In der thüringischen Landespolizeiinspektion Saalfeld warnte man Ende Januar 2026 vor einer neuen Welle gefälschter DHL-Benachrichtigungen mit QR-Codes, die in den Landkreisen Saalfeld-Rudolstadt, Saale-Orla und Sonneberg massenhaft in Briefkästen auftauchten – ein Phänomen, das inzwischen die Debatte um die geplante EU-Verordnung zur vereinfachten Bereitstellung von Datenschutzerklärungen per QR-Code aus dem „Digital-Omnibus"-Paket von November 2025 in ein neues Licht rückt. Zeitgleich sorgte ausgerechnet DHL selbst für Verwirrung, als die Polizei vor vermeintlich betrügerischen QR-Zetteln in Briefkästen warnte, die sich dann als echte DHL-Benachrichtigungen herausstellten – ein Vorfall, der zeigt, wie dünn die Grenze zwischen berechtigter Vorsicht und alltäglicher Verunsicherung geworden ist. Was ich an einem ganz normalen Dienstagmorgen in unserem eigenen Briefkasten fand, hat mich daran erinnert, dass diese abstrakte Bedrohung längst vor jeder Haustür in Deutschland angekommen ist.
Zuletzt aktualisiert: 4. Februar 2026
🔹 Worum es heute geht: QR-Code-Betrug per Briefkasten – wie Kriminelle mit gefälschten Strafzetteln, Bankschreiben und Paketbenachrichtigungen an persönliche Daten und Geld gelangen, und warum das Phänomen „Quishing" gerade 2025/2026 so stark zunimmt. 🔹 Was wir gelernt haben: Ein einziger unüberlegter Scan kann ausreichen, um Bankdaten preiszugeben oder Schadsoftware auf das Smartphone zu laden – doch mit ein paar einfachen Prüfschritten lässt sich das Risiko deutlich senken. 🔹 Was Leser:innen davon haben: Konkrete Erkennungsmerkmale für gefälschte QR-Codes, eine Schritt-für-Schritt-Anleitung im Schadensfall, einen Musterbrief an die Bank und aktuelle rechtliche Orientierung.
Neulich lag ein Brief in unserem Briefkasten, der auf den ersten Blick ganz offiziell aussah. Ein Strafzettel, ein QR-Code, eine klare Zahlungsaufforderung über 25 Euro wegen angeblichen Falschparkens. Mein erster Gedanke war tatsächlich: „Habe ich wirklich etwas falsch gemacht?" Das Wappen sah echt aus, die Referenznummer wirkte plausibel, und der QR-Code prangte so selbstverständlich in der Mitte des Zettels, als wäre es das Normalste der Welt. Meine Frau stand neben mir und sagte: „Scann doch schnell, dann hast du es hinter dir." Zum Glück habe ich kurz gezögert. Der Absender wirkte bei genauerem Hinsehen seltsam – eine E-Mail-Adresse aus Baden-Württemberg auf einem Berliner Polizeiformular, das in Sachsen in unserem Briefkasten gelandet war. Die Sprache war unpersönlich und stellenweise holprig. Erst als ich den Zettel abfotografierte und meinem Schwager schickte, der bei der Kripo arbeitet, kam die ernüchternde Antwort: „Das ist ein Fake. Bloß nicht scannen."
Seitdem schaue ich genauer hin – besonders bei QR-Codes. Und je mehr ich mich in das Thema eingelesen habe, desto klarer wurde mir, dass unsere Familie kein Einzelfall ist. Manchmal reicht ein Moment der Aufmerksamkeit, um viel Ärger zu vermeiden. Diesen Moment möchte ich heute mit euch teilen.
