QR-Codes sind in der Regel praktisch, schnell und völlig normal im Alltag. Sie sehen sie jeden Tag auf Restauranttischen, Produktverpackungen, Postern, Tickets, Parkschildern, Broschüren und Visitenkarten. Aber ein QR-Code ist nur so vertrauenswürdig wie das Ziel, auf das er verweist.
Genau darin liegt das eigentliche Risiko. Ein gefälschter oder bösartiger QR-Code kann jemanden auf eine Phishing-Seite, ein falsches Bezahlportal, einen betrügerischen Login-Bildschirm oder ein anderes Ziel führen, das Geld, Passwörter oder persönliche Daten stehlen soll. Der QR-Code selbst kann harmlos aussehen. Die Gefahr beginnt erst nach dem Scan.
Kurzantwort: QR-Codes sind meist sicher, wenn sie aus einer vertrauenswürdigen Quelle stammen und dorthin führen, wo Sie es erwarten. Riskant werden sie, wenn der Code ersetzt, manipuliert, in einer verdächtigen Nachricht verschickt oder verwendet wurde, um Sie auf eine gefälschte Login-, Zahlungs- oder Kontoseite zu leiten.
Sind QR-Codes grundsätzlich sicher?
Ja, in den meisten Alltagssituationen schon. Ein QR-Code auf einer Speisekarte, einem Eventticket, einer Produktverpackung oder einer Visitenkarte ist nicht automatisch gefährlich, nur weil es ein QR-Code ist.
Die sinnvollere Frage lautet nicht „Ist dieses quadratische Bild sicher?“, sondern „Vertraue ich dem Ziel, zu dem mich dieser Code schickt?“ Genau das ist der entscheidende Punkt. Ein legitimer QR-Code und ein bösartiger QR-Code können vor dem Scan fast identisch aussehen.
| Meist geringeres Risiko | Meist höheres Risiko |
|---|---|
| Menü-QR auf einem Tisch in einem bekannten Restaurant | Zufälliger QR-Code in einer unerwarteten E-Mail oder SMS |
| QR-Code auf einer Visitenkarte von jemandem, den Sie gerade kennengelernt haben | Aufkleber über einem anderen QR-Code im öffentlichen Raum |
| Produkt-QR auf einer Originalverpackung einer bekannten Marke | QR-Code, der zu einer dringenden Zahlung, Anmeldung oder Kontowiederherstellung drängt |
Einfache Regel: Je unerwarteter ein QR-Code wirkt, desto vorsichtiger sollten Sie sein, bevor Sie ihn öffnen.
So funktionieren gefälschte und bösartige QR-Codes meist
Ein bösartiger QR-Code „hackt“ Sie normalerweise nicht allein durch das Scannen. Stattdessen setzt er auf Social Engineering. Er soll Sie dazu bringen, dem Code zu vertrauen, den Link zu öffnen und anschließend etwas Unsicheres zu tun.
| Taktik | Wie es aussieht | Was der Betrüger will |
|---|---|---|
| Gefälschte Login-Seite | Der QR-Code öffnet eine Seite, die wie Ihre Bank, Ihr Arbeitsplatz, ein Lieferdienst oder ein Serviceanbieter aussieht | Ihren Benutzernamen, Ihr Passwort oder Informationen zur Kontowiederherstellung |
| Gefälschte Zahlungsseite | Der QR-Code öffnet ein Bezahlportal für Parken, Krypto, Geschenke oder eine „dringende Kontoklärung“ | Ihr Geld oder Ihre Kartendaten |
| Malware oder riskanter Download | Die Seite drängt zu einer App-Installation, einem Dateidownload oder einem gefälschten „Sicherheitsupdate“ | Zugriff auf Ihr Gerät oder Ihre Daten |
| Manipulierter öffentlicher QR-Code | Ein falscher Aufkleber wird über einen echten QR-Code an einem öffentlichen Ort geklebt | Einen eigentlich vertrauenswürdigen Scan-Moment kapern |
| QR-Betrug per Nachricht | Der QR-Code kommt per SMS, E-Mail, Paketbeilage oder Chat und setzt Sie unter Druck, schnell zu handeln | Ihre normale Vorsicht zu umgehen |
Kurz gesagt: Ein bösartiger QR-Code funktioniert oft, indem das Ziel so dringend, vertraut oder bequem wirkt, dass Sie nicht mehr sorgfältig prüfen.
10 Warnzeichen, dass ein QR-Code bösartig sein könnte
Ein einzelnes Warnsignal beweist nicht immer einen Betrug. Aber mehrere Anzeichen zusammen sollten Sie stoppen und erst prüfen lassen, bevor Sie scannen.
