Manipulierte QR-Codes und Quishing

QR-Codes gehören längst zum Alltag: Sie erleichtern das Öffnen von Webseiten, das Zahlen per Smartphone oder den Zugriff auf digitale Inhalte. Diese Bequemlichkeit ist zugleich ein strukturelles Risiko. Kriminelle nutzen manipulierte QR-Codes gezielt aus, um Daten zu stehlen, Zugangsdaten abzugreifen oder Banktransaktionen zu autorisieren – ein Phänomen, das inzwischen einen eigenen Namen trägt: Quishing (eine Kombination aus „QR“ und „Phishing“). Gerade im Umfeld von Kleinanzeigenplattformen und privaten Transaktionen führt Quishing zu erheblichen finanziellen Schäden.

Dieser Artikel erklärt, wie manipulierte QR-Codes und Quishing funktionieren, warum herkömmliche Schutzmechanismen wie Zwei-Faktor-Authentifizierung (2FA) nicht immer ausreichen, welche rechtlichen Problemlagen sich daraus ergeben und wie Betroffene sich effektiv schützen und rechtlich korrekt verhalten können.

Wie funktioniert Quishing technisch und psychologisch?

Ein QR-Code ist technisch nichts anderes als eine kodierte URL. Sobald ein Smartphone diesen scannt, wird ein Link geöffnet – ohne dass die Zieladresse vorher sichtbar wäre. Dieses Verhalten machen sich Angreifer zunutze, indem sie QR-Codes erzeugen, die auf täuschend echte, gefälschte Webseiten verweisen. Die Opfer öffnen nach dem Scan oft unkritisch eine Seite, die authentisch erscheint, und geben dort Zugangsdaten, TAN-Codes oder persönliche Informationen ein. In vielen Fällen gehen die Täter noch einen Schritt weiter und nutzen Social Engineering: Sie erzeugen Drucksituationen („Zahlung freigeben, sonst verfällt das Angebot“), um eine 2FA-Bestätigung zu erzwingen.

Im klassischen Phishing werden manipulierte E-Mails mit Links versendet. Beim Quishing hingegen wird der „Link“ bereits als QR-Code verteilt – über Messenger, Anzeigenportale, gedruckte Flyer, Aufkleber an öffentlichen Orten oder direkte Zuschriften. Dies führt dazu, dass Quishing-Angriffe in Situationen stattfinden, in denen Nutzer die Quelle subjektiv als „sicher“ einschätzen, z. B. im Chat mit vermeintlichen Käufern/Verkäufern oder via persönlicher Nachricht.

Typische Angriffszenarien – besonders bei Kleinanzeigen

Besonders stark ausgeprägt ist das Risiko bei Kleinanzeigenhandel und sonstigen Peer-to-Peer-Geschäften. Hier spielen mehrere Faktoren zusammengenommen:

• Zunächst wird ein scheinbar seriöser Kontakt aufgebaut, etwa im Chat einer gängigen Plattform.
• Der angebliche Käufer oder Verkäufer sendet einen QR-Code mit der Behauptung, dies sei der offizielle Zahlungslink, ein Versandlabel oder ein Verifizierungsprozess.
• Das Opfer scannt und wird auf eine täuschend echte Anmeldeseite geführt, die beispielsweise den Login zu einem Zahlungsdienst nachahmt.
• Nach Eingabe von Zugangsdaten oder der Bestätigung einer Transaktion kommt es zur Übertragung von Daten an die Täter oder zur ungewollten Zahlungsfreigabe.

Im Kleinanzeigenkontext lässt sich eine weitere spezielle Täterlogik beobachten: Der QR-Code wird genutzt, um eine vermeintliche Legitimation zu erzeugen („Das ist die sichere Zahlungsseite“), obwohl keine direkte Verbindung zur eigentlichen Plattform besteht. Die Folge sind häufig nicht nur finanzielle Verluste, sondern auch Identitätsmissbrauch und Account-Übernahmen.

Zwei-Faktor-Authentifizierung (2FA): Schutzmechanismus mit Grenzen

In der Rechts- und Sicherheitsberatung wird oft auf Zwei-Faktor-Authentifizierung verwiesen. 2FA soll sicherstellen, dass ein Zugang nur mit zwei unabhängigen Nachweisen möglich ist, etwa Passwort und zusätzlichem Code oder einer Push-Bestätigung.

Grundsätzlich reduziert 2FA das Risiko, dass ein bloß gestohlenes Passwort ausreicht, um unautorisiert in ein Konto einzudringen. In der Praxis zeigen sich jedoch zwei Schwachstellen:

1. Sozialer Aspekt: Wenn der Nutzer durch eine gefälschte Legitimation zur Freigabe aufgefordert wird, bestätigt er die Transaktion gerade bewusst und aktiv, wenn auch unter Täuschung. Der Mechanismus von 2FA wird damit nicht „umgangen“: Er wird vom Opfer selbst ausgeführt.
2. Technische Ausprägung der 2FA: Die Phishing-Toleranz unterscheidet sich je nach Art des zweiten Faktors:
   • Bei SMS-TAN oder zeitbasierten App-Codes kann der generierte Code direkt in einer gefälschten Seite eingegeben werden.
   • Push-Bestätigungen in Banking-Apps sind besonders tückisch: Sie erscheinen auf dem legitimen Gerät und werden oft bestätigt, ohne dass der Nutzer die Konsequenzen vollständig erfasst.

