Quishing: Warum ich QR-Codes vor dem Scannen prüfe – und wie Sie sich rechtlich und praktisch schützen

Ich erinnere mich an eine Szene, die heute alltäglich wirkt: Ich stehe am Parkautomaten, vor mir ein freundlich wirkender Hinweis mit einem QR-Code. „Einfach scannen und bequem mit dem Smartphone zahlen“, heißt es. Ein Griff zur Kamera, ein kurzer Scan – beinahe hätte ich bestätigt, was ich gar nicht wollte. Denn der Link, den mein Smartphone kurz einblendet, wirkt auf den ersten Blick seriös, auf den zweiten nicht mehr. Der Domainname war minimal verändert, ein typischer Fall von Quishing. Genau das macht diese Masche so gefährlich: Sie spielt mit unserer Routine, unserer Eile und dem Vertrauen in ein scheinbar neutrales Quadrat aus Pixeln. Als Rechtsanwalt, der täglich mit IT-Recht und den Folgen digitaler Täuschungen zu tun hat, rate ich: QR-Codes sind praktisch – aber sie sind keine Abkürzung für Sorgfalt.

Was Quishing ist – und warum es so gut funktioniert

Quishing ist Phishing über QR-Codes. Kriminelle erzeugen einen Code, der auf eine gefälschte Website führt. Dort sammeln sie Anmeldedaten, Zahlungsinformationen oder bewegen Betroffene dazu, scheinbar harmlose „Bestätigungen“ vorzunehmen, die in Wahrheit Zahlungen auslösen oder Zugangsdaten preisgeben. Die Verbraucherzentrale Brandenburg beschreibt die Methode anschaulich und warnt seit Monaten in ihrem Phishing-Radar vor gefälschten QR-Codes in E-Mails, Briefen und im öffentlichen Raum, etwa in Verkehrsmitteln, an Parkautomaten oder sogar auf vermeintlichen Strafzetteln (siehe etwa: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/quishing-falsche-qrcodes-in-mails-briefen-oepnv-und-strassenverkehr-98612).

Warum funktioniert das so gut? Ein QR-Code verschleiert die Zieladresse. Anders als bei einem Link in einer E-Mail, den ich sehen und prüfen kann, zeigt das Quadrat selbst nichts. Ich muss mich darauf verlassen, was mein Gerät mir nach dem Scan anzeigt. Viele Smartphones blenden den Link vor dem Öffnen ein – eine wichtige Schutzfunktion. Aber unter Zeitdruck, im Gedränge oder bei vermeintlich offiziellen Hinweisen übersieht man leicht, ob dort wirklich „paypalPayPal ist ein weltweit führender Anbieter von Online-Zahlu... Mehr.com“ steht oder eine täuschend ähnliche Adresse mit einem zusätzlichen Bindestrich, einer exotischen Endung oder einem unauffälligen Buchstabenwechsel. Genau in diese Sekunde der Unachtsamkeit dringt Quishing.

Ein aktuelles Betrugsszenario aus der Praxis

In der Beratungspraxis sehe ich immer wieder Varianten desselben Musters. Ein typischer Fall betrifft Second-Hand-Plattformen. Ein vermeintlicher Käufer bittet darum, über einen QR-Code eine Zahlung zu „autorisieren“. Was seriös klingt, führt auf eine täuschend echte PayPal-Login-Seite. Wer dort seine Zugangsdaten eingibt, meldet sich in Wirklichkeit auf einer Phishing-Seite an; die Daten fließen direkt zu den Betrügern. In einem dokumentierten Fall wurden kurz darauf mehrere Zahlungen in Höhe von insgesamt über 3.000 Euro ausgelöst. Die Fälschungen sind heute so gut, dass selbst aufmerksame Nutzerinnen und Nutzer auf den ersten Blick keinen Unterschied erkennen. Das deckt sich mit den Warnungen der Verbraucherzentrale sowie Berichten öffentlich-rechtlicher Medien über gefälschte QR-Codes an Parkautomaten und in ÖPNV-Umgebungen (beispielsweise: https://www1.wdr.de/nachrichten/easypark-quishing-parken100.html; https://www.rbb-online.de/supermarkt/sendungen/20241202_2015/quishing-so-funktioniert-der-betrug-mit-qr-codes.html).