1. Er befindet sich in einer unerwarteten Nachricht
Seien Sie vorsichtig bei QR-Codes in überraschenden SMS, E-Mails oder Paketnotizen, die Sie zu schnellem Handeln drängen.
2. Er sieht manipuliert aus
Ein Aufkleber über einem anderen Code, ungleichmäßige Kanten oder ein nicht passender Druckstil sind deutliche Warnzeichen.
3. Die Nachricht erzeugt Dringlichkeit
„Jetzt handeln“, „Ihr Konto ist gefährdet“ oder „Sofort bestätigen“ sind klassische Betrugs-Auslöser.
4. Die Zielvorschau wirkt seltsam
Schreibfehler, merkwürdige Domains, zusätzliche Zeichen oder ein fast richtiger Markenname sind klare Warnsignale.
5. Es werden schnell Login-Daten abgefragt
Wenn direkt nach dem Scan nach einem Passwort gefragt wird, sollten Sie langsamer werden und erst prüfen.
6. Es wird in einem seltsamen Kontext eine Zahlung verlangt
Zahlungsaufforderungen für Parken, Krypto, Geschenkkarten oder „Sichern Sie dieses Konto jetzt“ verdienen besondere Vorsicht.
7. Es werden zu viele Informationen verlangt
Wenn ein einfacher Scan plötzlich nach vollständigen Kartendaten, Passwörtern, Einmalcodes oder Identitätsdaten fragt, stoppen Sie.
8. Das Branding wirkt unpassend
Holprige Formulierungen, schlechtes Design, fehlende Unternehmensangaben oder inkonsistente Logos können darauf hindeuten, dass das Ziel gefälscht ist.
9. Es wird versucht, Sie zu einer Installation zu bewegen
Unerwartete App-Installationen oder Dateidownloads sollten Sie vorsichtig behandeln, besonders wenn sie nicht der Grund für Ihren Scan waren.
10. Der Kontext ergibt keinen Sinn
Wenn der QR-Code an einem Ort erscheint, an dem er zufällig, deplatziert oder unpassend wirkt, vertrauen Sie Ihrem Instinkt und prüfen Sie zuerst.
So scannen Sie einen QR-Code sicherer
Bei QR-Sicherheit geht es meist darum, sich vor dem Öffnen des Ziels ein paar Sekunden Zeit zu nehmen.
- Bevorzugen Sie QR-Codes aus Quellen und an Orten, denen Sie bereits vertrauen
- Prüfen Sie öffentliche QR-Codes auf Aufkleber, Überklebungen oder andere Manipulationsspuren
- Kontrollieren Sie die Zielvorschau, bevor Sie weiter tippen
- Seien Sie besonders vorsichtig bei QR-Codes in unerwarteten SMS und E-Mails
- Nutzen Sie nach Möglichkeit den in Ihrem Smartphone integrierten Scanner statt einer beliebigen QR-App von Drittanbietern
- Wenn der QR-Code angeblich von einem Unternehmen stammt, prüfen Sie dies über die bekannte Website oder Telefonnummer des Unternehmens
- Geben Sie keine Passwörter, Einmalcodes oder Zahlungsdaten ein, solange Sie nicht sicher sind, dass die Seite echt ist
- Halten Sie Ihr Smartphone und Ihre Apps aktuell, damit die Sicherheitsfunktionen auf dem neuesten Stand bleiben
Beste Gewohnheit: Behandeln Sie einen unerwarteten QR-Code genauso wie einen unerwarteten Link. Bequemlichkeit sollte Vorsicht nicht ersetzen.
Was Sie tun sollten, wenn Sie bereits einen verdächtigen QR-Code gescannt haben
Keine Panik. Entscheidend ist, was nach dem Scan passiert ist.
| Wenn das passiert ist | Dann tun Sie als Nächstes Folgendes |
|---|---|
| Sie haben die Seite geöffnet, aber nichts eingegeben | Schließen Sie die Seite, machen Sie nicht weiter und prüfen Sie die Situation über eine offizielle Quelle, bevor Sie es erneut versuchen |
| Sie haben ein Passwort oder Login-Daten eingegeben | Ändern Sie das Passwort sofort, ändern Sie es auch überall dort, wo Sie es wiederverwendet haben, und aktivieren Sie Multi-Faktor-Authentifizierung, falls noch nicht geschehen |
| Sie haben Bank- oder Kartendaten eingegeben | Kontaktieren Sie sofort Ihre Bank oder Ihren Kartenanbieter und teilen Sie mit, dass Zahlungsdaten möglicherweise für Betrug offengelegt wurden |
| Sie haben ihn auf einem Diensthandy oder Arbeitslaptop gescannt | Melden Sie den Vorfall so schnell wie möglich Ihrem IT- oder Sicherheitsteam |
| Sie haben etwas heruntergeladen oder Installationsschritte befolgt | Führen Sie einen Sicherheitscheck auf dem Gerät durch, entfernen Sie alles Verdächtige und holen Sie technische Hilfe, wenn Sie unsicher sind |
Wenn der Scan zu einem kompromittierten Konto, Geldverlust oder einem betroffenen Arbeitsgerät geführt hat, ist schnelles Handeln viel wichtiger, als das Problem still allein lösen zu wollen.