Am Anfang wussten wir gar nicht, dass es dafür einen eigenen Begriff gibt. „Quishing" – eine Zusammensetzung aus „QR-Code" und „Phishing" – beschreibt genau das, was uns passiert ist. Kriminelle nutzen QR-Codes, um Menschen auf gefälschte Webseiten zu locken, wo dann persönliche Daten, Zugangsdaten oder Zahlungsinformationen abgegriffen werden. Der entscheidende Unterschied zum klassischen Phishing per E-Mail: Der Angriff beginnt nicht digital, sondern analog. Ein Zettel im Briefkasten, ein Aufkleber am Parkautomaten, ein Plakat in der Straßenbahn – das alles wirkt vertrauenswürdiger als eine unbekannte E-Mail. Und genau das macht Quishing so gefährlich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Phishing insgesamt als eine der häufigsten Cyberbedrohungen für Verbraucherinnen und Verbraucher in Deutschland ein, und Quishing gilt als dessen am schnellsten wachsende Variante (Stand: 2026, Quelle: BSI – Die Lage der IT-Sicherheit in Deutschland 2025). (Diese Einschätzung kann sich mit zukünftigen Lageberichten verändern.)
In den ersten Tagen nach unserem Erlebnis habe ich angefangen, systematisch zu recherchieren. Was ich gefunden habe, hat mich ehrlich gesagt erschreckt. Laut einer repräsentativen Bitkom-Studie von März 2025 waren rund 61 Prozent aller Internetnutzerinnen und -nutzer in Deutschland in den vorangegangenen zwölf Monaten Opfer von Cyberkriminalität geworden. Der durchschnittliche finanzielle Schaden pro Betroffenem lag bei 181 Euro. Und besonders alarmierend: Rund zwei Prozent der Befragten gaben an, bereits Opfer von Quishing geworden zu sein – also Betrug über manipulierte QR-Codes auf vermeintlich amtlichen Schreiben oder Strafzetteln (Stand: 2025, Quelle: Bitkom Research). (Diese Zahlen beziehen sich auf eine bestimmte Erhebung und können je nach Stichprobe und Zeitraum abweichen.) Der Bitkom-Präsident selbst warnte damals öffentlich, dass Quishing „noch zu wenig bekannt" sei und man „darüber mehr informieren" müsse.
Später haben wir gemerkt, wie vielfältig die Maschen inzwischen sind. Es geht längst nicht nur um gefälschte Strafzettel. In den letzten Monaten hat die Verbraucherzentrale immer wieder vor gefälschten Bankbriefen gewarnt, die per Post verschickt werden – mit dem Logo der Commerzbank, der DKB oder anderer Institute. Diese Schreiben sehen täuschend echt aus, enthalten einen QR-Code und fordern dazu auf, ein angebliches Sicherheitsverfahren zu erneuern oder das Konto zu „legitimieren". Erst im Januar 2026 berichtete ein DKB-Kunde auf Reddit, wie er einen solchen Brief erhalten hatte, der sogar mit echter Briefmarke und korrekter Anschrift versehen war. Was ihn stutzig machte: Das Schreiben bezog sich auf eine Funktion, die angeblich im Oktober 2025 freigeschaltet worden war – aber erst drei Monate später zugestellt wurde. Er zeigte den Brief seinen Eltern. Sie sahen zunächst nichts Auffälliges. (Beispielangabe – die konkreten Erkennungsmerkmale können je nach Betrugsversuch variieren.)
Ganz ehrlich, am Anfang war mir nicht klar, wie einfach es für die Täter ist. Bastian Kipping vom Landeskriminalamt Rheinland-Pfalz brachte es in einem Interview auf den Punkt: Die Betrugsmasche sei „aus Tätersicht sehr einfach umzusetzen, weil jeder diesen QR-Code generieren kann." Tatsächlich lässt sich ein QR-Code in wenigen Sekunden kostenlos im Internet erstellen. Die Hürde ist absurd niedrig. Und die Rendite für Kriminelle offenbar hoch genug, um sogar echtes Porto zu bezahlen. Der Reddit-Nutzer mit dem DKB-Brief fasste es nüchtern zusammen: „Das ausgegebene Porto der Scammer ist schnell wieder rein, wenn sie nur einen erwischen, der darauf reinfällt." (Diese Einschätzung stammt aus einer einzelnen Schilderung und lässt sich nicht verallgemeinern.)
