Ob auf Verpackungen, Stickern, Plakaten oder im Firmenlogo: Die kleinformatigen Pixelmuster sind allgegenwärtig. QR-Codes verdrängen klassische Strichcodes, weil sie auf engstem Raum deutlich mehr Informationen unterbringen und vielfältigere Einsatzzwecke abdecken. Während Barcodes an der Supermarktkasse im Wesentlichen eine Produktnummer repräsentieren, können QR-Codes neben Seriennummern auch Webadressen, Bilder, Dokumente und andere Datentypen kodieren. Genau diese Flexibilität macht sie attraktiv – und leider auch für Angreifer interessant. Betrüger nutzen Schwächen in den Kamera-Apps gängiger Smartphones aus und platzieren präparierte QR-Codes, um Daten abzugreifen oder Zahlungen umzuleiten. Mit der richtigen Lese-App lässt sich das Risiko jedoch spürbar senken. QR-Code – Quishing!
Was hinter den Quadraten steckt – QR-Code – Quishing
Im Alltag werden häufig sämtliche zweidimensionalen Codes pauschal „QR-Codes“ genannt. Tatsächlich gehören dazu unterschiedliche Verfahren wie QR (Quick Response), Aztec und DataMatrix. Allen gemeinsam sind die quadratische Grundform, der zweifarbige Kontrast (meist Schwarz-Weiß, gelegentlich auch farbig) und die hohe Informationsdichte. 2D-Codes können im Extremfall mehrere Kilobyte Daten enthalten – je mehr Inhalt, desto größer fällt das Codefeld aus. Prinzipiell lässt sich fast alles kodieren: Auf Typenschildern sind es oft Seriennummern, auf Bahntickets neben der Ticket-ID zusätzlich kryptografische Signaturen zur Echtheitsprüfung. Besonders verbreitet ist die Hinterlegung von URLs, damit Nutzer die Adresse bequem mit dem Smartphone erfassen und ohne Tippen direkt aufrufen können.
Weil die Codes heute beinahe überall auftauchen – vom Firmenaufkleber auf dem Auto über auffällig gestaltete Rettungs- oder Feuerwehrfahrzeuge mit Anti-Gaffer-Hinweisen bis hin zu Rechnungsdaten samt Bankverbindung im Onlinebanking – scannen viele Menschen sie inzwischen ganz selbstverständlich. Genau hier beginnt das Problem.
Wo Kamera-Apps in die Irre führen – QR-Code – Quishing
Die Kamera-Apps von iPhone und Android interpretieren QR-Inhalte und präsentieren nur einen Ausschnitt – gewissermaßen eine verdichtete „Essenz“. Das ist gut gemeint, aber gefährlich: Nutzer sehen nicht den unveränderten Rohtext, sondern eine aufbereitete Darstellung. Diese Vereinfachung lässt sich missbrauchen. Wer sich auf die Kurzansicht verlässt, kann unbemerkt auf Phishing-Seiten landen oder Schad-Apps in vermeintlich legitimer Optik ansteuern – mit dem Risiko von Identitätsdiebstahl und Kontenräumung.
Praxisbeispiel E‑Scooter: Verwechslungsgefahr durch ähnlich aussehende Domains
Am Beispiel von E‑Scootern zeigt sich, wie leicht Täuschungen gelingen. Der Anbieter Bolt nutzt unternehmensseitig die Domain bolt.eu. Auf Fahrzeugen findet sich hingegen oft ein Link der Art https://scooters.taxify.eu/qr/123-456 – vor Ort ist für Kundinnen und Kunden nicht ersichtlich, zu welchem Unternehmen die Adresse tatsächlich gehört. Kriminelle können die originalen QR-Codes überkleben und stattdessen etwa https://de.escooters.bolt.mobi.mba/qr/123-456 hinterlegen. In der Kamera-App wirkt „bolt.mob…“ am Ende zunächst vertrauenerweckend, obwohl die echte Ziel-Domain mobi.mba lautet – ein entscheidender Unterschied, der in der Kurzansicht untergeht.
Führt der manipulierte QR-Code zu einer gefälschten Website im Design der echten App, geben ahnungslose Interessenten Registrierung und Zahlungsdaten ein – und wundern sich erst, wenn der Roller trotz „erfolgreicher“ Anmeldung nicht entsperrt. Zu diesem Zeitpunkt haben die Täter längst alles Nötige eingesammelt. Wichtig: Das Beispiel steht stellvertretend für alle E‑Scooter-Anbieter, die QR-Codes am Fahrzeug einsetzen; Bolt dient hier lediglich als exemplarische Illustration.