Nur 2FA-Methoden mit kryptographischer Bindung an die legitime Domain (z. B. Sicherheitsschlüssel nach FIDO-Standard) reduzieren dieses Risiko erheblich. Diese werden allerdings von vielen Diensten noch nicht flächendeckend unterstützt.

Präventionsstrategien: Sicherheit jenseits technischer Mechanismen

Technische Schutzmaßnahmen sind wichtig, aber nicht ausreichend. Rechtsberatung und Cybercrime-Prävention setzen daher auf ein Zusammenspiel aus Technik, Bewusstsein und Prozessregeln:

• QR-Codes sind immer wie fremde Links zu behandeln. Wenn möglich, sollte die Ziel-URL vor dem Öffnen geprüft werden, z. B. durch eine Vorschau oder durch Verwendung eines QR-Scanners, der eine URL-Vorschau ermöglicht.
• Bei Geldtransaktionen gehört es zur gebotenen Sorgfaltspflicht, Zahlungen ausschließlich über die offiziellen Seiten oder Apps des Zahlungsdienstes bzw. der betreffenden Plattform anzustoßen.
• Die Bestätigung einer 2FA-Abfrage sollte nicht reflexartig erfolgen, sondern stets unter Prüfung des konkreten Zwecks, der Transaktionsdetails und der Einordnung in den Kontext.
• Von „Off-Platform“-Links ist grundsätzlich Abstand zu nehmen. Seriöse Anbieter stellen eigene, geschützte Workflows zur Verfügung.
• Im öffentlichen Raum kann das Aufkleben manipulierte QR-Codes betreiben (sog. „Oversticker“). Hinweise wie sichtbare Überklebungen, schiefe Platzierung oder nachträglich angebrachte Aufkleber sind Warnsignale.

Diese Maßnahmen wirken nicht nur technisch, sondern sind auch rechtlich relevant. In einem etwaigen Haftungs- oder Erstattungsprozess wird geprüft, inwieweit der Betroffene die typischen Warnsignale erkennen konnte oder ob er seine Sorgfaltspflichten verletzt hat.

Rechtliche Einordnung: Erstattung, Haftung und grobe Fahrlässigkeit

Kommt es zu einem unautorisierten Zahlungsfluss, sind die Rechtsgrundlagen in erster Linie im Zahlungsdienste- und Bankrecht zu suchen, insbesondere in den §§ 675u ff. BGB. Der Anspruch auf Erstattung unautorisierter Zahlungen ergibt sich grundsätzlich aus § 675u BGB. Die Erstattungsregelung sieht vor, dass der Zahlungsdienstleister den Betrag ohne Verzögerung zurückerstatten muss, wenn die Zahlung nicht vom Zahler autorisiert wurde.

Gleichzeitig erlaubt § 675v BGB dem Zahlungsdienstleister, bei grob fahrlässigem Verhalten des Kunden die Haftung zu kürzen oder zu verweigern. Ob ein Verhalten als grob fahrlässig einzustufen ist, hängt vom konkreten Einzelfall ab. Die dürftige Rechtsprechung in diesem Bereich betont regelmäßig, dass bei offensichtlichen Sicherheitsverstößen oder Ignorieren von Warnhinweisen eine grob fahrlässige Pflichtverletzung vorliegt.

Für Betroffene bedeutet dies: Auch wenn technische Manipulationen vorliegen, wird die Frage im Streitfall nicht allein über das Vorhandensein einer Täuschung entschieden, sondern darüber, ob der Sicherheitsverstoß objektiv erkennbar war und die betroffene Person die üblichen Sorgfaltsmaßstäbe verletzt hat. Eine sorgfältige Dokumentation des Vorfalls und der eigenen Handlungen ist dabei entscheidend.

Was tun, wenn Betroffenheit vorliegt?

Im Falle eines tatsächlichen oder vermuteten Quishing-Angriffs empfiehlt sich ein strukturiertes Vorgehen:

1. Transaktion sofort stoppen: Zahlungsverkehr aussetzen, Zugangsdaten ändern, relevante Passwörter aktualisieren.
2. Bank/ Zahlungsdienstleister informieren: Sperrung von Konten und Karten veranlassen.
3. Erstattung beantragen und rechtsverbindlich dokumentieren: Fristgerechte, schriftliche Erklärung gegenüber dem Zahlungsdienstleister, ggf. mit Nachweisen.
4. Anzeige erstatten: Strafanzeige wegen Betrugs bzw. Phishing/Quishing bei der Polizei stellen; Beweismittel sichern.
5. Kommunikation mit der Plattform: Anbieter von Kleinanzeigen/Webdiensten informieren, um weitere Schäden zu verhindern.

Dieses Vorgehen dient nicht nur der Schadensbegrenzung, sondern kann im Rahmen späterer rechtlicher Auseinandersetzungen entscheidende Bedeutung erlangen.

Fazit

Die Kombination aus visueller Glaubwürdigkeit, mobiler Komfortorientierung und mangelnder URL-Transparenz macht manipulierte QR-Codes und Quishing zu einer realen Gefährdung – insbesondere in Kontexten, in denen Transaktionen zwischen Privatpersonen stattfinden. Klassische Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung sind wichtig, aber sie ersetzen nicht eine kritische Prüfung, bewusste Handlung und anspruchsvolle Verhaltensregeln.

Im Zweifel ist es ratsam, Transaktionen nur über offizielle Workflows abzuwickeln und bei Unklarheiten nicht zu scannen, sondern direkt über die App bzw. den Browser zu agieren. Im Ernstfall sollten Betroffene schnell handeln, um rechtliche Ansprüche zu wahren und mögliche Haftungsfragen professionell klären zu können.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.