Rückblickend betrachtet hätte ich die Warnzeichen bei unserem eigenen Strafzettel schneller erkennen können. Aber man muss fairerweise sagen: Die Fälschungen werden immer professioneller. Laut Sicherheitsexperten haben sich QR-Code-basierte Angriffe in den vergangenen Monaten verfünffacht. KI-gestützte Werkzeuge helfen Kriminellen, Texte grammatisch korrekt zu formulieren und Dokumente visuell überzeugend zu gestalten. Die Zeiten, in denen man Phishing an schlechtem Deutsch erkennen konnte, gehen langsam zu Ende. Das BSI warnte Mitte Januar 2026 zusätzlich vor einer neuen Methode namens „Ghost Pairing", bei der Betrüger über WhatsApp Zugriff auf fremde Konten erlangen – oft in Kombination mit vorherigem Quishing (Stand: 2026, Quelle: BSI – Verbraucherinformationen). (Konkrete Fallzahlen können je nach Region und Zeitraum variieren.)
Mit der Zeit wurde uns klar, dass Quishing nicht nur per Post funktioniert, sondern an vielen Orten lauert, an denen man es nicht erwartet. In mehreren deutschen Städten, darunter Hannover, Goslar, Celle und sogar an der Ostseeküste in Waren (Mecklenburg-Vorpommern), entdeckten Behörden überklebte QR-Codes an Parkscheinautomaten. Autofahrerinnen und Autofahrer, die in Eile ihre Parkgebühr bezahlen wollten, wurden auf gefälschte Bezahlseiten geleitet. Ein besonders drastischer Fall ereignete sich in Baden-Baden, wo eine Frau durch diese Masche 2.000 Euro verlor. Das Landeskriminalamt Niedersachsen warnte bereits wiederholt. Die Düsseldorfer Rheinbahn meldete im Dezember 2024, dass Unbekannte gefälschte Plakate in Bussen und Straßenbahnen aufgehängt hatten – mit dem Logo des Verkehrsunternehmens und einem angeblichen Gewinnspiel für Deutschlandtickets. (Beispielangabe – die konkreten Schadenssummen können je nach Einzelfall erheblich abweichen.)
Was uns als Familie besonders nachdenklich gemacht hat, war die Erkenntnis, wie automatisch wir QR-Codes scannen. Seit der Corona-Pandemie sind sie überall: in Restaurants für die Speisekarte, auf Rechnungen, in der Arztpraxis. Mein Sohn, 14 Jahre alt, scannt alles, was ihm unter die Augen kommt. „Papa, das ist doch nur ein Code", sagte er, als ich ihm erklärte, warum er vorsichtig sein soll. Diese Gewöhnung – Fachleute sprechen von einem „Automatismus" – ist genau das, was Kriminelle ausnutzen. Ein QR-Code verrät auf den ersten Blick nicht, wohin er führt. Er sieht immer gleich aus: schwarze Quadrate auf weißem Grund. Harmlos. Unscheinbar. Und genau deshalb so effektiv als Werkzeug für Betrug.
Ein Punkt, der in der aktuellen Debatte häufig untergeht, betrifft die rechtliche Seite. Die Verbraucherzentrale empfiehlt, bei einem Verdacht auf Quishing sofort Strafanzeige bei der Polizei zu erstatten – das geht in vielen Bundesländern inzwischen auch über die sogenannte Online-Wache. Wer bereits Geld bezahlt oder Daten eingegeben hat, sollte umgehend die Bank kontaktieren und die betroffene Karte über den Sperr-Notruf 116 116 sperren lassen (Stand: 2026, Quelle: Verbraucherzentrale – Quishing). (Die konkreten Meldewege können je nach Bundesland und Bank variieren.) Strafrechtlich handelt es sich bei Quishing in der Regel um Betrug nach § 263 StGB, häufig in Kombination mit Fälschung beweiserheblicher Daten (§ 269 StGB) oder Ausspähen von Daten (§ 202a StGB). Bei gefälschten Polizeidokumenten kann zusätzlich Amtsanmaßung (§ 132 StGB) hinzukommen. (Diese Einordnung ist keine Rechtsberatung und kann im Einzelfall abweichen.)