Was mich an Quishing besonders beschäftigt, ist der Brückenschlag zwischen digitaler und analoger Welt. Die Täter bekleben reale Geräte mit kleinen Aufklebern, tauschen Codes auf Plakaten aus oder versenden täuschend echte Briefe mit QR-Kästchen an Stellen, die wir mit „offiziellen Vorgängen“ verbinden. Das weckt Vertrauen – und senkt die Hemmschwelle, zu scannen.

Die wichtigsten Warnsignale – aus meiner juristischen und praktischen Sicht

Ich berate Unternehmen, Selbstständige und Ärztinnen und Ärzte. In all diesen Kontexten ist eines zentral: Der Zahlungsfluss und der Kommunikationskanal müssen unter Ihrer Kontrolle bleiben. Wenn eine Gegenpartei Sie aus etablierten Abläufen herausführt, ist besondere Vorsicht geboten. Auf Plattformen sollten Sie die vorgesehenen Zahlungswege nutzen; wer auf eine Abwicklung außerhalb der Plattform drängt, zielt häufig auf den Verlust der eingebauten Sicherheitsmechanismen. Eine „zusätzliche Zahlungsbestätigung“ über einen externen QR-Code ist bei seriösen Diensten untypisch. Ich empfehle daher, Zahlungswege selbst zu bestimmen, Apps und Webseiten über Lesezeichen oder die offizielle App zu öffnen und keine Logins oder Zahlungen aus einem QR-Scan heraus zu starten, der von der Gegenseite initiiert wurde.

Ein zweites wichtiges Signal betrifft das Timing. Gerade wenn es „schnell gehen“ soll, wenn Fristen ins Spiel gebracht werden oder angeblich Nachteile drohen, lohnt es sich, innezuhalten. Diese Dringlichkeit ist ein klassisches Druckmittel im Social Engineering. Wer wirklich seriös ist, respektiert Prüfungsschritte. Ich halte es für sinnvoll, die Devise zu verinnerlichen: Ich scanne keinen QR-Code unbekannter Herkunft. Wenn ich scannen muss, prüfe ich die Zieladresse in Ruhe, bevor ich öffne. Und wenn ich mich bei einem Dienst anmelden möchte, starte ich die App bewusst selbst – ich lasse mich nicht dahin „fallen“.

Was das BSI rät – und was ich daraus ableite

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ordnet Quishing explizit als Variante des Phishings ein und nennt typische Mischformen wie Smishing (per SMSEine SMS (Short Message Service) ist ein Telekommunikationsd... Mehr) und Vishing (per Telefon). Das Grundprinzip bleibt: Täuschung der Identität, um Zugangsdaten zu erlangen oder Zahlungen auszulösen. Das BSI rät, QR-Codes mit der gleichen Skepsis zu behandeln wie Links in E-Mails – also Zieladressen prüfen, Absenderkontext hinterfragen und niemals spontan Zugangsdaten eingeben, wenn die Situation nicht eindeutig ist (siehe: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/passwortdiebstahl-durch-phishing.html). Für die Praxis bedeutet das: Ich setze auf technische und organisatorische Maßnahmen zugleich. Die Technik hilft mir, die URL vor dem Öffnen zu sehen und 2-Faktor-Authentifizierung zu verwenden. Die Organisation sorgt dafür, dass ich unnötige Scans vermeide, verdächtige Situationen erkenne und intern klare Regeln habe, wer wann wie Zahlungen freigibt.

Zwei-Faktor-Authentifizierung: Das zusätzliche Hindernis, das Betrüger nicht mögen

Wenn es um Logins und Zahlungen geht, hat sich die Zwei-Faktor-Authentifizierung (2FA) bewährt. Bei PayPal kann ich 2FA sowohl für den Login als auch für einzelne Zahlungen aktivieren. Das erhöht den Aufwand für Angreifer erheblich. Selbst wenn sie Zugangsdaten abgreifen, scheitern sie häufig am zweiten Faktor. Ich empfehle, App-basierte Authentifizierer oder FIDO2-Sicherheitsschlüssel zu nutzen. SMS-Codes sind besser als gar kein zweiter Faktor, aber technisch weniger robust. Entscheidend ist: 2FA ersetzt nicht die Sorgfalt bei Links und QR-Codes, aber sie fängt Fehler ab, die trotz aller Vorsicht passieren können. In Unternehmen und Praxen sollte 2FA verbindlicher Standard für alle zentralen Konten sein, inklusive E-Mail-Postfächern, denn dort setzen Angreifer oft zuerst an, um Passwort-Resets für andere Dienste auszulösen.

