BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 25 Juni 2026

QR-Codes und Phishing: Warum der Sticker-Trick an der Parkuhr auch dein Büro trifft

QR-Codes sind überall: auf Speisekarten, Parkautomaten und Rechnungen. Doch Kriminelle kleben immer häufiger eigene Sticker darüber. So erkennst du den Trick – und so schützt du dein Team.

Vor ein paar Jahren war ein QR-Code noch eine Kuriosität aus der Werbung. Heute scannst du einen, um zu parken, um auf einer Terrasse zu bezahlen, um dich in ein Gastnetzwerk einzuloggen oder um eine Rechnung zu begleichen. Sehr praktisch. Aber genau diese Bequemlichkeit macht QR-Codes auch zu einem attraktiven Ziel für Betrüger. Der Trick heißt mittlerweile Quishing (QR + Phishing) – und er trifft den Mittelstand härter, als man denken würde.

Was ist Quishing genau?

Bei Quishing steckt die Falle nicht in einem Link in einer E-Mail, sondern in einem QR-Code. Dieser Code leitet dich auf eine gefälschte Website, die identisch aussieht wie deine Bank, dein Zahlungsdienstleister, dein Microsoft-Login oder dein Lieferant. Du gibst deine Daten ein – und der Betrüger loggt sich gleichzeitig ein.

Was es so tückisch macht: Ein QR-Code ist schlicht ein Muster aus Pixeln. Mit bloßem Auge kannst du nicht erkennen, wohin er führt. Und weil du ihn mit dem Handy scannst – oft außerhalb des Büros, oft in einem eiligen Moment – schaltet sich dein gesundes Misstrauen einfach ab.

Drei Szenarien aus den letzten Monaten

1. Der Sticker auf dem Parkautomaten

In mehreren Städten haben Betrüger ihre QR-Sticker über den echten Parkautomaten-Code geklebt. Wer scannte, landete auf einer gefälschten Bezahlseite und gab seine Bank-Zugangsdaten preis. Für einen Unternehmer, der schnell einen Kunden besucht: passiert in Sekunden.

2. Die Rechnung mit dem „praktischen" Bezahl-QR

Viele Lieferanten drucken heutzutage einen Bezahl-QR-Code auf die Rechnung. Betrüger haben das übernommen: Sie fangen eine echte Rechnung ab, tauschen den QR-Code gegen ihren eigenen aus und schicken die Rechnung erneut. Der Rest der Rechnung stimmt – nur das IBAN hinter dem QR-Code nicht.

3. Die „MFA zurücksetzen"-Mail

Eine E-Mail, die wie eine Nachricht von Microsoft 365 aussieht: „Ihre Zwei-Faktor-Authentifizierung muss neu eingerichtet werden – scannen Sie diesen QR-Code mit Ihrem Handy." Der Code führt zu einem gefälschten Anmeldebildschirm. Weil er auf dem Handy öffnet (und nicht auf dem Laptop), greifen die Filter deiner geschäftlichen E-Mail nicht, und du hast keine Adressleiste, die du gewohnt bist zu prüfen.

Warum QR-Codes gefährlicher sind als gewöhnliches Phishing

  • Du wechselst das Gerät. E-Mail auf dem Laptop → Scan mit dem Handy. Du verlässt die Sicherheitsebene deines Büros.
  • URLs sind auf Mobilgeräten schwer lesbar. Einen langen Link mit microsft-login.xyz darin erkennst du auf einem kleinen Display kaum.
  • Scanner öffnen sofort. Viele Handys öffnen den Link automatisch, ohne ihn vorher anzuzeigen.
  • Sticker sind physisch. Kein Spamfilter der Welt hält einen Sticker auf einem Pfosten auf.

Was du diese Woche tun kannst – ohne IT-Abteilung

Handy auf „URL zuerst anzeigen" einstellen

Auf den meisten iPhones und Android-Geräten kannst du einstellen, dass die Kamera bei einem QR-Code zuerst den Link anzeigt, bevor sie ihn öffnet. Mach das. Ein Tipp mehr – aber du siehst, ob da tikkie.me steht oder tikkie-betalen.support.

Eine klare Regel für Zahlungen festlegen

Bezahle niemals eine Rechnung per QR-Code, ohne dass jemand das IBAN separat geprüft hat. Das gilt besonders bei neuen Lieferanten oder geänderten Kontonummern. Zweifelst du an einem IBAN? Prüf es schnell mit unserem IBAN-Check – der zeigt dir direkt Bank und Land an, damit du ein gefälschtes Konto schneller erkennst.