Besonders interessant fand ich die Frage, wie Kommunen mit dem Problem umgehen. In Bayern wird seit Ende 2021 bei der Polizei ein digitales Verwarnungssystem mit QR-Code eingesetzt – die sogenannte „mOwi-App". Polizeibeamte erstellen Verwarnungen über dienstliche Smartphones, und die Bürgerbenachrichtigung enthält einen QR-Code, über den der Tatbestand eingesehen werden kann. Das ist grundsätzlich ein sinnvoller Schritt zur Digitalisierung. Aber es schafft gleichzeitig eine Erwartungshaltung bei Bürgerinnen und Bürgern: Wenn echte Strafzettel QR-Codes haben, warum sollte ein gefälschter verdächtig sein? Genau dieses Dilemma wird in der Debatte um die Digitalisierung behördlicher Kommunikation bislang zu wenig beachtet. (Diese Einschätzung basiert auf öffentlich zugänglichen Informationen und kann je nach Kommune variieren.)
Was mich auch überrascht hat: Die gesamtwirtschaftliche Dimension ist enorm. Laut der Bitkom-Studie „Wirtschaftsschutz 2025", die im September 2025 vorgestellt wurde, stieg der Gesamtschaden durch Datendiebstahl, Industriespionage und Sabotage in Deutschland auf 289,2 Milliarden Euro – ein Anstieg von rund acht Prozent im Vergleich zum Vorjahr. 70 Prozent dieser Summe, also gut 200 Milliarden Euro, entfielen auf Cyberangriffe. 22 Prozent der befragten Unternehmen gaben an, von Phishing-Angriffen betroffen gewesen zu sein (Stand: 2025, Quelle: Bitkom/Bundesamt für Verfassungsschutz). (Diese Zahlen beziehen sich auf Unternehmensschäden; private Schäden durch Quishing sind darin nur teilweise erfasst.) Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) berichtet, dass den Cyberversicherern allein 2023 rund 4.000 Hackerangriffe gemeldet wurden – 18,7 Prozent mehr als im Vorjahr. Ein durchschnittlicher Cyberschaden kostete 45.370 Euro (Stand: 2023, Quelle: GDV – Cybersicherheit). (Diese Werte beziehen sich auf versicherte Unternehmensschäden und spiegeln nicht die Situation privater Betroffener wider.)
Wir haben in unserer Familie nach dem Vorfall einige Regeln aufgestellt, die ich gern weitergeben möchte. Mein Schwager, der Kripobeamte, hat uns dabei geholfen. Er sagte einen Satz, den ich seitdem nicht vergessen habe: „Kein seriöser Absender – weder die Polizei, noch eine Bank, noch ein Paketdienst – verlangt jemals eine Zahlung über einen QR-Code auf einem Zettel." Das klingt simpel, aber es ist die wichtigste Faustregel, die man sich merken kann.
