QR-Codes sind nützlich, weil sie Hürden abbauen. Sie helfen Kundinnen und Kunden dabei, Speisekarten zu öffnen, Termine zu buchen, Rechnungen zu bezahlen, Apps herunterzuladen, Bewertungen zu hinterlassen und Wegbeschreibungen in Sekunden zu finden. Doch dieselbe Bequemlichkeit kann auch missbraucht werden, wenn Kriminelle QR-Codes austauschen, imitieren oder zweckentfremden, um Menschen auf gefälschte Websites, Phishing-Seiten oder Zahlungsbetrug umzuleiten.
Genau hier kommt Quishing ins Spiel. Quishing ist Phishing mit QR-Codes statt mit normalen anklickbaren Links. Für Unternehmen ist das nicht nur ein Cybersecurity-Problem. Es ist auch ein Vertrauensproblem. Wenn Kundinnen und Kunden unsicher beim Scannen werden, lassen sich legitime QR-Erlebnisse deutlich schwerer erfolgreich einsetzen.
Kurz gesagt: Unternehmen können Kundinnen und Kunden vor QR-Betrug schützen, indem sie legitime QR-Codes leichter erkennbar machen, Überraschungen und künstlichen Zeitdruck im Scan-Ablauf reduzieren, öffentliche QR-Platzierungen regelmäßig auf Manipulation prüfen, riskante QR-only-Schritte bei Zahlungen oder Logins vermeiden und einen schnellen Reaktionsplan vorbereiten, falls ein Code kopiert, ersetzt oder missbraucht wird.
Was ist Quishing und warum sollten Unternehmen es ernst nehmen?
Quishing ist eine QR-Code-basierte Form von Phishing. Statt jemandem einen normalen anklickbaren Link zu schicken, versteckt der Angreifer den Link in einem QR-Code und verlässt sich darauf, dass der Scan das Opfer zu einem gefälschten Ziel bringt.
Unternehmen sollten aus drei praktischen Gründen aufmerksam sein:
Kundenvertrauen
Wenn sich Kundinnen und Kunden an verdächtige QR-Erlebnisse gewöhnen, scannen sie auch legitime Business-QR-Codes weniger bereitwillig.
Markenrisiko
Ein gefälschter QR-Code in der Nähe Ihres Unternehmens oder aus Ihrer Kampagne kopiert kann dazu führen, dass Kundinnen und Kunden denken, das Problem komme von Ihnen.
Operatives Risiko
Gefälschte QR-Codes können Support-Anfragen, Verwirrung bei Zahlungen, Rückbuchungsstreitigkeiten, kompromittierte Konten und zusätzlichen Zeitaufwand für Mitarbeitende auslösen.
Einfache Regel: Wenn Ihr Unternehmen Kundinnen und Kunden zum Scannen auffordert, sollte sich dieser Scan auch sicher und vorhersehbar anfühlen.
Wie Kundinnen und Kunden typischerweise ins Visier geraten
QR-Betrug funktioniert meist durch Social Engineering, nicht durch technische Magie. Der Angreifer will, dass sich der Scan so natürlich, dringend oder hilfreich anfühlt, dass die Person nicht mehr genau hinschaut.
| Betrugsmuster | So sieht es aus | Warum es funktioniert |
|---|---|---|
| Aufkleber-Overlay im öffentlichen Raum | Ein gefälschter Aufkleber wird über einen echten QR-Code auf einem Schild, an einem Zahlungspunkt oder auf einem Poster angebracht | Menschen gehen davon aus, dass der Code dort hingehört, und scannen ohne Zögern |
| Quishing per E-Mail | Ein QR-Code erscheint in einer E-Mail statt eines normalen Links | Der QR-Code verbirgt das Ziel und kann Gewohnheiten umgehen, die Menschen bei verdächtigen Links bereits entwickelt haben |
| Gefälschter Zahlungs-QR-Code | Der Code öffnet eine gefälschte Rechnung, Parkseite, Spendenseite oder Checkout-Maske | Die Kundin oder der Kunde ist bereits auf Bezahlen eingestellt und handelt schnell |
| Unerwartetes Paket oder Beileger | Der QR-Code sagt „scannen, um den Absender zu identifizieren“ oder „scannen für Rücksendeanweisungen“ | Neugier senkt die Vorsicht |
| Gefälschte Login- oder Kontoseite | Der QR-Code führt zu einer Seite, die wie die eines Bankinstituts, Lieferdienstes, Versorgers oder Arbeitsplatz-Portals aussieht | Die Seite wirkt vertraut genug, um für ein paar Sekunden Vertrauen zu gewinnen |
Die Lehre für Unternehmen ist einfach: Kundinnen und Kunden sind am verwundbarsten, wenn sich ein Scan zugleich normal und dringend anfühlt.