So prüfe ich QR-Codes, bevor ich handle

Im Alltag hat sich bei mir eine einfache Routine bewährt. Nach dem Scan schaue ich mir die eingeblendete URL genau an. Ich achte auf den Domainkern, also auf das, was direkt vor der Endung wie .de oder .com steht. Steht dort wirklich „paypal.com“ oder „meinebank.de“? Oder ist es „pay-pal.com“, „paypal.secure-pay.de“ oder eine exotische Endung, die offiziell wirkt, aber nichts mit dem Anbieter zu tun hat? Ich öffne Links, die ich nicht sicher zuordnen kann, grundsätzlich nicht. Brauche ich dennoch den Dienst, öffne ich die App oder die bekannte Website direkt über mein Lesezeichen. Linkverkürzer wie bit.ly erschweren die Einschätzung; auch hier gilt: Ich setze auf den direkten Weg, nicht den angebotenen Shortcut. Und ich schaue auf das Zertifikatssymbol im Browser. Ein gültiges HTTPS-Zertifikat ist keine Garantie für Seriosität, aber ein fehlendes Zertifikat ist ein klares Alarmsignal.

Quishing im öffentlichen Raum: Kleber, Aufsteller und vermeintliche Amtspost

Die Verbraucherzentralen berichten regelmäßig von überklebten Codes an Ladesäulen und Parkautomaten. Ich verlasse mich in solchen Fällen nicht auf Aufkleber, die auf den ersten Blick professionell wirken. Ein minimal schiefer Winkel, unterschiedliche Schriftarten oder ein QR-Code, der nicht nahtlos in das Gerätedesign integriert ist, sind für mich Aufforderungen, einen Schritt zurückzutreten. Wenn mein Parkticket oder meine Park-App ohnehin eine integrierte Zahlungsfunktion hat, nutze ich diese und nicht den Code am Gerät. Bei angeblichen Strafzetteln mit QR-Code prüfe ich den Ursprung. Behörden in Deutschland arbeiten sehr formalisiert; spontane QR-Zahlungen ohne Widerspruchsmöglichkeit oder ohne Aktenzeichen, das ich über den offiziellen Webauftritt prüfen kann, passen nicht in dieses Muster. Ich nehme in solchen Fällen den offiziellen Weg: Ich suche die Website der Behörde selbst auf, nutze das Kontaktformular oder rufe die zentrale Nummer an, die auf der offiziellen Seite genannt ist.

Quishing auf Plattformen: Warum ich nie die Kontrolle über den Zahlungsweg abgebe

Auf Marktplätzen oder in Portalen für gebrauchte Waren nutze ich die dort vorgesehenen Bezahl- und Kommunikationswege. Wer von mir verlangt, die Abwicklung „wegen Schnelligkeit“ auf einen externen Kanal zu verlagern, kassiert ein höfliches Nein. Eine zusätzliche „Zahlungsbestätigung“ über einen QR-Code passt nicht zu seriösen Abläufen. Der Verkäufer bestimmt den Zahlungsweg – nicht der Käufer. Wenn die Gegenseite Druck macht, ist das ein selbst erklärender Grund zum Abbruch. Diese Haltung schützt nicht nur mich persönlich. In Teams und Unternehmen ist sie Teil einer klaren Risikokultur: Prozesse sind dafür da, uns zu schützen. Wer sie umgeht, tut das nicht zu unserem Vorteil.

