständigen Adresse. Tippe nicht reflexhaft auf "Öffnen" — lies die Domain. Bei iOS funktioniert das in der Kamera-App und im Code-Scanner; bei Android in den meisten Kamera-Apps und in Google Lens.

QR-Codes können auch JSON, Telefonnummern und Wi-Fi-Configs enthalten

QR-Codes sind nicht nur URLs — sie können auch Telefonnummern (löst Anruf aus), Mail-Vorlagen (öffnet Mail-Client mit vorbefüllter Adresse), Wi-Fi-Konfigurationen (verbindet automatisch) und beliebige Texte enthalten. Quishing-Varianten nutzen alle Formate — eine Wi-Fi-Konfiguration kann auf ein bösartiges Netz mit MITM-Proxy verweisen.

QR-Code-Fehlerkorrektur erlaubt "Trojan-Pixel"

QR-Codes haben eine eingebaute Fehlerkorrektur (Reed-Solomon, bis 30 % Datenverlust). Ein Angreifer kann eine echte URL beibehalten und parallel eine zweite, gefälschte URL einbauen — manche Scanner-Apps zeigen die eine, andere die andere. Selten in der Praxis, technisch aber möglich.

QR-Code-Generatoren mit Werbung sind oft fragwürdig

Wer selbst QR-Codes erstellt: viele kostenlose Online-Generatoren erzeugen QR-Codes über Redirect-URLs (z. B. „qrco.de/12345"). Wenn der Generator-Anbieter den Service einstellt oder gehackt wird, leiten alle erzeugten QR-Codes ins Leere oder auf Malware. Besser: lokal generieren (Open-Source-Tools, Python qrcode-Lib, KeePassXC kann es).

QR-Code-Apps mit Phishing-Schutz

Kommerzielle Sicherheits-QR-Scanner (Kaspersky QR Scanner, Trend Micro QR Scanner) prüfen Ziel-URLs gegen Phishing-Datenbanken. Für sicherheits-sensible Personen mehr Komfort als Bedrohung — Standard-Kamera-Apps sind aber für die meisten Nutzer:innen ausreichend, wenn die URL-Vorschau beachtet wird.

Weiterführende Ressourcen

Externe Quellen

BSI – Mobile Sicherheit: QR-Code-Phishing
Microsoft – "Quishing" Threat Intel Reports (Suche: QR phishing)
Polizei Baden-Württemberg – Warnung Ladesäulen-Phishing (2023)
Verbraucherzentrale – QR-Code-Tipps
APWG – Phishing Activity Trends Reports
Proofpoint – Quishing Research (Suche: quishing)
CERT-EU – Quishing-Advisory (Suche: QR phishing)

/ Weiter

Zurück zu Phishing & Social Engineering

Zur Übersicht