10 Wege, wie Unternehmen Kunden vor QR-Betrug schützen können
Ein sichereres QR-Erlebnis entsteht durch Design und Betrieb zugleich. Der Code, die Platzierung, die Seite dahinter und die begleitenden Hinweise spielen alle eine Rolle.
1. Platzieren Sie QR-Codes nur dort, wo sie sinnvoll sind
Der Scan sollte sich im Kontext erwartbar anfühlen. Speisekarten gehören auf Tische. Wegbeschreibungen gehören auf Flyer oder Schaufenster. Support-Links gehören auf Verpackungen oder Hilfematerialien.
2. Fügen Sie einen klaren CTA-Text hinzu
„Scannen, um die Speisekarte zu öffnen“ ist sicherer als „Scan mich“. Je konkreter der CTA, desto leichter erkennen Kundinnen und Kunden, wenn sich ein Ziel falsch anfühlt.
3. Halten Sie das Ziel vorhersehbar
Kundinnen und Kunden sollten auf einer Seite landen, die klar zu Ihrem Unternehmen gehört und dem Versprechen neben dem QR-Code entspricht.
4. Vermeiden Sie riskante QR-only-Aktionen
Machen Sie dringende Zahlungen, Passwort-Resets oder Konto-Wiederherstellungen nicht ausschließlich von einem QR-Scan abhängig. Für sensible Aktionen sollte es immer auch einen sichereren Alternativweg geben.
5. Bieten Sie eine Ausweichoption an
Ergänzen Sie eine kurze eintippbare URL, eine offizielle Support-Nummer oder einen anderen Prüfpfad, damit Kundinnen und Kunden bestätigen können, dass sie am richtigen Ort sind, bevor sie handeln.
6. Prüfen Sie öffentliche QR-Platzierungen regelmäßig
Unbeaufsichtigte öffentliche Standorte brauchen Routinekontrollen auf Aufkleber-Overlays, Manipulationen, Ausbleichen und verdächtige Ersetzungen.
7. Nutzen Sie dynamische QR-Codes für eine schnelle Reaktion
Wenn sich ein Ziel wegen eines Vorfalls schnell ändern muss, hilft ein bearbeitbarer QR-Code-Aufbau dabei, den Traffic umzuleiten, ohne sofort jedes Material neu drucken zu müssen.
8. Seien Sie vorsichtig mit QR-Codes in E-Mails
Normalisieren Sie keine dringenden QR-basierten Aktionen in Kunden-E-Mails, es sei denn, es gibt einen guten Grund. Wenn Sie QR-Codes per E-Mail verwenden, geben Sie genügend Kontext zur Verifizierung der Echtheit.
9. Schulen Sie Mitarbeitende darin, Manipulation und Verwirrung zu erkennen
Mitarbeitende mit Kundenkontakt sollten wissen, wie Ihre offiziellen QR-Platzierungen aussehen, welche Beschwerden verdächtig klingen und wie ein Problem schnell eskaliert wird.
10. Halten Sie Ziele aktuell und funktionsfähig
Eine kaputte oder veraltete Seite erzeugt dieselbe Verwirrung, die Betrüger ausnutzen. Wenn Kundinnen und Kunden das eine erwarten und etwas anderes bekommen, sinkt das Vertrauen schnell.
Der praktischste Schutz: Gestalten Sie das legitime Scan-Erlebnis so klar, dass eine gefälschte oder manipulierte Version sofort fehl am Platz wirkt.
