Das Scannen von QR-Codes gehört längst zum Alltag. Ob in Restaurants für die Speisekarte, am Parkscheinautomaten oder um schnell eine Zahlung zu tätigen. Doch hinter den praktisch anmutenden schwarz-weißen Quadraten lauert ein erstaunlich effektives Phishing-Risiko, das oft unterschätzt wird[1]. Im Folgenden erklären wir verständlich, was es mit QR-Code-Phishing (auch “Quishing” genannt) auf sich hat, welche Betrugsmaschen aktuell kursieren, und warum weiterhin Wachsamkeit und Schulungen wichtig sind. Außerdem beleuchten wir aktuelle Zahlen (weltweit und in Österreich) und neue Ansätze, um Mitarbeiter:innen und Nutzer:innen besser zu sensibilisieren.

Was ist QR-Code-Phishing (Quishing) und wie funktioniert es?

QR-Code-Phishing bezeichnet Phishing-Angriffe, bei denen die Opfer über einen QR-Code auf eine betrügerische Website oder Aktion gelockt werden. Ein QR-Code (Quick Response) ist im Grunde ein zweidimensionaler Barcode, der beim Scannen mit der Smartphone-Kamera automatisch einen digitalen Link öffnet. Dadurch schlagen diese Angriffe eine Brücke zwischen der analogen Welt (z.B. ein auf Papier gedruckter Code) und der digitalen Falle dahinter[2]. Ein Scan – und schon landet man ohne Tippen auf einer Webseite oder in einer App.

Kriminelle machen sich diese Bequemlichkeit zunutze. Beim Quishing verbirgt sich hinter dem QR-Code ein schädlicher Link, der meist auf eine täuschend echt gestaltete Website führt[3]. Dort soll das Opfer entweder Schadsoftware herunterladen oder vertrauliche Informationen preisgeben – etwa Login-Daten, Kreditkarteninformationen oder andere persönliche Daten[3]. Die Betrüger imitieren dabei häufig legitime Seiten (z.B. Banking-Login oder Bezahlseiten), um keinen Verdacht zu erwecken[4]. Gibt man dort arglos seine Daten ein, gelangen diese direkt in die Hände der Angreifer.

Diese Form des Phishings wird auch als “Quishing” bezeichnet – ein Kunstwort aus „QR“ und „Phishing“[5]. Quishing funktioniert im Kern wie klassisches Phishing per E-Mail oder Link, nutzt aber QR-Codes als Transportmittel. Eine besonders raffinierte Variante stellt QRLJacking dar – hierbei versuchen Angreifer, die QR-Login-Funktion bestimmter Dienste zu kapern[6]. So werden beispielsweise QR-Codes von legitimen Login-Seiten (etwa für Web-Anwendungen, die QR-Anmeldung anbieten) abgefangen und durch eigene Codes ersetzt. Scannt der Nutzer dann den falschen Code, können die Angreifer seinen Sitzungsschlüssel übernehmen und sich unbefugt einloggen. Solche Spezialangriffe erfordern zwar höheres technisches Können, zeigen aber, wie vielseitig die Bedrohung durch QR-Code-Missbrauch sein kann.

Warum ist QR-Code-Phishing so tückisch? Zum einen sehen QR-Codes auf den ersten Blick harmlos aus – es sind nur Pixelmuster, der eigentliche Link bleibt verborgen. Im Gegensatz zu einem klickbaren Link kann man die Ziel-URL vorab nicht erkennen, was die üblichen Warnsignale erschwert[7]. Zudem genießen gedruckte oder in der realen Welt angebrachte Codes oft mehr Vertrauen als digitale Nachrichten: Viele denken, was auf einem Poster, Flyer oder Brief gedruckt ist, müsse schon offiziell sein[7]. Angreifer nutzen auch den Faktor Smartphone-Nutzung: Am Handy agieren wir oft hastiger und prüfen Details weniger gründlich[8]. Scannt man einen QR-Code mit der Handy-Kamera, öffnet sich der Link oft direkt, ohne dass man wie am PC mit der Maus über einen Link hovern und die Adresse prüfen kann. Hinzu kommt, dass die meisten herkömmlichen Sicherheitsfilter (E-Mail-Gateways, Virenscanner) QR-Codes als Bilddateien nicht analysieren – gefährliche Links, die in einem QR-Code eingebettet sind, werden so leicht an technischen Schutzmechanismen vorbeigeschleust[9]. Diese Kombination aus technischem Trick und psychologischem Aspekt macht Quishing für Cyberkriminelle attraktiv und erfolgreich.