Hier eine Übersicht der häufigsten Quishing-Maschen und ihrer typischen Erkennungsmerkmale, die wir zusammengetragen haben:
| Masche | Typisches Erscheinungsbild | Wichtigste Warnzeichen |
|---|---|---|
| Gefälschter Strafzettel | Zettel am Scheibenwischer mit Polizei-Logo und QR-Code | Holprige Sprache, falsche Absenderadresse, Zahlung ausschließlich per QR-Code |
| Falscher Bankbrief | Offiziell wirkender Brief mit Banklogo und QR-Code zur „Konto-Legitimierung“ | Anrede „Sehr geehrte/r Kontoinhaber/in“ statt Name, zeitliche Ungereimtheiten |
| Fake-Paketbenachrichtigung (DHL, Hermes) | Flyer im Briefkasten im DHL-Design: „Sendung verpasst – kein Problem“ | Keine Sendungsnummer, kein konkreter Absender, Domain endet nicht auf offizielle URL |
| Überklebter QR-Code an Automaten | Aufkleber auf Parkscheinautomaten oder E-Ladesäulen | Code fühlt sich erhaben an, sichtbare Kanten, Webseite fragt direkt Kreditkartendaten |
| Plakate im ÖPNV | Poster in Bussen/Bahnen mit Logo des Verkehrsbetriebs (z. B. Deutschlandticket) | Gewinnspiel-Versprechen, ungewöhnlich großer QR-Code, Seite fragt persönliche Daten |
(Diese Übersicht erhebt keinen Anspruch auf Vollständigkeit. Betrugsmethoden entwickeln sich ständig weiter.)
Ganz praktisch gesprochen haben wir in der Familie ein einfaches System etabliert. Wenn jemand einen verdächtigen Zettel oder Brief mit QR-Code findet, wird er zuerst abfotografiert und in unsere Familien-Chatgruppe geschickt mit der Frage: „Echt oder Fake?" Mein Schwager antwortet meistens innerhalb von Minuten. Und selbst ohne Kripobeamten im Familienkreis gibt es eine einfache Grundregel: Im Zweifel nichts scannen, sondern den angeblichen Absender über den offiziellen Weg kontaktieren – also die Nummer auf der echten Webseite der Bank, die offizielle DHL-App oder die örtliche Polizeidienststelle. Das klingt banal, aber genau diesen Schritt überspringen die meisten Menschen. Mein Schwager sagt: „Die Betrüger setzen auf zwei Dinge – Zeitdruck und Bequemlichkeit. Wenn du dir eine Minute Zeit nimmst, bist du in 99 Prozent der Fälle sicher."
Für alle, die sich fragen, was man konkret tun kann, wenn man doch auf einen betrügerischen QR-Code hereingefallen ist, haben wir folgende Schritte zusammengestellt:
✅ Schaden dokumentieren und handeln – 6 Schritte
① Sofort die Internetverbindung trennen. WLAN und mobile Daten am Smartphone deaktivieren, den Browser schließen. So wird verhindert, dass eventuell installierte Schadsoftware weiter Daten überträgt.
② Beweise sichern. Screenshots der aufgerufenen Webseite anfertigen, den Zettel oder Brief aufbewahren und abfotografieren. Datum, Uhrzeit und Fundort notieren. Diese Dokumentation ist für eine spätere Anzeige und für die Bank wichtig.
③ Bank und Kartenanbieter kontaktieren. Falls Zahlungsdaten oder Kontoinformationen eingegeben wurden, sofort die Bank anrufen und die Karte sperren lassen. Der bundesweite Sperr-Notruf lautet 116 116 (erreichbar rund um die Uhr). Kontoauszüge auf unbekannte Abbuchungen prüfen. (Der Sperr-Notruf funktioniert für die meisten deutschen Banken und Sparkassen – im Einzelfall kann es Ausnahmen geben.)
④ Passwörter ändern. Alle Passwörter ändern, die auf dem betroffenen Gerät gespeichert waren oder die auf der gefälschten Seite eingegeben wurden – insbesondere für E-Mail, Online-Banking und häufig genutzte Dienste. Idealerweise einen Passwort-Manager verwenden und Zwei-Faktor-Authentifizierung aktivieren.
⑤ Strafanzeige erstatten. Anzeige bei der örtlichen Polizeidienststelle oder über die Online-Wache des jeweiligen Bundeslandes erstatten. Je mehr Anzeigen eingehen, desto besser können Ermittlungsbehörden Muster erkennen und Tätergruppen identifizieren. Nur etwa 26 Prozent der Betroffenen erstatten tatsächlich Anzeige (Stand: 2025, Quelle: Bitkom Research).