So machen Sie Ihre eigenen QR-Codes vertrauenswürdiger
Sicherheit bedeutet nicht nur, Betrug zu blockieren. Es geht auch darum, echten Kundinnen und Kunden Sicherheit zu geben, wenn der QR-Code echt ist.
| Tun Sie das | Warum es hilft |
|---|---|
| Nutzen Sie gebrandete Darstellung und konsistente Platzierung | Kundinnen und Kunden vertrauen einem QR-Code eher, wenn er klar als Teil des Unternehmenserlebnisses erkennbar ist |
| Verwenden Sie CTA-Text, der das Ergebnis klar benennt | Konkrete Formulierungen machen Betrug und Abweichungen leichter erkennbar |
| Stimmen Sie die Landingpage eng auf das gedruckte Versprechen ab | Das reduziert Zweifel und verhindert, dass Kundinnen und Kunden den Scan infrage stellen |
| Vermeiden Sie sofortige Abfragen von Passwörtern oder Kartendaten | Anfragen mit hoher Hürde oder hohem Risiko direkt nach dem Scan wirken verdächtig |
| Geben Sie Kundinnen und Kunden eine weitere Verifizierungsmöglichkeit | Eine sichtbare Website, Support-Nummer oder Hilfeseite schafft einen einfacheren Vertrauenspfad |
Verwandte CreateQR-Themen, die diese Vertrauensebene stärken, sind gebrandete QR-Codes mit Logos, besserer CTA-Text für QR-Codes und QR-Codes für Unternehmensseiten.
Was zu tun ist, wenn Sie Manipulation oder einen kompromittierten QR-Code vermuten
Wenn Sie glauben, dass ein öffentlicher QR-Code ersetzt, kopiert oder in einem Betrugskontext missbraucht wurde, handeln Sie schnell und unkompliziert.
1. Entfernen oder verdecken Sie den QR-Code sofort
Wenn ein Scan Kundinnen und Kunden schaden könnte, lassen Sie den Code nicht aktiv, während Sie ermitteln.
2. Prüfen Sie Materialien in der Nähe
Wenn ein Code manipuliert wurde, könnten auch nahe Poster, Tische, Theken oder Displays betroffen sein.
3. Leiten Sie das Ziel um oder deaktivieren Sie es, wenn möglich
Wenn Sie das QR-Ziel dynamisch steuern, leiten Sie es auf eine sichere Hinweis-Seite um oder schalten Sie es ab, während Sie ermitteln.
4. Sagen Sie dem Team, was kommuniziert werden soll
Mitarbeitende mit Kundenkontakt sollten wissen, wie sie das Problem erklären, wohin sie Kundinnen und Kunden sicher verweisen und wie sie Meldungen aufnehmen.
5. Informieren Sie betroffene Kundinnen und Kunden bei Bedarf
Wenn ein reales Risiko bestand, ist eine kurze, ruhige und praktische Mitteilung besser als Schweigen. Sagen Sie den Menschen, was sie prüfen sollen und wo sie sicher verifizieren können.
6. Eskalieren Sie Konto- und Zahlungsexposition schnell
Wenn jemand möglicherweise Passwörter oder Zahlungsdaten eingegeben hat, fordern Sie diese Personen auf, Passwörter zu ändern, MFA zu aktivieren und sofort ihren Zahlungsanbieter oder ihre Bank zu kontaktieren.
7. Prüfen Sie, wie der Betrug möglich wurde
Beheben Sie den Prozess, nicht nur den einzelnen QR-Code. Bessere Kontrollen, bessere Platzierung und bessere Kundenkommunikation sind meist wichtiger als ein einmaliger Austausch.
Die beste Haltung im Ernstfall: zuerst Kundinnen und Kunden schützen, dann ermitteln und währenddessen klar kommunizieren.
So schützen Sie Mitarbeitende vor Quishing per E-Mail
Unternehmen müssen nicht nur Kundinnen und Kunden in physischen Räumen schützen. Sie müssen auch Mitarbeitende vor QR-Phishing in E-Mails, Chats und digitalen Workflows schützen.
- Behandeln Sie QR-Codes in unerwarteten E-Mails wie verdächtige Links, nicht wie harmlose Bilder
- Schulen Sie Mitarbeitende darin, QR-Codes in dringenden Nachrichten zu Konten, Gehaltsabrechnung, Rechnungen oder Lieferungen nicht ohne Verifizierung zu scannen
- Fördern Sie die schnelle Meldung verdächtiger Nachrichten an IT- oder Security-Teams
- Prüfen Sie, ob Ihre E-Mail-Schutzmaßnahmen bildbasierte Bedrohungen ausreichend gut erkennen
- Seien Sie vorsichtig damit, QR-basierte Login- oder Freigabeabläufe in der internen Kommunikation zu normalisieren
- Geben Sie für geschäftliche E-Mails strengere Richtlinien vor, weil Mitarbeitende womöglich auf privaten Smartphones außerhalb normaler Unternehmensschutzmechanismen scannen
Je stärker Ihr Team QR-Codes als einen weiteren Mechanismus zur Link-Zustellung versteht, desto leichter lassen sich sichere Gewohnheiten darum aufbauen.