Welche Risiken und Betrugsmaschen sind damit verbunden?

Angreifer haben inzwischen zahlreiche Betrugsszenarien auf Basis von QR-Codes entwickelt. Im Grunde handelt es sich immer um Social-Engineering-Tricks, die das Vertrauen oder die Unachtsamkeit der Opfer ausnutzen. Hier einige gängige Maschen und Beispiele:

• Manipulierte QR-Codes im öffentlichen Raum: Cyberkriminelle bringen gefälschte QR-Code-Sticker auf öffentlichen Geräten oder Aushängen an. In Salzburg wurden z.B. an 40 Parkscheinautomaten solche falschen QR-Codes entdeckt[10]. Die Stadt warnte Autofahrer, dass diese Codes auf Fake-Bezahlseiten führen, wo man persönliche Daten eingeben oder Geld überweisen soll[11]. Auch auf E-Ladesäulen für E-Autos oder anderen öffentlichen Info-Tafeln sind schon Fälle bekannt, bei denen Angreifer die echten QR-Codes mit ihren eigenen überklebt haben[12]. Ziel ist immer, die Nutzer auf eine betrügerische Webseite zu lotsen – etwa eine gefälschte Zahlungsseite – um an deren Kreditkartendaten oder Login-Infos zu gelangen.
  
• Phishing-E-Mails mit QR-Code („E-Mail-Quishing“): Da viele Firmen-E-Mails mittlerweile gut gefiltert werden, weichen Betrüger aufs Einbetten von QR-Codes in Mails oder Anhänge aus. Ein gängiges Beispiel: Man erhält eine offiziell wirkende E-Mail (etwa angeblich von der IT-Abteilung, der Bank oder einem Dienstleister) mit der Aufforderung, einen QR-Code zu scannen – sei es um ein Dokument anzusehen, die Identität zu bestätigen oder eine Rechnung zu bezahlen. Weil der QR-Code im Bildformat vorliegt, schlägt er oft Filter und Virenscanner, aber beim Scan führt er auf eine Phishing-Seite[9]. So geschehen in einem Fall 2024, bei dem Angreifer Mitarbeitern eines IT-Sicherheitsunternehmens (!) eine gefälschte PDF-Datei mit QR-Code zuschickten. Die Nachricht suggerierte, es ginge um neue Benefits und man müsse rasch den Code scannen, da das Dokument in 24 Stunden ablaufe[13]. Ein Mitarbeiter folgte dem QR-Code – prompt wurden seine Zugangsdaten und sogar ein aktiver MFA-Token abgegriffen, den die Hacker in Echtzeit zu missbrauchen versuchten[14]. Zwar konnte hier ein größerer Schaden verhindert werden, aber der Vorfall zeigt, wie perfide diese Methode ist. Selbst gut geschulte Personen können durch den ungewohnten QR-Weg überrascht werden.
  
• Gefälschte Briefe und Flyer mit QR-Codes: Die Masche beschränkt sich nicht auf E-Mails. Betrüger verschicken auch traditionelle Briefe, z.B. im Namen einer Bank oder Behörde, die einen QR-Code enthalten[15]. Etwa könnte ein Schreiben vorgeben, wichtige Dokumente oder eine Verifizierungs-Seite per QR zugänglich zu machen – in Wahrheit landet man auf einer geklonten Login-Seite der Bank und die Zugangsdaten werden abgefischt. Ebenso können auf Flyern bei Veranstaltungen vermeintliche Info- oder Download-QR-Codes platziert sein, die in Wirklichkeit nur persönliche Daten absaugen[16]. Da man hier mit einem offiziellen Brief oder einem Konferenz-Flyer rechnet, sind viele wenig misstrauisch.
  