Was Unternehmen, Praxen und Selbstständige konkret tun sollten

In meinem Mandantenkreis hat sich ein pragmatischer Dreiklang bewährt. Erstens definieren wir verbindliche Regeln, welche QR-Codes überhaupt gescannt werden dürfen und mit welchen Endgeräten. Private Smartphones sind häufig schlechter abgesichert als Dienstgeräte mit Mobile-Device-Management. Wenn Scans notwendig sind, erfolgt das über definierte Geräte mit aktuellem Betriebssystem, aktivem Virenschutz und gehärteten Browsereinstellungen. Zweitens schärfen wir die Abläufe im Zahlungsverkehr. Freigaben erfolgen nur in eigenen Systemen oder in offiziellen Apps. Ungeplante Freigaben, die durch Dritte ausgelöst werden sollen, sind ausgeschlossen. Das Vier-Augen-Prinzip und klare Vertretungsregelungen verhindern, dass in Stresssituationen aus dem Bauch heraus gehandelt wird. Drittens investieren wir in Sensibilisierung. Eine halbe Stunde Schulung zur Erkennung typischer Muster, ergänzt um interne Kommunikationskanäle für schnelle Rückfragen, senkt das Risiko deutlich. Wenn eine Mitarbeiterin unsicher ist, soll sie jederzeit „Stop“ sagen dürfen. Das ist gelebte Sicherheit.

Die rechtliche Einordnung: Welche Ansprüche bestehen, wenn doch etwas passiert?

Wenn Quishing gelingt und Zahlungen abgeflossen sind, stellt sich die Haftungsfrage. Juristisch ist zu unterscheiden, über welchen Kanal die Zahlung lief. Bei klassischen Banküberweisungen greift das Zahlungsdiensteaufsichtsgesetz (ZAG) in Verbindung mit den zivilrechtlichen Regeln der Zahlungsdiensterichtlinie (PSD2). Grundsatz: Nicht autorisierte Zahlungsvorgänge hat der Zahlungsdienstleister dem Zahler zu erstatten. Eine Autorisierung liegt nur vor, wenn der Zahler zugestimmt hat. Bei Phishing-Fällen ist der Streitpunkt häufig, ob die Zustimmung wirksam war und ob ein „grobes Verschulden“ des Zahlers vorliegt. Wer beispielsweise Sicherheitsregeln der Bank offensichtlich missachtet, kann sich einem Mitverschuldenseinwand ausgesetzt sehen. Die Rechtsprechung ist hier stark einzelfallbezogen.

Bei PayPal und anderen E-Geld-Diensten gelten eigene Nutzungsbedingungen. PayPal ist kein klassisches Bankkonto, sodass die PSD2-Regeln nicht eins zu eins anwendbar sind. Gleichwohl gibt es Mechanismen für Käuferschutz, Verkäufer­schutz und die Meldung unautorisierter Zugriffe. In meiner Praxis kommt es auf die Details an: Wurde ein Login tatsächlich vom Betroffenen durchgeführt? Lag eine 2FA-Bestätigung vor? War die Benutzeroberfläche offensichtlich gefälscht? Welche IP-Adressen und Geräte tauchen in den Sitzungsprotokollen auf? Je genauer die Dokumentation, desto besser stehen die Chancen, Erstattungen zu erreichen oder zumindest den Schaden zu begrenzen.

Wichtig ist aus meiner Sicht die Geschwindigkeit. Wer Unregelmäßigkeiten bemerkt, sollte den Zahlungsdienst sofort informieren, das Konto sichern, laufende Zahlungen stoppen und 2FA aktivieren. Parallel empfehle ich, Strafanzeige zu erstatten. Das schafft eine offizielle Spur und verbessert die Möglichkeiten, gegenüber Zahlungsdienstleistern die Ernsthaftigkeit des Vorfalls zu untermauern. Auch zivilrechtlich sind Fristen zu beachten; zögern kostet Optionen.

Beweissicherung: Was ich sammle, bevor Spuren verschwinden

Bei digitalen Vorfällen verschwinden Spuren schnell. Ich sichere deshalb sofort Screenshots des QR-Codes, der eingeblendeten URL, der gefälschten Seite, der Browseradresszeile und eventueller Zertifikatsdetails. E-Mails drucke ich mit vollständigen Headern aus, Messenger-Chats exportiere ich, soweit möglich, unverändert. Im PayPal-Konto lohnt sich ein Blick in die Übersicht aktiver Sitzungen und verbundener Geräte; die Informationen exportiere ich. Wenn Zahlungen ausgelöst wurden, sichere ich Transaktionsnummern, Zeitstempel, Beträge und Empfänger. Diese Fakten bilden später die Basis für die Kommunikation mit PayPal, der Bank, der Polizei und – falls notwendig – für zivilrechtliche Schritte.

