QR-Codes haben sich seit der Pandemie still und leise in jeden Winkel des Alltags geschoben. Auf dem Parkschein, am Restauranttisch, an der Ladesäule, auf dem Werbeplakat in der U-Bahn, sogar auf dem Strafzettel hinter dem Scheibenwischer. Genau das nutzen Kriminelle aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentralen warnen seit Anfang 2026 vor einer neuen Welle von Quishing, einem Kofferwort aus „QR-Code" und „Phishing". Zwischen August und November 2025 hat sich die Zahl der gemeldeten Angriffe global verfünffacht, von rund 46.000 auf etwa 250.000 Fälle. Bereits 12 Prozent aller Phishing-Angriffe enthalten 2026 einen QR-Code. Nur 39 Prozent der Verbraucher trauen sich aktuell zu, einen manipulierten Code zu erkennen. Dieser Artikel zeigt, an welchen Orten du genauer hinsehen solltest, wie die Masche technisch funktioniert und was du tun kannst, wenn du auf einen Fake-Code hereingefallen bist.
So funktioniert Quishing
Ein QR-Code ist nichts anderes als eine maschinenlesbare Kurzform für eine URL oder einen Text. Anders als bei einem klassischen Phishing-Link siehst du beim Code mit bloßem Auge nicht, wohin er führt. Das Smartphone öffnet die Webseite oft schon, während du noch überlegst. Genau diese Lücke zwischen Scan und bewusster Entscheidung machen Kriminelle zum Geschäftsmodell.
Die Maschen ähneln sich. Der Code führt auf eine täuschend echt nachgebaute Login-Seite, etwa von einer Bank, einem Parkdienst oder einem Ladesäulenbetreiber. Du gibst Zugangsdaten oder Kreditkartennummer ein, im Hintergrund wird die Eingabe in Echtzeit an den echten Anbieter weitergeleitet. Du wirst zur richtigen Seite umgeleitet, der Bezahlvorgang funktioniert oder das vermeintliche Online-Banking lädt korrekt. Das Geld ist trotzdem weg, weil die Daten parallel mitgeschnitten werden.
Seit Januar 2026 setzen Angreifer zusätzlich auf sogenannte ASCII-QR-Codes. Das sind Codes, die nicht aus Bildpixeln bestehen, sondern aus Text- und Sonderzeichen, die in HTML zusammengesetzt werden. Damit umgehen sie viele Spam-Filter, weil die E-Mail technisch keinen Anhang oder kein Bild enthält. Der Code ist dennoch scannbar, sobald er auf dem Bildschirm angezeigt wird.
Hotspots: Wo Fake-QR-Codes besonders häufig auftauchen
Manche Orte sind systematisch interessant für Betrüger, weil dort QR-Codes üblich sind und die meisten Menschen sie ohne zu zögern scannen. Nach Auswertungen von Verbraucherzentrale, ADAC und Polizei kristallisieren sich sieben Schwerpunkte heraus.
| Ort | Vorgehen der Täter | Verbreitung |
|---|---|---|
| Parkautomaten | Aufkleber über echtem Code | Sehr hoch (über 300 Fälle Kassel) |
| E-Auto-Ladesäulen | Sticker am Display oder Kabel | Hoch, EU-weit dokumentiert |
| Falsche Strafzettel | Zettel unter Scheibenwischer | Mittel, regional konzentriert |
| Bankbriefe | Echt aussehende Briefe per Post | Sehr hoch (Volksbank, Commerzbank, Sparkasse) |
| ÖPNV-Plakate | Aufgehängt in Bus, Bahn, Haltestelle | Mittel |
| Restaurant-Speisekarten | Codes am Tisch oder Eingang | Niedrig, aber wachsend |
| Werbeplakate im Außenbereich | Aufgeklebt über Original-Werbung | Mittel |
Das ADAC-Beispiel aus Kassel zeigt, wie professionell die Täter arbeiten. Mehr als 300 Parkautomaten waren mit Stickern im EasyPark-Design beklebt. Wer scannte und zahlte, landete auf einer perfekten Kopie der Bezahlseite, wurde nach wenigen Sekunden auf das echte Portal weitergeleitet, hatte aber seine Kreditkartendaten an Kriminelle übermittelt. Ähnliche Fälle dokumentieren Polizeibehörden in Berlin, Niedersachsen und Bayern.