• Job- und HR-Betrug mit QR-Codes: Eine neuere Variante zielt auf Jobsuchende und HR-Prozesse ab. 2024 wurde von mehreren Fällen in Europa berichtet, bei denen in gefälschten Stellenanzeigen oder E-Mails QR-Codes zur Bewerbung genutzt wurden[17]. Interessenten, die den Code scannten, landeten auf einer scheinbar legitimen Bewerbungsseite und wurden aufgefordert, Dokumente hochzuladen – etwa Ausweiskopien, Lebenslauf mit persönlichen Daten usw. Diese Informationen wanderten direkt zu den Betrügern. Für Unternehmen ist das doppelt heikel: Nicht nur Bewerber werden geschädigt, auch der Ruf der Firma kann leiden, wenn ihr Name für solche Scams missbraucht wird.

Diese Beispiele zeigen, dass QR-Code-Phishing vielfältig auftreten kann – online wie offline, beruflich wie privat. Letztlich zielen alle Varianten darauf ab, das Vertrauen der Nutzer in den „würfeligen“ Code auszunutzen, um sie auf eine falsche Fährte zu locken.

Aktuelle Statistiken und Vorfälle: Die Bedrohungslage im Überblick

Quishing ist kein hypothetisches Randphänomen mehr, sondern mittlerweile global spürbar. Statistiken der letzten Jahre zeigen einen drastischen Anstieg von QR-Code-basierten Phishing-Attacken. Laut dem Egress Phishing Threat Trends Report waren 2021 lediglich 0,8 % aller Phishing-Angriffe mit QR-Codes versehen – 2023 hingegen schon 12,4 %[18]. Dieser Anteil hat sich also in kurzer Zeit vervielfacht. Im Jahr 2024 scheint er sich bei etwa 10–11 % einzupendeln[18], bleibt aber auf hohem Niveau. Auch andere Studien bestätigen den Trend: Die Häufigkeit von Quishing-Angriffen stieg zuletzt um rund 25 % gegenüber dem Vorjahr[19]. Microsoft-Beobachtungen zufolge gab es Phasen, in denen die Zahl solcher Attacken monatlich um 270 % nach oben schnellte[20] – ein Hinweis, wie schnell sich neue Betrugsmuster verbreiten können.

Betrachtet man die absolute Zahl an Cybervorfällen, wird die Dimension klar. Internetbetrug nimmt rasant zu: In Österreich wurden 2023 insgesamt 34.069 Fälle von Internetbetrug angezeigt – ein Plus von 23,3 % im Vergleich zum Vorjahr[21]. Darin enthalten sind zwar diverse Betrugsarten, doch Phishing und verwandte Maschen machen einen großen Anteil aus. Wenn also Quishing als neue Variante dazukommt, trägt es weiter zum Anstieg bei. Die Behörden registrieren vermehrt entsprechende Vorfälle und warnen die Bevölkerung. So hat etwa die Stadt Salzburg Anfang 2025 nach dem Fund der falschen Parkscheinautomaten-QR-Codes eindringlich zur Vorsicht gemahnt und Anzeige erstattet[11]. Glücklicherweise waren dort noch keine konkreten Betrugsschäden bekannt[22] – doch es war wohl nur eine Frage der Zeit. International gab es bereits Fälle, in denen solche Tricks erfolgreich waren und zu Datendiebstahl oder finanziellen Verlusten führten.

Auch die Zielgruppen der Angreifer sind breit gefächert. Privatpersonen können genauso betroffen sein wie Unternehmen. Besonders im Visier stehen aber oft Mitarbeiter:innen von Firmen – teils sogar gezielt Führungskräfte, weil sich dort erfolgreiche Angriffe für die Kriminellen besonders lohnen (Stichwort CEO Fraud etc.). Eine Analyse zeigte, dass Top-Manager:innen teils 42-mal häufiger mit QR-Phishing attackiert wurden als der Durchschnittsmitarbeiter[23]. Das verdeutlicht: Niemand sollte sich in falscher Sicherheit wiegen, nur weil er/sie technisch versiert ist oder weil die Masche noch relativ neu erscheint.

