Quishing: Gefälschte QR-Codes an Parkautomaten und in Briefen

Was ist Quishing?

Quishing setzt sich zusammen aus "QR-Code" und "Phishing". Statt einer gefälschten E-Mail bekommst du einen gefälschten QR-Code. Du scannst ihn mit dem Handy, landest auf einer täuschend echten Webseite und gibst dort deine Daten ein. Die Seite gehört den Betrügern.

Das Tückische: QR-Codes umgehen klassische Spam-Filter komplett. Du siehst vor dem Scannen nicht, wohin der Code führt. Und im Gegensatz zu Links in E-Mails kannst du mit dem Handy nicht einfach "mit der Maus drüberfahren" um die URL zu prüfen.

Wo tauchen die gefälschten Codes auf?

Parkscheinautomaten: In Kassel klebten Betrüger gefälschte QR-Codes auf über 300 Parkautomaten. Die Aufkleber sahen aus wie offizielle EasyPark-Codes - gleiches Design, gleiche Farben. Wer scannte und "bezahlte", gab seine Kreditkartendaten auf einer gefälschten Zahlungsseite ein. Ähnliche Fälle sind aus Hannover, Frankfurt, Köln, Dortmund, Celle und Bad Harzburg bekannt.

E-Auto-Ladesäulen: An Ladesäulen überkleben Betrüger die QR-Codes der Ladeanbieter. Du scannst, gibst deine Zahlungsdaten ein und lädst nie. Die Betrüger haben deine Kreditkarte.

Gefälschte Bank-Briefe: Per Post kommen Briefe die aussehen wie Schreiben deiner Bank. "Bitte aktualisieren Sie Ihren Online-Banking-Zugang" steht drin, mit einem QR-Code. Der führt auf eine perfekt nachgebaute Bank-Webseite. Viele Menschen vertrauen Briefen mehr als E-Mails - genau das nutzen die Betrüger aus.

Restaurant-Speisekarten: Auch digitale Speisekarten per QR-Code werden inzwischen gefälscht. Ein Aufkleber über dem echten Code, und du landest auf einer Phishing-Seite statt bei der Bestellung.

Wie erkennst du Quishing?

1. QR-Code-Aufkleber prüfen. Kratze vorsichtig am Rand. Wurde ein Code über einen anderen geklebt? Dann Finger weg.
2. URL nach dem Scannen prüfen. Bevor du Daten eingibst: Stimmt die Adresse in der Browserleiste? "easypark.de" ist echt, "easypark-bezahlen.com" nicht.
3. Offizielle Apps nutzen. Lade Parkschein-Apps und Lade-Apps nur aus dem App Store oder Google Play. Nie über einen QR-Code installieren.
4. Bank-Briefe hinterfragen. Deine Bank schickt dir keinen QR-Code per Brief. Wenn doch: Ruf die Bank an. Nutze die Nummer von deiner Karte, nicht die im Brief.
5. QR-Scanner mit Vorschau nutzen. Manche QR-Scanner-Apps zeigen dir die Ziel-URL bevor sie den Browser öffnen. Nutze diese Funktion.

Betroffene Städte und Dienste

KI macht die Fälschungen besser

Das BSI warnt: KI-generierte Quishing-Angriffe sind 2026 um über 1.200 Prozent gestiegen. Die Fälschungen werden immer professioneller. Briefe ohne Rechtschreibfehler, Webseiten die pixel-genau aussehen wie das Original, und sogar automatisierte Telefonansagen die dich "zur Sicherheit" durch den Prozess leiten.

Seit Januar 2026 bestehen 12 Prozent aller Quishing-Angriffe aus sogenannten ASCII-QR-Codes. Das sind QR-Codes, die aus HTML-Textzeichen statt aus Bilddateien bestehen. Herkömmliche Sicherheitssoftware erkennt sie nicht.

Was tun wenn du reingefallen bist?

1. Kreditkarte sofort sperren. Ruf die Sperrnummer 116 116 an (kostenlos, rund um die Uhr).
2. Bank informieren. Melde den Vorfall deiner Bank. Oft können Abbuchungen noch zurückgeholt werden.
3. Anzeige erstatten. Geh zur Polizei oder erstatte online Anzeige. Ohne Anzeige kann die Bank die Erstattung verweigern.
4. Passwörter ändern. Wenn du Online-Banking-Daten eingegeben hast: Sofort alle Passwörter ändern.
5. Kontoauszüge prüfen. In den nächsten Wochen genau auf unbekannte Abbuchungen achten.

BSI und Polizei warnen offiziell

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Anfang 2026 vor der Quishing-Welle. Das LKA Niedersachsen, die BaFin und die Verbraucherzentralen in NRW, Niedersachsen und Bremen haben offizielle Warnungen herausgegeben. Der ADAC hat einen eigenen Bericht zum Thema Quishing an Parkautomaten veröffentlicht.

Alle aktuellen Warnungen findest du auf unserer Phishing-Übersichtsseite.