Bei Strafzetteln ist die Masche besonders perfide, weil immer mehr Städte echte QR-Codes auf ihre Knöllchen drucken, um die Bezahlung zu vereinfachen. Kriminelle drucken Fake-Knöllchen mit fast identischem Layout und klemmen sie unter den Scheibenwischer. Wer die angeblichen 25 oder 35 Euro schnell loswerden will, bezahlt direkt an Betrüger. Ähnlich funktioniert die Volksbank-Welle aus dem Februar 2026, gegen die die Polizei Stendal warnte. Die Briefe sehen täuschend echt aus, beginnen aber typischerweise mit der unspezifischen Anrede „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber". Echte Banken sprechen ihre Kunden namentlich an.
Ladesäulen: Der neue Lieblingsort der Betrüger
E-Auto-Fahrer sind eine besonders attraktive Zielgruppe, weil sie an öffentlichen Ladesäulen, etwa beim kostenlosen Parken und Laden in vielen Städten, oft mit Zeitdruck unterwegs sind und unterschiedliche Tarifsysteme nutzen. Wer keine Lade-App des Betreibers installiert hat, scannt den QR-Code am Säulenkörper und gibt Kreditkartendaten ein. Genau hier setzen die Kriminellen an. Heise und die Wirtschaftswoche dokumentieren bereits 2024 erste Fälle, seit 2025 hat sich das Vorgehen professionalisiert. EnBW und der ADAC warnen ihre Kunden mittlerweile aktiv.
Die Sticker sehen täuschend echt aus, oft mit dem Logo des realen Betreibers. Manche kleben den Fake-Code direkt über das Original, andere setzen ihn an unauffällige Stellen, wo Kunden zuerst hinschauen, etwa neben den Stecker oder am Display-Rand. Bekannt sind Fälle aus Deutschland, Frankreich, Belgien, den Niederlanden, Spanien und Italien. Es ist also keine deutsche Spezialität, sondern eine internationale Welle.
Was schützt? Erstens die Lade-App des Betreibers nutzen, die kommt aus dem App-Store und wird nicht über einen Aufkleber heruntergeladen. Zweitens, falls vorhanden, den QR-Code im Display der Säule scannen statt dem aufgeklebten Code am Gehäuse. Drittens kontaktloses Bezahlen mit Kreditkarte oder Smartphone-Wallet, das funktioniert seit Mitte 2024 an allen neuen Säulen verpflichtend.
Schutzmaßnahmen für jeden Tag
Die wichtigste Regel ist simpel und schwer zugleich: Behandle einen QR-Code wie einen Link, den dir ein Fremder schickt. Du würdest auch nicht jede E-Mail eines Unbekannten anklicken, also solltest du nicht jeden Code blind scannen. Folgende Maßnahmen reduzieren das Risiko deutlich.
| Maßnahme | Was du tun kannst | Wie wirksam |
|---|---|---|
| URL vor dem Öffnen prüfen | Smartphone-Einstellung „URL-Vorschau anzeigen" aktivieren | Sehr hoch |
| Aufkleber genau ansehen | Auf doppelte Sticker, schiefe Ränder, Klebespuren achten | Hoch |
| App statt Code nutzen | Banking-, Parking-, Lade-App aus offiziellem App-Store | Sehr hoch |
| 2FA überall | Login plus zweiter Faktor (TAN-App, Token) | Hoch |
| Kein Login per QR | Banken fragen nie per QR-Code nach Zugangsdaten | Sehr hoch |
| Rechnungs-IBAN prüfen | Bei Zahlungsaufforderungen IBAN mit Originalvertrag abgleichen | Mittel |
| Browser statt In-App-Browser | Lange genug drücken, „in Browser öffnen" wählen | Mittel |
Auf modernen iPhones und Android-Geräten zeigt die Kamera-App die URL als Vorschau, bevor sie geöffnet wird. Aktiviert ist die Funktion meistens, schau aber in den Einstellungen nach. Achte besonders auf URLs mit Tippfehlern, Zahlen statt Buchstaben oder ungewöhnlichen Domain-Endungen wie .top, .xyz oder .ru. Ein kurzer Linkverkürzer wie bit.ly verbirgt das Ziel und ist im offiziellen Banking-Verkehr nie nötig.
Bei Briefen, die scheinbar von der Bank kommen, gilt: keine Reaktion auf den Brief, sondern direkt die offizielle App oder die Telefonnummer auf der Rückseite deiner Bankkarte anrufen. Banken kündigen Aktionen wie „TAN-App-Update", „Sicherheitszertifikat erneuern" oder „Kontosperrung verhindern" niemals per Brief mit QR-Code an. Auch die Verbraucherzentrale stellt klar, dass keine seriöse Bank zum QR-Login auffordert.