⑥ Smartphone auf Schadsoftware prüfen. Eine aktuelle Antivirensoftware installieren und das Gerät scannen. Bei Verdacht auf tiefergehende Kompromittierung kann es sinnvoll sein, das Gerät auf Werkseinstellungen zurückzusetzen – vorher wichtige Daten sichern.
Was viele nicht wissen: Die Polizei und das BSI haben gemeinsam eine Checkliste für Phishing-Opfer erstellt, die auch für Quishing-Fälle anwendbar ist. Diese findet sich auf der Webseite der Polizeilichen Kriminalprävention unter polizei-beratung.de (Stand: 2026). (Die Verfügbarkeit und der genaue Inhalt können sich ändern.)
Wer seiner Bank den Vorfall schriftlich melden möchte, kann sich an folgendem Muster orientieren:
Musterbrief: Meldung eines Quishing-Vorfalls an die Bank
Betreff: Verdacht auf betrügerische Abbuchung / Quishing-Vorfall – Kontonummer [XXXXXXXX]
Sehr geehrte Damen und Herren,
am [Datum] bin ich Opfer eines sogenannten Quishing-Betrugs geworden. Über einen manipulierten QR-Code auf einem [gefälschten Strafzettel / Bankbrief / Paketbenachrichtigung] wurde ich auf eine gefälschte Webseite geleitet, auf der ich meine Zahlungsdaten eingegeben habe. Ich habe meine Karte umgehend über den Sperr-Notruf 116 116 sperren lassen und bitte Sie, sämtliche Transaktionen seit dem [Datum] zu überprüfen und gegebenenfalls rückzubuchen. Eine Strafanzeige bei der Polizei [Dienststelle / Aktenzeichen] habe ich erstattet. Bitte informieren Sie mich über die weiteren Schritte und eventuelle Fristen zur Anfechtung.
Mit freundlichen Grüßen, [Name, Adresse, Kontaktdaten]
(Dieser Musterbrief dient als Orientierungshilfe und stellt keine Rechtsberatung dar. Je nach Bank und Sachverhalt können abweichende Formulierungen sinnvoll sein.)
Etwas, das ich persönlich aus der ganzen Recherche mitgenommen habe, ist die Erkenntnis, wie wichtig Medienkompetenz innerhalb der Familie ist. Mein Sohn ist mit Smartphones aufgewachsen und hält sich für digital kompetent – aber beim Thema QR-Code-Sicherheit hatte er eine erstaunliche Wissenslücke. Meine Mutter, 72 Jahre alt, wusste wiederum gar nicht, dass ein QR-Code überhaupt auf eine Webseite führen kann. Für sie war das „so ein modernes Muster auf dem Papier". Wir haben dann einen Familienabend gemacht, an dem wir gemeinsam durchgespielt haben, wie ein typischer Quishing-Angriff abläuft. Mein Schwager hat dafür extra einen harmlosen QR-Code erstellt, der auf eine Beispielseite führte, um zu zeigen, wie leicht man auf eine professionell gefälschte Seite hereinfallen kann. Das war für alle ein Aha-Erlebnis.
Einen Aspekt möchte ich noch ansprechen, der mir besonders am Herzen liegt. Die aktuelle Situation zeigt ein grundsätzliches Dilemma der Digitalisierung: Einerseits sollen QR-Codes den Alltag vereinfachen – ob beim Bezahlen, bei der Paketverfolgung oder bei behördlichen Vorgängen. Andererseits untergräbt jeder Betrugsfall das Vertrauen in diese Technologie. Die EU diskutierte im November 2025 im Rahmen des „Digital-Omnibus"-Pakets, ob QR-Codes künftig zur vereinfachten Bereitstellung von Datenschutzerklärungen zugelassen werden sollen. Das wäre ein praktischer Fortschritt – aber nur, wenn gleichzeitig das Bewusstsein für die Risiken geschärft wird. (Diese Information bezieht sich auf den Diskussionsstand Ende 2025 und kann sich im weiteren Gesetzgebungsverfahren ändern.)
