Hier ist es QR-Codes sind im Zahlungsverkehr, in der Kundenkommunikation und im Onboarding allgegenwärtig – auch bei Banken und Finanzdienstleistern. Gleichzeitig sind die schnellen, beliebten Scan-Codes ein attraktiver Angriffsvektor. Das sogenannte „Quishing“ – das ist ein Akronym aus ‚QR‘ und ‚Phishing‘ – nutzt dieses Feld um über manipulierte Codes Interessenten & Kunden auf gefälschte Seiten zu lenken, Malware zu installieren oder Zugangsdaten zu entwenden. Und das damit verbundene Schadenspotenzial steigt. Gemeinsam mit unserem Partner, der Rechtsanwalts-Kanzlei Thales haben wir aus Anbieter-Seite Gefahren, Optionen und auch Chancen dieses Problem dekliniert.
Das Phänomen ‚Quishing‘ ist nicht neu. Aber Kreativität, Tempo und Umfang jener Angriffe über gefälschte QR-Codes steigt rasant an. Sicherheitsberichte melden Millionen versuchter QR-Angriffe. Behörden warnen vor realen Fällen an Parkautomaten oder per Post zugestellten ‚Mystery-Paketen‘. Für Banken und Finanzdienstleister ist das doppelt heikel: erstens als direkter Fraud-Treiber (Social Engineering, Autorisierungen, Datenabfluss), zweitens als Reputationsrisiko („meine Bank hat mich nicht gewarnt“). Die gute Nachricht: Mit einer kombinierten Agenda aus harten Kontrollen (App-Architektur, Domain-Sicherung, Erkennung & Monitoring) und weichen Maßnahmen (UX-Signale, transparente Kommunikation, Aufklärungskampagnen) lässt sich das Risiko deutlich senken – und sogar Vertrauen gewinnen. Dieser Leitfaden bündelt konkrete Maßnahmen, von QR-Governance bis Kampagnenbeispielen, die Sie morgen implementieren können.
Datenklau per Quishing – Einfallstor QR Code
QR-Codes wirken ’neutral‘, verbergen aber Ziel-URLs. Das mutet zunächst mal ideal an für Phishing und Umgehung von Schutzsystemen. Experten sehen einen sprunghaften Anstieg von QR-basierten Angriffen. Alleine im ersten Halbjahr 2025 erfasste Proofpoint 4,2 Millionen QR-bedingte Bedrohungen. Angreifer platzieren Sticker über echten Codes (Parkautomaten, Ladesäulen, Filialplakate) oder verteilen QR-Codes in PDFs/E-Mails, die klassische Mail-Filter weniger zuverlässig erkennen. Selbst Sicherheitsbehörden berichten über neue Variationen – etwa per Post verschickte Pakete mit QR-Code, der zur Dateneingabe verleitet. In Berlin warnen Behörden vor überklebten Codes an Parkscheinautomaten; das Muster ist europaweit beobachtbar. Und: Nicht alle Security-Tools dekodieren und analysieren QR-Inhalte, weshalb solche Kampagnen Kontrollketten im Unternehmen umgehen.
Die Quishing-Beispiele sind mannigfaltig. Angefangen bei überklebten QR-Codes an Park- oder Ticketautomaten, die auf täuschend echte Zahlungsseiten führen und Kundinnen und Kunden dazu verleiten, sensible Daten wie Kartendetails oder Online-Banking-Zugangsdaten einzugeben. Hinzu kommen QR-Codes in E-Mails oder PDFs, die in scheinbar seriösen Schreiben eingebettet sind und beim Scannen über das Smartphone die üblichen Sicherheitsmechanismen am Arbeitsplatz umgehen. Besonders perfide sind zudem unaufgefordert zugesandte Pakete oder Briefe, die QR-Codes enthalten und so den Weg zu Phishing-Formularen oder sogar zur Installation schädlicher Apps öffnen.