Warum weiterhin Awareness und Trainings nötig sind, auch für digitale “Basics”

Angesichts der oben beschriebenen Entwicklungen stellt sich die Frage: Wissen das nicht ohnehin alle? Ist das Thema “Phishing” nicht kalter Kaffee, den jede:r Mitarbeiter:in schon zigmal gehört hat? Die Realität zeigt leider, dass regelmäßige Sensibilisierung selbst für scheinbar einfache digitale Risiken notwendig bleibt. Im Gegenteil: Gerade die “Basics” werden oft unterschätzt, weil man sie für selbstverständlich hält.

Ein großes Problem ist das Vertrauensvorschuss gegenüber QR-Codes. Laut einer aktuellen Umfrage halten rund 80 % der Endnutzer QR-Codes für absolut sicher[24] – viele kommen gar nicht auf die Idee, dass ein gedruckter Code gefährlich sein könnte. Diese Fehleinschätzung ist ein gefährlicher blinder Fleck. Mitarbeiter und Nutzer müssen erst einmal erkennen, dass überhaupt eine Bedrohung existiert[1]. Noch 2022/2023 hatten die wenigsten von Quishing gehört; folglich fehlt oft jede Vorsicht im Umgang damit. Hier sind Aufklärung und Bewusstseinsbildung gefragt, um die Lücke zwischen Wahrnehmung und Realität zu schließen[24].

Hinzu kommt: Cyberangriffe entwickeln sich ständig weiter. Was gestern vielleicht nur theoretisch war, kann morgen zur verbreiteten Masche werden. Phishing bleibt insgesamt einer der Hauptangriffsvektoren – Schätzungen zufolge beginnen über 80 % aller erfolgreichen Cyberangriffe mit einer Phishing-Attacke (ob per Mail, Link oder eben QR)[25]. In fast 70 % aller Datenschutzverletzungen spielt der “menschliche Faktor” eine Rolle[25]. Das zeigt klar: Technische Abwehr alleine reicht nicht, die Menschen an den Geräten sind oft das Zünglein an der Waage.

Gerade Alltags-Technologien wie QR-Codes werden schnell als trivial angesehen („das kenn ich, nutz ich, kein Problem“). Diese Routinen können gefährlich werden, wenn Angreifer sie ausnutzen. Ein Moment der Unachtsamkeit – z.B. in Eile den Code am Brief scannen – und schon ist es passiert. Deshalb müssen selbst einfach erscheinende Themen immer wieder trainiert und ins Bewusstsein gerufen werden. Experten betonen, dass heute weit mehr Vorsicht beim Umgang mit QR-Codes geboten ist als noch vor wenigen Jahren[26]. Die Belegschaft sollte verstehen, warum ein kurzer Scan riskant sein kann und welche Checks davor sinnvoll sind.

Die gute Nachricht: Aufklärung wirkt. Studien zeigen, dass gezielte Security-Awareness-Maßnahmen die Anfälligkeit deutlich senken. Mitarbeiter:innen können lernen, social-engineering Tricks zu erkennen und zu melden – und zwar schon nach wenigen Monaten Training mit spürbarem Erfolg (Phishing-Erkennungsraten lassen sich innerhalb von 6 Monaten um den Faktor 6 steigern, Sicherheitszwischenfälle um über 80 % reduzieren[27]). Aber dafür muss das Training eben aktuell und praxisnah sein. Es reicht nicht, einmal im Jahr eine Folienpräsentation zu zeigen. Gefragt sind kontinuierliche Impulse, die auch neue Bedrohungen wie Quishing einschließen.

Neue Strategien zur Sensibilisierung

Klassische Security-Schulungen stoßen oft an Grenzen – viele empfinden jährliche Pflichtschulungen als lästig oder vergessen das Gelernte schnell. Umso wichtiger ist es, innovative Awareness-Ansätze zu nutzen, die das Thema greifbarer, regelmäßiger und interessanter machen. Hier einige Strategien, wie man Mitarbeitende und Endnutzer:innen 2025 fit machen kann, um nicht auf QR-Code-Betrug hereinzufallen:

• Quishing-Simulationen in Trainings einbauen: Führende Schulungsanbieter haben reagiert und bieten mittlerweile Phishing-Simulationen mit QR-Codes an[28]. Dabei werden z.B. im Büro oder per Mail bewusst fiktive QR-Phishing-Szenarien an Mitarbeitende ausgespielt, um deren Reaktionen zu testen – natürlich ohne echten Schaden. So etwas kann etwa ein ausgehängter QR-Code sein („Neu: Kantinen-Speiseplan hier scannen“) oder eine Rundmail mit QR („Ihr Gehaltszettel zum Download“). Klicken Mitarbeitende darauf, wird ihnen im Nachhinein erklärt, dass dies ein Test war und welche Anzeichen verdächtig waren. Solche praxisnahen Übungen schaffen Aha-Erlebnisse und bleiben wesentlich besser hängen als reine Theorie. Zudem erhält die IT-Sicherheit Einblick, wer besonders gefährdet ist und gezielte Nachschulungen braucht[29]. Dass dieses Thema Priorität hat, zeigen die Entwicklungen bei großen Anbietern: Proofpoint etwa hat 2024 QR-Code-Phishing-Tests fest in sein Awareness-Programm integriert[28].
  
• Interaktive und kontinuierliche Lernformate: Anstatt einmalig große Infoblöcke zu vermitteln, setzen viele Unternehmen auf Micro-Learnings und Gamification. Zum Beispiel monatliche kurze Quiz oder Challenges („Phishing der Woche“), in denen Mitarbeitende spielerisch verdächtige von legitimen QR-Code-Anwendungen unterscheiden müssen. Ein anderer Ansatz sind Cybersecurity-Champions im Team – also engagierte Mitarbeitende, die in ihren Abteilungen als Multiplikatoren fungieren, kleine Workshops anbieten oder einfach Kollegen ansprechen, wenn ihnen unsichere Verhaltensweisen auffallen. Wichtig ist, dass Security zum regelmäßigen Gesprächsstoff wird. So bleibt das Bewusstsein hoch, ohne dass es belehrend wirkt. Kontinuität ist hier entscheidend: etwa ein Jahr lang jeden Monat ein Fokusthema (Passwörter, Phishing, Malware etc.), wie es manche Kampagnen bereits umsetzen.
  
• Alltägliche Szenarien und “Storytelling”: Trockene Regeln überzeugen selten. Besser ist es, konkrete Geschichten zu erzählen – gern auch basierend auf realen Vorfällen. Der eingangs erwähnte Fall mit den Parkscheinautomaten in Salzburg oder der fingierte DHL-Paket-QR-Code (siehe Bild oben) eignen sich hervorragend, um Mitarbeitenden zu zeigen: Schaut her, so etwas passiert wirklich! Wenn man solche Beispiele in Schulungen oder internen Newslettern aufgreift, können sich die Leute eher damit identifizieren („Stimmt, so einen Strafzettel mit QR-Code hatte ich neulich auch am Auto...“). Emotional packende oder überraschende Geschichten bleiben im Gedächtnis. Sie vermitteln implizit die Botschaft: Es kann jede:n treffen – also pass auf dich auf.
  
• Technische Hilfsmittel nicht vergessen: Parallel zur Sensibilisierung können auch Tools helfen, den Alltag sicherer zu machen. Beispielsweise lohnt es sich, sichere QR-Scanner-Apps zu verwenden, die erst den Link anzeigen und gegen bekannte Betrugs-Webseiten prüfen, bevor sie öffnen[30]. Viele neuere Smartphone-Kamera-Apps haben so eine Vorschau-Funktion – diese sollte aktiviert sein, damit ein Code nicht automatisch zum Ziel springt, sondern man kurz die URL inspizieren kann[31]. Unternehmen können in ihren Mobilgeräteeinstellungen erzwingen, dass unbekannte URLs von der Security-App gescannt oder geblockt werden. Auch Multi-Faktor-Authentifizierung (MFA) hilft indirekt: Selbst wenn mal Anmeldedaten via QR-Phishing gestohlen wurden, kommt der Dieb ohne den zweiten Faktor nicht weit[32]. Dennoch bleibt MFA nur Plan B – besser ist es, den Diebstahl gar nicht erst passieren zu lassen, indem die Nutzer erst gar nicht auf die Phishing-Seite reinfallen.