Gerätesicherheit: Warum ich nach einem Quishing-Versuch nicht nur Passwörter ändere

Selbst wenn ich nur Zugangsdaten eingegeben habe, ohne eine Datei herunterzuladen, prüfe ich das Endgerät. Viele Phishing-Seiten sind rein auf Datendiebstahl ausgelegt, aber manche Angriffsketten versuchen zusätzlich, Schadsoftware zu installieren. Ich lasse daher einen aktuellen Virenscan laufen, prüfe Browser-Erweiterungen, leere Caches und Cookies und logge mich über die Sicherheitsfunktionen der betroffenen Dienste auf allen Geräten aus. Passwörter ändere ich konsequent, beginnend mit dem E-Mail-Konto, denn darüber laufen viele Rücksetzprozesse. Passwortmanager mit starken, einzigartigen Passwörtern sind hier eine große Hilfe. Wo verfügbar, aktiviere ich 2FA nach. Einmal kompromittierte Passwörter nutze ich nirgendwo erneut.

Besonderheiten im Gesundheitswesen und in regulierten Branchen

Für Ärztinnen und Ärzte, Apotheken und andere Einrichtungen mit besonderen Datenschutzpflichten kommt ein weiterer Aspekt hinzu. Ein kompromittiertes Konto kann mehr betreffen als Geld: Termine, Patientendaten, interne Kommunikation. Ich empfehle hier, QR-Codes im Praxisbetrieb grundsätzlich restriktiv zu behandeln und interne Richtlinien schriftlich zu fixieren. Mitarbeitende sollten wissen, dass sie QR-Codes externer Herkunft nicht scannen und Logins nur über definierte Wege vornehmen. Gerade in Wartebereichen tauchen gelegentlich fremde Flyer auf; sie verschwinden, ohne dass man weiß, wer sie ausgelegt hat. Hier ist Aufmerksamkeit gefragt.

Typische Gegenargumente – und wie ich ihnen begegne

Oft höre ich: „Aber QR-Codes sind doch Alltag, das macht doch jeder so.“ Ja, QR-Codes sind nützlich und werden bleiben. Doch Routine darf nicht zu Blindheit führen. Ich halte mich an eine einfache Regel: Ich benutze QR-Codes dort, wo ich dem Ursprung vertraue – auf der Rechnung meines langjährigen Dienstleisters, die ich vorher inhaltlich geprüft habe, oder auf der offiziellen Website, die ich selbst geöffnet habe. Ich verzichte dort, wo der Code mir einen neuen, fremdgesteuerten Prozess anbietet. Das ist keine Technikfeindlichkeit, sondern moderne Sorgfalt.

Ein zweites Argument lautet: „Ich habe doch 2FA, mir kann nichts passieren.“ 2FA ist exzellent, aber kein Allheilmittel. Es gibt Szenarien, in denen Angreifer in Echtzeit eingegebene Codes abgreifen, etwa durch sogenannte Man-in-the-Middle-Seiten. Das ist aufwendig, aber möglich. Wer 2FA nutzt und trotzdem in die Falle gerät, ist nicht „selbst schuld“. Umso wichtiger ist es, Vorfälle ruhig, strukturiert und dokumentiert anzugehen – und sich rechtlich beraten zu lassen.

Aktuelle Hinweise und seriöse Informationsquellen

Ich halte mich über Warnungen seriöser Stellen auf dem Laufenden und empfehle das auch meinen Mandanten. Die Verbraucherzentralen betreiben einen Phishing-Radar, der regelmäßig Quishing-Maschen dokumentiert und verständlich erklärt (https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/quishing-falsche-qrcodes-in-mails-briefen-oepnv-und-strassenverkehr-98612). Das BSI bündelt Informationen zu Phishing und seinen Unterarten sowie konkrete Schutzmaßnahmen für Verbraucherinnen und Verbraucher (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/passwortdiebstahl-durch-phishing.html). Polizei und Landesstellen der Cybersicherheit veröffentlichen zudem praxisnahe Hinweise und Fallbeispiele, die ein gutes Gefühl für Muster vermitteln, die einem selbst begegnen könnten (z. B. https://www.polizei-beratung.de/aktuelles/detailansicht/was-ist-quishing/).