Noch ein Gedanke, der mir beim Schreiben dieses Beitrags kam: Es ist auffällig, wie sehr die Betrugswelle mit saisonalen Mustern zusammenhängt. In der Vorweihnachtszeit 2025 meldeten Verbraucherschützer und Polizei einen „drastischen Anstieg" betrügerischer Aktivitäten mit QR-Codes. Das leuchtet ein: Wenn Millionen Menschen Pakete erwarten, ist die Wahrscheinlichkeit hoch, dass jemand eine gefälschte DHL-Benachrichtigung für echt hält. Aber auch außerhalb der Feiertage funktioniert die Masche, weil Parkscheinautomaten, Bankbriefe und Strafzettel das ganze Jahr über relevant sind. Die Polizei rät deshalb zu einer dauerhaften Grundvorsicht – nicht nur in der Weihnachtszeit. (Saisonale Schwankungen können je nach Region und Betrugsform variieren.)
Abschließend möchte ich noch auf einige technische Schutzmaßnahmen hinweisen, die uns im Alltag geholfen haben. Viele Smartphone-Kameras und QR-Scanner-Apps zeigen inzwischen die Ziel-URL an, bevor sie geöffnet wird. Diese Vorschau-Funktion sollte man unbedingt nutzen. Wenn die angezeigte Adresse ungewöhnlich wirkt – etwa wenn sie im Ausland gehostet zu sein scheint (erkennbar an Endungen wie „.ru" oder „.xyz") oder wenn sie seltsame Zusätze enthält –, dann lieber nicht öffnen. Echte QR-Codes seriöser Anbieter öffnen in der Regel die offizielle App und führen nicht auf eine Webseite, die zur direkten Dateneingabe auffordert. Zudem empfiehlt das BSI, die Funktion für automatisches Öffnen von QR-Codes nach Möglichkeit zu deaktivieren (Stand: 2026, Quelle: BSI – Empfehlungen für Bürgerinnen und Bürger). (Die genauen Einstellungsmöglichkeiten unterscheiden sich je nach Betriebssystem und App.)
Wer den Verdacht hat, einen gefälschten DHL-Zettel erhalten zu haben, kann diesen direkt an die DHL-Phishing-Adresse phishing@dhl.com melden. Für allgemeine Meldungen betrügerischer Nachrichten bieten die Verbraucherzentralen ein Phishing-Radar an, das laufend aktualisiert wird.
Was bleibt, ist ein Gefühl der Wachsamkeit, das ich vorher so nicht hatte. Nicht paranoisch, aber aufmerksam. In unserer Familie scannen wir QR-Codes jetzt bewusster. Wir fragen uns: Woher kommt dieser Code? Erwarte ich etwas von diesem Absender? Sieht die Webseite nach dem Scannen plausibel aus? Diese drei Fragen dauern vielleicht zehn Sekunden – aber sie können tausende Euro sparen. Und den Ärger, der mit einem Identitätsdiebstahl einhergeht, kann man ohnehin nicht in Geld bemessen.
Häufig gestellte Fragen
„Was genau ist Quishing, und wie unterscheidet es sich von normalem Phishing?"
Als mein Nachbar mich neulich fragte, was Quishing ist, habe ich es so erklärt: Stell dir vor, du bekommst eine Phishing-Mail – aber statt per E-Mail kommt sie als Brief in deinen Briefkasten. Statt eines klickbaren Links enthält sie einen QR-Code. Der Code führt auf eine gefälschte Webseite, die genauso aussieht wie die deiner Bank oder eines Paketdienstes. Der entscheidende Unterschied: Weil QR-Codes von Antivirenprogrammen in der Regel nur als harmlose Bilder erkannt werden, umgehen sie die üblichen Sicherheitsfilter. Und weil ein physischer Brief oder Zettel grundsätzlich vertrauenswürdiger wirkt als eine unbekannte E-Mail, fallen mehr Menschen darauf herein. Die Verbraucherzentrale und das BSI warnen daher ausdrücklich davor, unbekannte QR-Codes aus Briefen, Flyern oder von öffentlichen Automaten zu scannen, ohne vorher die Quelle zu prüfen (Stand: 2026, Quellen: Verbraucherzentrale, BSI).