Häufige Fehler, die Sie vermeiden sollten
- QR-Codes für dringende Zahlungs- oder Login-Abläufe ohne alternativen Verifizierungspfad verwenden
- Öffentliche QR-Codes drucken und danach nie wieder kontrollieren
- Kunden-E-Mails mit vielen QR-Codes versenden, ohne genügend Kontext zur Echtheitsprüfung zu liefern
- Die Landingpage generisch wirken lassen oder ohne Bezug zur gedruckten QR-Platzierung gestalten
- Vagen CTA-Text verwenden, der zu viel Raum für Verwirrung lässt
- Mitarbeitende nicht darin schulen, wie Manipulation aussieht
- Davon ausgehen, dass Markenbekanntheit allein Betrug verhindert
- Zu lange warten, um einen verdächtigen QR-Code nach einer Beschwerde zu entfernen
Der größte Fehler ist zu denken, QR-Sicherheit sei nur ein Designproblem. In Wirklichkeit ist sie eine Kombination aus Design, Platzierung, Kontrolle über das Ziel, Bewusstsein im Team und Reaktion auf Vorfälle.
FAQ
Was ist Quishing?
Quishing ist Phishing mit QR-Codes statt mit normalen anklickbaren Links, um Menschen auf eine bösartige Seite, ein gefälschtes Login, ein betrügerisches Zahlungsportal oder einen riskanten Download zu leiten.
Sollten Unternehmen wegen Betrugs auf QR-Codes verzichten?
Nein. QR-Codes sind weiterhin nützlich und oft vollkommen passend. Der sicherere Ansatz ist, sie so einzusetzen, dass sie vorhersehbar, gebrandet, gut gepflegt und leicht überprüfbar sind.
Sind öffentliche QR-Codes riskanter als QR-Codes im Laden oder auf dem Tisch?
Oft ja. Unbeaufsichtigte öffentliche Bereiche bieten mehr Möglichkeiten für Manipulation, Overlays und täuschend ähnliche Platzierungen.
Wie kann ein Unternehmen einen legitimen QR-Code sicherer wirken lassen?
Verwenden Sie klaren CTA-Text, konsistentes Branding, vorhersehbare Platzierung, vertrauenswürdige Landingpages und einen sichtbaren Ausweichpfad wie eine Website oder Support-Nummer.
Sollten Unternehmen QR-Codes in E-Mails verwenden?
Ja, aber mit Vorsicht. QR-Codes in E-Mails lassen sich in Phishing-Kampagnen leichter missbrauchen, daher sollten Unternehmen sie für dringende, riskante oder leicht imitierbare Aktionen vermeiden, sofern sie nicht sehr einfach zu verifizieren sind.
Was sollte ein Unternehmen tun, wenn ein öffentlicher QR-Code manipuliert wurde?
Entfernen oder verdecken Sie ihn sofort, prüfen Sie Materialien in der Nähe, leiten Sie Kundinnen und Kunden auf eine sichere Ausweichoption um, briefen Sie Mitarbeitende und informieren Sie betroffene Personen, wenn es zu einer realen Exposition gekommen ist.
Helfen dynamische QR-Codes bei der Reaktion auf Vorfälle?
Ja, sie helfen Ihnen dabei, das Ziel schnell zu ändern, wenn Sie ein aktives Scan-Ziel nach einem entdeckten Problem pausieren, umleiten oder ersetzen müssen.
Verwandte Leitfäden
Bereit, QR-Codes zu erstellen, denen Kundinnen und Kunden vertrauen?
Erstellen Sie QR-Codes für Speisekarten, Unternehmensseiten, Kampagnen, Bewertungen, Events und Support-Abläufe und sorgen Sie dann dafür, dass das Scan-Erlebnis klar, gebrandet und leichter überprüfbar ist.