Keine Logins per QR-Code

Mach daraus eine feste Hausregel: Du loggst dich niemals per QR-Code, den du per E-Mail erhalten hast, in einen geschäftlichen Dienst ein. Microsoft, dein Buchhaltungsprogramm und deine Bank werden das niemals so anfragen. Melde dich immer über dein eigenes Lesezeichen an oder indem du die URL selbst eintippst.

Physische QR-Codes kritisch betrachten

Sticker über einem Sticker? Zweifle. Lieber ein paar Minuten mehr Parkgebühren als ein leergeräumtes Konto. Beim Nachbarn geht auch noch ganz normal mit Karte oder in der App zahlen.

Kurzes Team-Training

Dafür brauchst du keine stundenlange Besprechung. Fünf Minuten beim Kaffee: Zeig diese drei Beispiele, erkläre, warum QR-Phishing im Grunde gewöhnliches Phishing in Verkleidung ist, und legt die obigen Regeln gemeinsam fest. Fertig.

Und wenn doch etwas schiefgeht?

Hat jemand im Büro nach dem Scannen eines QR-Codes seine Zugangsdaten auf einer gefälschten Seite eingegeben? Dann tu noch heute Folgendes:

  1. Passwort sofort ändern – und überall, wo dieses Passwort noch verwendet wurde.
  2. Zwei-Faktor-Authentifizierung prüfen. Steht ein unbekanntes Gerät drin? Entfernen.
  3. Zuletzt gesendete E-Mails und erstellte Regeln im Postfach prüfen – Betrüger richten häufig Weiterleitungsregeln ein.
  4. Bei einer Zahlung: Bank anrufen und den Vorfall melden.

Möchtest du die Grundlagen in Ordnung bringen, bevor etwas schiefgeht? Unsere Leistungen 2FA einrichten und E-Mail-Sicherheit schließen die am häufigsten genutzten Einfallstore, durch die Quishing eindringt. Fang dort an – einen Sticker auf einem Pfosten kannst du nicht entfernen, eine ungesicherte Mailbox schon.

Onderwerpen

#mkb #security #phishing #awareness #Mobiel

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Security für KMU ohne IT-Abteilung: Was tun Sie dieses Quartal?

Kein IT-Team, aber trotzdem Verantwortung. Diese Übersicht liefert eine klare Prioritätenliste: erst das, dann das, dann das weniger Dringende. Jeder Punkt verweist auf eine ausführlichere Anleitung.

2 min
Security zonder IT-afdeling

Dateien sicher teilen im Mittelstand: ohne dass alle eine neue App lernen müssen

Die meisten Datenpannen im Mittelstand entstehen nicht durch Hacker, sondern durch einen falsch freigegebenen Link oder ein vergessenes Gastkonto. So regeln Sie sicheres Datei-Sharing an einem Nachmittag.

5 min
Security zonder IT-afdeling

Abwesenheitsnotiz einrichten: Was du besser weglässt

Deine Abwesenheitsnotiz verrät oft mehr als du denkst: wer weg ist, wie lange und wer die Vertretung übernimmt. So richtest du die Nachricht ein, die Kollegen hilft – und Betrügern nicht.

5 min
Security zonder IT-afdeling

Sommer-Checkliste für den Mittelstand: sicher in die Urlaubszeit

Die Urlaubszeit ist genau der Moment, auf den Betrüger hoffen – halbleere Büros inklusive. Mit dieser praktischen Checkliste geht Ihr Unternehmen sicher in den Sommer.

6 min
Security zonder IT-afdeling

Laptop oder Handy weg: Was tust du in den ersten zwei Stunden?

Laptop oder Handy verloren? Was du in den ersten zwei Stunden unternimmst, entscheidet darüber, ob es ein ärgerlicher Zwischenfall bleibt oder zu einer meldepflichtigen Datenpanne wird. Eine praktische Checkliste für KMUs ohne eigene IT-Abteilung.

6 min
Security zonder IT-afdeling

Der Drucker im Büro: das Gerät, das jeder vergisst abzusichern

Ihr Multifunktionsgerät summt seit Jahren in der Ecke vor sich hin. Aber wussten Sie, dass es wahrscheinlich eine offene Weboberfläche hat, Scans in einen ungesicherten Ordner schickt und das letzte Firmware-Update verpasst hat? Zeit für einen kurzen Check.

5 min
← Alle artikelen in "Security zonder IT-afdeling"