Zusammengefasst geht es bei all diesen Strategien darum, die Nutzer:innen aktiv einzubinden. Sicherheitsbewusstsein lässt sich nicht durch bloßes Verordnen schaffen, sondern nur durch Erfahrung, Beteiligung und ständige Auffrischung. Hier dürfen auch kreative Ideen zum Zuge kommen – vom internen Wettbewerb („Wer spotet die meisten Phishing-Fallen?“) bis zum physischen Escape-Room mit IT-Security-Rätseln. Alles, was Security greifbar und interessant macht, trägt dazu bei, die oft zitierte „menschliche Firewall“ zu stärken.

Fazit

Wachsam bleiben – der beste Schutz vor QR-Code-Betrug

QR-Code-Phishing mag auf den ersten Blick wie ein Nischenthema wirken, doch die Zahlen und Beispiele belegen das Gegenteil: Diese Bedrohung ist real, sie ist da und sie entwickelt sich ständig weiter. Genau deshalb dürfen wir sie nicht auf die leichte Schulter nehmen. Es geht nicht darum, QR-Codes zu verteufeln – sie bleiben ein nützliches Werkzeug – sondern darum, den gesunden Menschenverstand auch bei neuen Angriffsmethoden einzuschalten.

Das Wichtigste ist und bleibt Awareness. Technische Lösungen können viel abfangen, aber am Ende zählt der informierte und aufmerksame Mensch. Ein aufgeklärtes Team ist der beste Schutz gegen Quishing[33]. Sobald Nutzer:innen die Masche kennen, verlieren die Angreifer ihren entscheidenden Vorteil – das Überraschungsmoment[33]. Dann wird auch ein geklebter QR-Code am Bankomaten kritisch beäugt und eben nicht gedankenlos gescannt.

Wir alle sollten uns regelmäßig ins Gedächtnis rufen, dass Cyber-Sicherheit ein Prozess des ständigen Lernens ist. Die Bedrohungslandschaft wandelt sich – aber mit der richtigen Einstellung wandeln wir uns mit. Bleiben wir also wachsam und neugierig, schulen wir uns und unsere Teams kontinuierlich und scheuen wir uns nicht, auch bei vermeintlich bekannten Technologien zweimal hinzusehen. So machen wir es den Cyberkriminellen erheblich schwerer, selbst mit einfachen Mitteln Erfolg zu haben. In diesem Sinne: Augen auf beim QR-Code-Scan – und geben Sie Ihr Wissen auch an Kolleginnen, Kollegen und Freunde weiter. Gemeinsam stärken wir die menschliche Firewall! Awareness lohnt sich, denn was man nicht weiß (oder ignoriert), kann einen im Zweifel sehr wohl schaden[34].

Bleiben Sie sicher und informiert – denn nur so können wir der stetig wachsenden Phishing-Gefahr die Stirn bieten. Jeder Scan zählt!

Quellen:

[1] [7] [8] [17] [30] [33] [34] QR Code Phishing: The New Scam You Can't Afford to Ignore https://lucysecurity.com/qr-code-phishing-awareness/

[2] [3] [4] [5] [6] [9] [12] [15] [16] [26] [31] [32] Quishing – Betrug per QR-Code https://www.techbold.at/blog/quishing-betrug-per-qr-code

[10] [11] [22] Betrug mit falschen QR-Codes bei Parkscheinautomaten - salzburg.ORF.at https://salzburg.orf.at/stories/3294638/

[13] [14] [20] QR Code Phishing Attacks Surge in 2024 | PrivaPlan https://privaplan.com/qr-code-phishing-attacks-surge-in-2024/

[18] [23] The Rising Threat of QR Code Phishing: What You Need to Know - Linkenheimer LLP CPAs & Advisors https://www.linkcpa.com/the-rising-threat-of-qr-code-phishing-what-you-need-to-know/

[19] [25] [27] Phishing Trends Report (Updated for 2025) https://hoxhunt.com/guide/phishing-trends-report

[21] Cybercrime Report 2023 https://www.bundeskriminalamt.at/306/files/Cybecrime_Report_2023_WebBF.pdf

[24] [28] [29] Security Awareness Program Enhancements: Winter Release | Proofpoint US https://www.proofpoint.com/us/blog/security-awareness-training/security-awareness-program-enhancements-winter-release