Verschleierung durch URL-Encoding: Sonderfall iPhone
Auf iPhones kommt eine weitere Schwachstelle hinzu: Unter bestimmten Bedingungen lässt sich die Anzeige des QR-Code-Lesers durch Adresskodierung (URL‑Encoding) so manipulieren, dass die wahre Zieladresse verschleiert wird. Apples Kamera-App versucht, zumindest Second- und Top-Level-Domain herauszuarbeiten. Bei https://www.heise-online.de erscheint etwa „heise-online.de“ – auch dann, wenn der Punkt vor „de“ in der URL als „%2e“ kodiert ist. Diese Kodierung wandelt die App korrekt zurück und zeigt weiterhin „heise-online.de“.
Anders kann es aussehen bei Adressen wie https://bolt.mobi.mba/2emba. Diese wird korrekt mit „bolt.mobi.mba“ angezeigt. Wird jedoch der Punkt vor „mba“ kodiert – also https://bolt.mobi%2emba/2emba – kann die iPhone-Kamera-App „bolt.mobi%2emba“ darstellen. Wer nicht weiß, dass „%2e“ für einen Punkt („.“) steht, hält das Ergebnis leicht für „bolt.mobi“ und irrt damit über die tatsächliche Domain. Ein „%“ und ein „/“ sind zudem schnell verwechselt – ein weiterer Umstand, der Tätern in die Hände spielt.
Android: Kurzanzeige erleichtert Täuschungen
Auf Android-Geräten ist die Erzeugung unverfänglicher Kurzansichten noch einfacher: Häufig wird nur der Anfang einer Adresse eingeblendet. Dadurch lassen sich praktisch beliebige Second‑Level‑Domains mit langen, plausibel klingenden Präfixen tarnen. Für Angreifer genügt es, seriös wirkende Namensbestandteile geschickt aneinanderzureihen.
Leicht manipulierbar: Plakate, Regalhinweise, Rabattaktionen – QR-Code – Quishing
Die mangelnde Lesbarkeit „mit bloßem Auge“ macht QR-Codes besonders anfällig. Das Auswechseln funktioniert nicht nur an E‑Scootern; Wahl- und Werbeplakate lassen sich genauso leicht mit neuen Stickern überkleben. Auch QR-Codes an Regalen in Discountern und Supermärkten – gedacht für Produktinfos oder Rabattvorteile – sind attraktive Ziele. Verstärkt wird das Risiko durch die verbreitete Praxis, Sonderpreise an App-Nutzung und Registrierung zu knüpfen. Wer wundert sich da noch, wenn nach dem Scan eine Seite im Look der Händler-App die Zugangsdaten zum bestehenden Kundenkonto abfragt? Genau darauf zielen Phishing-Kampagnen ab.
EPC-QR-Codes: Falsche Konten auf echten Rechnungen
Besonders lukrativ – wenn auch aufwendiger – ist Betrug über gefälschte Rechnungen oder vermeintliche behördliche Bescheide mit EPC‑QR-Codes. Diese Codes folgen den Vorgaben des European Payment Council und enthalten alle Informationen, die für eine SEPA-Überweisung nötig sind. Manche Banking-Apps übernehmen diese Daten direkt per Scan. Die Masche knüpft an ältere Betrügereien an, bei denen etwa Bauherren zu Abschlagszahlungen an angeblich beauftragte Handwerksbetriebe gedrängt wurden. Täter spähen Baustellen oder Betriebe aus, kompromittieren E‑Mail‑Verkehre oder fälschen Dokumente – und platzieren dann einen EPC‑QR‑Code, der unbemerkt eine abweichende IBAN einschleust. Sowohl Firmen als auch Privatpersonen geraten so ins Visier.
Unsichtbares Tracking: Wenn QR-Codes heimlich mitschreiben
Weil Kamera-Apps meist nur Ausschnitte einer URL zeigen, lassen sich problemlos Tracking-Parameter verstecken. E‑Scooter-Verleiher kodieren beispielsweise die Fahrzeug-ID in der Zieladresse. Genauso können Gutschein- oder Rabattcodes um eindeutige Kennungen ergänzt sein, die offenlegen, welcher Kunde ursprünglich adressiert war oder über welchen Werbekanal der Zugriff erfolgte. Solche Messungen sind im Marketing gängig, bleiben aber für Endnutzer oft intransparent.
Heikler wird es, wenn Anbieter von QR-Code-Diensten selbst Reichweiten tracken. Der Kurzlink-Dienst Bitly erstellt etwa QR-Codes, die auf die Domain qrco.de verweisen und von dort nahtlos auf die Zielseite weiterleiten – inklusive Auswertung im Hintergrund. Für Betroffene ist dieser Umweg praktisch unsichtbar, denn die Weiterleitung passiert ohne Hinweis und nahezu ohne Verzögerung. Aus Datenschutzsicht problematisch: Beim Sprung über US-Server können personenbezogene Daten wie die IP‑Adresse außerhalb der EU verarbeitet und gespeichert werden.