Wenn du bereits gescannt hast: Sofortmaßnahmen
Falls du den Verdacht hast, dass du auf einen gefälschten QR-Code hereingefallen bist, zählt jede Minute. Je schneller du reagierst, desto höher ist die Chance, dass dein Geld noch nicht abgeflossen ist oder zumindest zurückgeholt werden kann.
Erstens: Kontosperrung. Rufe sofort die Sperr-Hotline 116 116 an, sie ist deutschlandweit kostenlos und 24 Stunden erreichbar. Damit sperrst du Online-Banking, EC-Karte und Kreditkarte deiner Bank gleichzeitig. Zusätzlich solltest du in der Banking-App alle Zugänge sperren oder das Passwort sofort ändern, vorausgesetzt, du nutzt einen anderen, vertrauenswürdigen Weg dafür.
Zweitens: Anzeige bei der Polizei. Die Online-Wache deines Bundeslands oder die nächste Dienststelle nehmen die Anzeige auf. Wichtig sind Screenshots der gefälschten Webseite, die Original-URL falls vorhanden, der Zeitpunkt des Scans und die Höhe des Schadens. Eine Anzeige ist auch Voraussetzung dafür, dass deine Bank die Zahlung später leichter zurückbuchen kann.
Drittens: Schufa und Bonität. Bei dem Verdacht, dass deine Identitätsdaten in falsche Hände geraten sind, solltest du eine Selbstauskunft bei der Schufa anfordern, kostenlos einmal pro Jahr nach Artikel 15 DSGVO. Wenn dort unbekannte Anfragen oder Verträge auftauchen, ist das ein Hinweis auf Identitätsdiebstahl, der sich auch im neuen Schufa-Score ab 2026 bemerkbar macht. Die Schufa kann einen sogenannten Sperrvermerk eintragen, der weitere Vertragsabschlüsse erschwert.
Viertens: Bankschaden zurückholen. Nach § 675u BGB haftet die Bank grundsätzlich für nicht autorisierte Zahlungen, du bekommst dein Geld also zurück, solange du nicht grob fahrlässig gehandelt hast. Die Beweislast liegt zunächst bei der Bank, sie muss zeigen, dass du fahrlässig warst. Wer sich auf eine täuschend echte Webseite einloggte, hat in den meisten bisherigen Urteilen Recht bekommen, sofern keine offensichtlichen Warnzeichen ignoriert wurden.
So entwickelt sich die Lage 2026
Die Verbraucherzentrale, der ADAC und die Polizeibehörden gehen davon aus, dass Quishing 2026 weiter zunimmt. Drei Trends fallen auf. Erstens werden Fake-Codes seit dem Frühjahr 2026 zunehmend mit KI-generierten Webseiten kombiniert, die nahezu perfekte Kopien der Originale liefern, inklusive korrekter Logos, Schriftarten und Bezahl-Workflows. Zweitens nehmen Angriffe auf E-Auto-Ladesäulen sprunghaft zu, weil dort einerseits viele neue Nutzer mit unbekannten Tarifsystemen unterwegs sind und andererseits hohe Beträge im Spiel sind. Drittens setzen Kriminelle vermehrt auf physische Briefe statt E-Mails, weil Briefe als seriöser gelten und seltener als Phishing erkannt werden.
Das BSI rät, sich nicht auf einzelne Schutzmaßnahmen zu verlassen, sondern mehrere Stufen zu kombinieren. Eine moderne Banking-App mit Biometrie und 2FA, am besten in Kombination mit Passkeys statt klassischer Passwörter, ein aktuelles Smartphone-Betriebssystem, Skepsis bei Aufklebern an öffentlichen Geräten und der Reflex, im Zweifel lieber gar nicht zu scannen, sondern die offizielle App zu öffnen. Wer diese vier Punkte beachtet, ist deutlich schwerer zu treffen als der Durchschnitt.
Fazit
Quishing ist 2026 kein Randphänomen mehr, sondern eine Massenmasche. Parkautomaten, Ladesäulen, Strafzettel, Bankbriefe und Werbeplakate sind die wichtigsten Hotspots, an denen Kriminelle ihre Aufkleber platzieren. Die Schutzregeln sind einfach: URL vor dem Öffnen anschauen, im Zweifel die offizielle App nutzen, niemals per QR-Code einloggen und bei Verdacht sofort die Sperr-Hotline 116 116 anrufen. Wer einen kühlen Kopf bewahrt und die Sekunden zwischen Scan und Klick nutzt, wird kaum zum Opfer. Im Zweifel hilft der älteste Trick der Welt: Du musst nicht alles scannen, was glänzt.