Mein Fahrplan, wenn etwas passiert ist

Wenn ich den Verdacht habe, einem Quishing-Angriff aufgesessen zu sein, handele ich in fester Reihenfolge. Zuerst sichere ich die Zugänge: Passwörter ändern, 2FA aktivieren, aktive Sitzungen beenden. Danach informiere ich den Zahlungsdienst und die Bank, sperre Karten, stoppe Zahlungen und dokumentiere alles. Als nächstes erstatte ich Strafanzeige, idealerweise mit den gesicherten Belegen. Parallel prüfe ich das Gerät und führe, wenn notwendig, eine gründlichere IT-Überprüfung durch. Schließlich kläre ich die rechtliche Lage und leite Ansprüche ein. Diese Reihenfolge hat sich bewährt, weil sie zuerst den Schaden begrenzt, dann die Beweislage festigt und erst im Anschluss die rechtliche Auseinandersetzung beginnt. Wer zu früh in Diskussionen einsteigt, ohne die Fakten festzuhalten, verschenkt oft wertvolle Chancen.

Warum Prävention sich rechnet – auch betriebswirtschaftlich

Ich weiß, dass Sicherheit im Tagesgeschäft manchmal wie ein Bremspedal wirkt. Doch die Kosten einer Stunde Schulung, einer klaren QR-Code-Policy und konsequenter 2FA sind unvergleichlich geringer als die Folgekosten eines Vorfalls: Zeitaufwand, Nerven, potenzielle Reputationsschäden, Gebühren und gegebenenfalls juristische Auseinandersetzungen. Für Unternehmen, Praxen und Selbstständige ist es ein Wettbewerbsvorteil, diese Themen strategisch zu denken. Wer in Krisenfällen handlungsfähig bleibt, schützt nicht nur Geld, sondern Vertrauen. Gerade das ist im Internet – und in Bewertungsportalen – die härteste Währung.

Mein Fazit: QR-Codes sind kein Freifahrtschein – behalten Sie die Kontrolle

Ich schätze QR-Codes für das, was sie sind: nützlich, schnell und vielseitig. Gleichzeitig weiß ich, wie perfide Quishing geworden ist. Die gute Nachricht ist, dass simple Verhaltensregeln, kluge Technik und klare Prozesse das Risiko massiv senken. Ich scanne keine QR-Codes unbekannter Herkunft undprüfe die eingeblendete Adresse. Von mir werden offizielle Apps und Lesezeichen genutzt. Ich halte 2FA aktiv. Und ich lasse mich nicht drängen. Wenn etwas dennoch schiefgeht, reagiere ich strukturiert und schnell.

Wenn Sie unsicher sind, ob ein Vorfall rechtlich angreifbar ist, oder wenn Ihr Unternehmen robuste, praxistaugliche Leitlinien gegen Quishing und ähnliche Betrugsmaschen entwickeln möchte, unterstütze ich Sie gern. Ich verbinde rechtliche Expertise mit einem klaren Blick für technische und organisatorische Realitäten. Nehmen Sie für eine kurze Einschätzung unverbindlich Kontakt auf. In der Regel kann ich kurzfristig prüfen, welche Schritte jetzt sinnvoll sind, um Schäden zu begrenzen, Ansprüche durchzusetzen und Ihre Sicherheit nachhaltig zu erhöhen.

Hinweis auf Quellen und weiterführende Informationen

Für die Einordnung und aktuelle Warnungen verweise ich auf die Verbraucherzentrale und das BSI; beide Institutionen aktualisieren ihre Hinweise fortlaufend. Relevante Startpunkte finden Sie unter:
– Verbraucherzentrale: Quishing – falsche QR-Codes in Mails, Briefen, ÖPNV und Straßenverkehr: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/quishing-falsche-qrcodes-in-mails-briefen-oepnv-und-strassenverkehr-98612
– BSI: Phishing und Quishing – Erklärungen und Schutzmaßnahmen: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/passwortdiebstahl-durch-phishing.html

Stand: August 2025. Entwicklungen in diesem Bereich sind dynamisch. Ich aktualisiere meine Empfehlungen regelmäßig, sobald sich neue Muster oder rechtliche Rahmenbedingungen abzeichnen. Wenn Sie konkrete Fragen haben oder einen Vorfall prüfen lassen möchten, melden Sie sich – ich helfe Ihnen schnell, kompetent und strategisch weiter.