Ein konkreter Fall: Eine große deutsche Versicherung nutzte Bitlys QR‑Codes auf Briefumschlägen, um für ein spezifisches Angebot zu werben und die Resonanz gleich mitmessen zu lassen – ohne die Ziel‑URL im Klartext daneben anzugeben und ohne vorherige Einwilligung. Wer den Code arglos öffnete, offenbarte damit über die IP‑Adresse Zugehörigkeit zu einer bestimmten Empfängergruppe und Interesse an einem exakt umrissenen Produkt.
So reduzieren Sie Ihr Risiko
- QR-Codes erzeugen: Viele kostenlose Generatoren arbeiten ohne Tracking, etwa jene der TU Chemnitz oder von Cognex. Prüfen Sie dennoch jeden erzeugten Code und achten Sie darauf, dass keine versteckte Umleitung eingebaut ist.
- Unverfälschte Anzeige nutzen: Entscheidend ist eine QR-/Barcode-App, die den kompletten, unveränderten Inhalt zeigt – ohne Interpretation, Verkürzung oder automatische Zeichenumwandlung. Das schützt vor irreführenden Kurzansichten der Kamera-Apps.
- Empfehlung für die Praxis: Seit über einem Jahrzehnt bewährt haben sich „Barcode Scanners“ (iOS) bzw. „Barcode Scanner“ (Android) der Cognex Corporation. Die Apps sind kostenlos, werbefrei und – nach unseren Recherchen – ohne Datensammelei für den Hersteller. Sie sind zwar nur auf Englisch verfügbar, dienen primär als Tech-Demo des Cognex-Barcode-SDKs und lassen sich daher sehr granular konfigurieren, etwa indem spezifische Code-Typen an- oder abgeschaltet werden, um Lesegeschwindigkeit oder Energieverbrauch zu optimieren. Das Wichtigste: Der Inhalt erkannter Codes wird vollständig und unverändert angezeigt; nicht druckbare Zeichen erscheinen als Hexadezimalwerte. Auf Wunsch lässt sich der erkannte Link anschließend im Browser öffnen.
- Vorsicht bei Alternativen: Es existiert eine Fülle weiterer kostenloser QR-/Barcode-Apps. Manche finanzieren sich über Werbung oder sind mit Preisvergleichsangeboten verknüpft. Häufig bleibt unklar, ob diese Anwendungen wirklich den Rohinhalt zeigen oder intern Zeichen konvertieren – ein potenzielles Risiko.
Kamera-Scan in Standard-Apps deaktivieren
Um nicht versehentlich den gekürzten Ansichten Ihrer Kamera-App zu vertrauen, schalten Sie die QR-Funktion dort am besten ab:
- Android: Einstellungen > Apps > Kamera > Kamera-Einstellungen > „QR-Codes scannen“ deaktivieren.
- iPhone: Einstellungen > Kamera > „QR-Codes scannen“ ausschalten.
Grundregeln für den Alltag QR-Code – Quishing
- Behandeln Sie QR-Codes so skeptisch wie Links in unerwarteten E‑Mails. Öffnen Sie nicht blind jede URL, nur weil sie per Code bequem erreichbar ist.
- Geben Sie niemals Zugangsdaten auf Webseiten ein, die Sie ausschließlich über einen QR-Code aufgerufen haben. Legitimationen, Passwörter oder Zahlungsinformationen gehören nicht in Formulare, deren Herkunft Sie nicht zweifelsfrei geprüft haben.
- Prüfen Sie bei physischen Codes (Plakate, Scooter, Regale), ob Aufkleber überklebt wurden oder verdächtig wirken. Im Zweifel scannen Sie mit einer App, die den Klartext zeigt, und vergleichen Sie die Domain sorgfältig – inklusive der tatsächlichen Top-Level-Domain.
Fazit QR-Code – Quishing
QR-Codes sind praktisch, vielseitig und aus dem Alltag nicht mehr wegzudenken. Doch gerade weil der Inhalt für das menschliche Auge „unsichtbar“ ist und Kamera-Apps ihn oft nur vereinfacht darstellen, sind Manipulationen und Täuschungen leicht möglich – vom Phishing über gefälschte Zahlungen bis hin zu intransparentem Tracking. Wer die Rohdaten eines Codes vor dem Öffnen prüft, vertrauenswürdige Reader-Apps nutzt und die Scan-Funktion der Standardkamera abschaltet, schließt zentrale Einfallstore. Wachsamkeit und ein prüfender Blick auf die tatsächliche Zieladresse bleiben die besten Abwehrmaßnahmen.