Quishing: Herausforderungen für Banken
QR-Nutzung hat seit der Pandemie stark zugenommen – von Speisekarten über eGovernment bis Payment. Entsprechend wächst das Angriffs-Ökosystem. Parallel verschärft die EU mit der Instant-Payments-Verordnung (EU) 2024/886 die Pflichten der PSPs, unter anderem mit Verification of Payee (VoP/IBAN-Name-Check), die Zahler:innen vor fehlgeleiteten Überweisungen warnen soll – relevant, wenn Quishing in eine SEPA-Überweisung mündet. Für SEPA-Zahlungen existieren EPC-QR-Leitlinien (SCT/GiroCode), die strukturierte Daten bereitstellen und Plausibilitätsprüfungen (z. B. Klartext neben QR) erleichtern. Diese Bausteine können Banken in Anti-Quishing-Kontrollen integrieren.
Die Herausforderungen für Banken und Finanzdienstleister sind vielfältig. Ein zentrales Problem liegt im sogenannten Device-Shift: Kundinnen und Kunden scannen QR-Codes häufig mit privaten Geräten, die außerhalb des Bank-Ökosystems liegen und somit nicht den gewohnten Sicherheitskontrollen unterliegen. Hinzu kommt der Kanalbruch und damit ein Verlust an Kontext, da der Einstiegspunkt physisch – etwa ein Aufkleber oder Plakat – oder hybrid über ein PDF oder eine E-Mail erfolgen kann, sodass wichtige Telemetrie-Daten fehlen.
Erfolgsfaktor Vertrauen
Auch das Thema Vertrauensdesign spielt eine Rolle, denn ein QR-Code im Bank-Branding wirkt zwar seriös, lässt sich aber fälschen und bietet daher keine absolute Sicherheit. Gleichzeitig stehen Banken im Spannungsfeld zwischen Friction und Conversion: Zusätzliche Prüfungen wie Warnhinweise oder die Pflicht zur App-Nutzung erhöhen zwar die Sicherheit, können aber auch zu Abbrüchen im Prozess führen. Schließlich bleibt die Frage von Reputation und Haftung, denn auch wenn eine Transaktion technisch korrekt autorisiert wurde, erwartet der Markt eine präventive Begleitung durch die Bank – in Form von Aufklärung, Warnungen und schneller Hilfe im Ernstfall.
Quishing – Datenklau über QR Codes vorbeugen
Maßnahmenkatalog von ‚hart‘ (Technik/Prozess) bis ‚weich‘ (UX/Kommunikation)
Um Quishing wirksam zu begegnen, brauchen Banken und Finanzdienstleister einen zweigleisigen Ansatz: einerseits harte technische und organisatorische Maßnahmen, die unmittelbar in Systeme, Prozesse und physische Sicherheit eingreifen, andererseits weiche Maßnahmen, die sich auf Nutzererlebnis, Kommunikation und Aufklärung konzentrieren. Im Folgenden ein strukturierter Überblick.
‚Harte‘ Maßnahmen (Security-Engineering & Governance)
- App-first-Prinzip für sensible Flows
Keine sensiblen Interaktionen (Login, Freigaben, Karten-/Kontodaten) hinter frei scan-baren URLs. Stattdessen Universal Links (iOS) und Android App Links einsetzen: Nur Ihre verifizierten Domains öffnen sich direkt in der offiziellen Banking-App. - In-App-QR-Scanner mit Policy-Kontrollen
Bauen Sie einen Scanner in Ihre App, der Ziel-URLs im Klartext anzeigt, Allow-/Blocklists prüft, Risk-Signale erkennt und Meldungen ermöglicht. - EPC-QR (SCT/GiroCode) konsequent nutzen
Standardisierte QR-Codes für SEPA-Zahlungen nutzen; Klartextdaten parallel abdrucken. - VoP (IBAN-Name-Check) als Fallschirm
IBAN/Name-Prüfung aktivieren und Warnungen UX-wirksam platzieren. - Brand-Protection & Domain-Hygiene
DMARC/SPF/DKIM, Typosquat-Monitoring, TLS-Härtung und Verzicht auf generische URL-Shortener. - Physische Absicherung & Inspektion
Rahmen, Seriennummern und Klartextangaben direkt am Code; regelmäßige Begehungen durchführen. - Incident-Playbook & Kundenhilfe
Hotline, Sofort-Sperrpfade, Meldefunktionen in der App. - Analytik & Frühwarnung
Anomalie-Erkennung, Brand-Missbrauch-Domänen-Monitoring, Kampagnen-Intelligence.