Wie Unternehmen legitime QR-Codes vertrauenswürdiger machen können
Wenn Sie QR-Codes in Ihrem Unternehmen einsetzen, können Sie die Zurückhaltung von Kundinnen und Kunden verringern, indem der Code eindeutig legitim wirkt.
- Platzieren Sie QR-Codes dort, wo sie logisch in die Customer Journey passen
- Fügen Sie eine klare CTA hinzu, etwa „Scannen, um die Speisekarte anzusehen“ oder „Scannen, um eine Bewertung zu hinterlassen“
- Nutzen Sie ein konsistentes Branding, damit Kundinnen und Kunden die Quelle wiedererkennen
- Kontrollieren Sie öffentlich angebrachte QR-Codes regelmäßig auf Manipulationen oder Überklebungen
- Verwirren Sie Kundinnen und Kunden nicht mit zu vielen unterschiedlichen Codes an einem Ort
- Sorgen Sie dafür, dass die Zielseite schnell lädt, mobilfreundlich ist und dem gedruckten Versprechen entspricht
Ein vertrauenswürdiger QR-Code ist nicht nur scanbar. Er wirkt auch erwartbar, klar und leicht überprüfbar.
Häufige Fehler, die Sie vermeiden sollten
- Einen QR-Code in einer Nachricht scannen, mit der Sie nicht gerechnet haben
- Anzeichen ignorieren, dass ein öffentlicher QR-Aufkleber über etwas anderes geklebt wurde
- Ein verdächtiges Ziel öffnen, ohne vorher die Vorschau zu prüfen
- Passwörter oder Zahlungsdaten auf einer Seite eingeben, nur weil sie vertraut aussieht
- Annehmen, dass alle QR-Codes im öffentlichen Raum automatisch sicher sind
- Beliebige QR-Scanner-Apps von Drittanbietern nutzen, obwohl Ihr Smartphone bereits einen integrierten Scanner hat
- Zu lange warten, nachdem Sie sensible Informationen auf einer verdächtigen Seite eingegeben haben
Das häufigste Betrugsmuster ist keine technische Raffinesse. Es ist Dringlichkeit plus Vertrauen plus Gewohnheit. Genau deshalb ist eine Pause von zwei Sekunden vor dem Tippen so wichtig.
FAQ
Sind QR-Codes sicher zum Scannen?
In der Regel ja, wenn sie aus einer vertrauenswürdigen Quelle stammen und das Ziel zu dem passt, was Sie erwarten. Das Risiko liegt in der Seite, Datei oder Aktion hinter dem Code.
Kann ein QR-Code selbst mein Smartphone hacken?
Das größere Risiko ist meist das, was sich nach dem Scan öffnet, zum Beispiel eine Phishing-Seite, ein gefälschtes Bezahlportal oder eine Aufforderung zu einem bösartigen Download.
Was ist das größte Warnzeichen für einen gefälschten QR-Code?
Ein unerwarteter Kontext ist eines der größten Warnzeichen, besonders wenn der QR-Code Dringlichkeit erzeugt, nach Login- oder Zahlungsdaten fragt oder manipuliert aussieht.
Sind QR-Codes in Restaurants und Geschäften meist sicher?
Oft ja, aber Sie sollten trotzdem auf Anzeichen von Manipulation achten und prüfen, ob das Ziel zu dem Ort passt, an dem Sie sich befinden.
Sollte ich QR-Codes aus E-Mails oder SMS scannen?
Seien Sie deutlich vorsichtiger. Unerwartete QR-Codes in E-Mails und SMS sind ein häufiges Betrugsmuster, weil sie das eigentliche Ziel bis nach dem Scan verbergen können.
Was soll ich tun, wenn ich nach dem Scan eines verdächtigen QR-Codes mein Passwort eingegeben habe?
Ändern Sie das Passwort sofort, ändern Sie es überall dort, wo Sie es wiederverwendet haben, und aktivieren Sie Multi-Faktor-Authentifizierung, falls verfügbar.
Bereit, einen QR-Code zu erstellen, der vertrauenswürdig wirkt und leicht zu nutzen ist?
Erstellen Sie einen QR-Code für Ihre Website, Speisekarte, Bewertungsseite, Kampagne, Unternehmensseite oder Ihren Support-Prozess und machen Sie das Ziel schon beim ersten Scan klar.