„Ich habe einen verdächtigen QR-Code gescannt – was soll ich jetzt tun?"
Genau das habe ich meine Schwägerin gefragt, als sie versehentlich einen Code auf einer gefälschten Paketbenachrichtigung gescannt hatte. Das Wichtigste ist: Ruhe bewahren und schnell handeln. Sofort die Internetverbindung am Gerät trennen, den Browser schließen und die aufgerufene Seite nicht weiter nutzen. Falls Zahlungsdaten eingegeben wurden, sofort die Bank anrufen und die Karte sperren – der bundesweite Sperr-Notruf 116 116 ist rund um die Uhr erreichbar. Passwörter ändern, das Gerät auf Schadsoftware scannen und eine Strafanzeige erstatten. Je schneller man reagiert, desto besser stehen die Chancen, finanzielle Schäden zu begrenzen. Verdächtige DHL-Nachrichten können zusätzlich an phishing@dhl.com gemeldet werden.
„Wie erkenne ich, ob ein Strafzettel am Auto echt oder gefälscht ist?"
Mein Schwager hat mir erklärt, worauf er als Polizist achtet: Ein echter Verwarnungszettel enthält in der Regel eine konkrete Dienststellenadresse, eine Sachbearbeiternummer und häufig handschriftliche Vermerke wie Uhrzeit und Kennzeichen. Gefälschte Zettel hingegen wirken oft „zu gedruckt", enthalten keinen persönlichen Bezug zum Fahrzeug und fordern zur Zahlung ausschließlich per QR-Code auf – ohne Alternative wie Überweisung oder persönliche Vorsprache. Sprachliche Auffälligkeiten wie „Unterschrift eines Polizisten" oder die Angabe veralteter Gesetzesparagrafen (etwa „§ 12 StVO-Gesetz vom 6. Juli 1960") sind ebenfalls starke Hinweise auf eine Fälschung. Im Zweifel empfiehlt die Polizei, den vermeintlichen Strafzettel zur nächsten Dienststelle mitzunehmen und dort den Sachverhalt zu klären – das ist in wenigen Minuten erledigt und kann viel Geld sparen.
„Können QR-Codes auch Schadsoftware auf meinem Smartphone installieren?"
Diese Frage hat mein Sohn gestellt, und die Antwort hat ihn überrascht: Grundsätzlich ja, zumindest indirekt. Ein QR-Code selbst installiert keine Software – aber er kann auf eine Webseite weiterleiten, die Schadsoftware zum Download anbietet oder Sicherheitslücken im Browser ausnutzt. Auf Android-Geräten ist das Risiko tendenziell etwas höher, weil Apps auch außerhalb des offiziellen Stores installiert werden können. Das BSI empfiehlt daher, das Betriebssystem und alle Apps stets aktuell zu halten und keine Installationen aus unbekannten Quellen zuzulassen. Grundsätzlich gilt: Wenn nach dem Scannen eines QR-Codes eine unerwartete Download-Aufforderung erscheint, sofort abbrechen.
Weiterlesen – passende Artikel
Lebensversicherung ohne Erben: Der teure Fehler, den viele erst nach dem Tod bemerken
Pflegekraft verursacht Schaden: Wer wirklich haftet – und wie Sie sich schützen
Burnout und BU: So sichern Sie Ihre Rente trotz psychischer Erkrankung
Privatinsolvenz Deutschland 2026: In 3 Jahren schuldenfrei – Ablauf, Voraussetzungen & Tipps
Umzugskostenpauschale 2026: So holen Sie sich bis zu 1.607€ vom Finanzamt zurück