‚Weiche‘ Maßnahmen (UX, Textbausteine, Nudging)
- Transparente Erwartungssteuerung
Direkt neben jedem QR: Zweck, Daten und Ziel-Domain in Klartext. - Fünf-Sekunden-Regel
Vor kritischen Aktionen kurze Stop/Check-Protect-Schicht. - Warnmuster
Zeitdruck-Trigger entkräften, klare Sprache. - Barrierearme Hilfe
Ein-Tap-Sperre, freundliche Kommunikation.
Kampagnen & Kommunikation: Vom Risiko zum Vertrauensgewinn
Damit QR-Sicherheit nicht nur als Pflichtaufgabe wahrgenommen wird, sondern als sichtbarer Mehrwert, sollten Banken und Finanzdienstleister das Thema kommunikativ aufgreifen. Vielmehr geht es darum, Vertrauen zu stärken, indem man proaktiv erklärt, wie man Kundinnen und Kunden schützt, und ihnen gleichzeitig Werkzeuge an die Hand gibt, mit denen sie selbst Risiken erkennen können. Aus dieser Haltung heraus kann eine Safe-Scan-Initiative entstehen, die weit über Technik hinausgeht und QR-Sicherheit zu einem Bestandteil der Markenidentität macht.
Bausteine für eine „Safe-Scan“-Initiative:
- Sicherheitsversprechen: „Unsere QR-Codes führen ausschließlich auf xyz.de oder öffnen die XYZ-App. Wir fragen niemals nach PIN/TAN per QR.“
- Tooling: In-App-„QR-Prüfer“ mit Ampellogik.
- Visuelle Kennzeichnung: Einheitliches „Safe-Scan“-Badge neben allen Bank-QRs.
- Partner-Enablement: Empfehlungen an Partnerbetriebe (EPC-QR, Klartextdaten).
- Content-Serie: Kurze Videos/Posts zur Erkennung überklebter Codes, App-Scanner usw.
- Kooperationen: Anschluss an Initiativen wie Stop/Challenge/Protect.
Was Sie in 90 Tagen schaffen können
Wer das Thema strukturiert angeht, kann in nur drei Monaten sichtbare Fortschritte erzielen. In den ersten 14 Tagen sollte ein Quick-Assessment stehen, das die aktuelle Nutzung von QR-Codes erfasst und gleichzeitig das Notfall-Playbook prüft. Die Wochen drei bis sechs könnten dienen für einen In-App-Scanner als MVP, der Anpassung von Beschilderungen anpassen und zur Konfiguration von Mail-Gateways. In der nächsten Phase – Woche sieben bis zehn – folgt die Einbindung von Partnern, der Ausbau der Brand-Protection sowie Trainings für den Kundenservice. Ab Woche elf startet dann eine Safe-Scan-Kampagne, flankiert von Telemetrie-Messungen und Iterationen, um Texte, Warnmechanismen und Prozesse weiter zu optimieren.
Quishing ist kein ‚individuelles Fehlverhalten‘. Man kann durchaus konstatieren, dass das Phänomen Ausdruck eines wachsenden Social-Engineering Ökosystems ist. Banken können das Risiko signifikant senken, wenn sie App-zentrische Architektur, EPC-Standards, VoP-Warnungen, Brand-Protection und eine klare, kundennahe Kommunikation kombinieren. Hier ist es entscheidend, Sicherheit nicht nur technisch umzusetzen, sondern auch nachvollziehbar zu erklären und in den Alltag der Kundinnen und Kunden einzubetten. Wer QR-Sicherheit so sichtbar macht, stärkt nicht nur den Schutz, sondern auch die eigene Marke. Weil die Menschen es bemerken und Vertrauen wachsen kann.
Autorenschaft
Dieser Fachartikel entstand unter fachlicher Unterstützung der Kanzlei THALES Datenschutz. Die Anwälte aus Würzburg & Tauberbischofsheim stellen interne & externe Datenschutzbeauftragte. Leistungen umfassen die prozessoptimierte Umsetzung aller Themen rund um Datenschutz & Auftragsverarbeitung.
Quellen:
Was ist Quishing (engl.)?
Was bedeutet das Kürzel MVP?
Sicherheitsrisiko Quishing
Barcodes und RFID
Die besten Banking Apps 2025
