Kriminelle haben eine neue Methode entwickelt, um sensible Nutzerdaten zu stehlen: Quishing. Diese Betrugsmasche, ein Kofferwort aus QR-Code und Phishing, wurde kürzlich an Parkscheinautomaten in mehreren deutschen Städten entdeckt, darunter Hannover, Berlin und Landau. Besonders betroffen ist ein beliebter Parkdienstleister.
Wie funktioniert Quishing?
Die Täter überkleben die offiziellen QR-Codes an Parkscheinautomaten mit täuschend echt gestalteten Aufklebern. Diese falschen Codes leiten ahnungslose Nutzer auf eine Fake-Webseite weiter, die der Originalseite des Parkdienstleisters nahezu identisch sieht. Hier sollen Nutzer ihre Kreditkartendaten eingeben, um den Parkvorgang zu bezahlen. Diese sensiblen Daten können von den Kriminellen missbräuchlich verwendet werden, etwa für weitere Betrugsaktivitäten oder unerlaubte Transaktionen.
Gefährliche Details und Erkennungsmerkmale
Die Fake-Codes sind optisch kaum von den echten zu unterscheiden. Oft wird ein pinkfarbener Rahmen um den QR-Code verwendet, und das Logo des Dienstleisters ist nachgeahmt. In einigen Fällen sind die Aufkleber jedoch unsauber angebracht, was auf die Fälschung hinweisen kann. Ein weiteres Merkmal: Während die echten Codes nur zur offiziellen App führen, leiten die gefälschten direkt zu einer Webseite weiter, die oft über einen Kurzlink verschleiert wird.
Tipps zur Vermeidung von Quishing-Fallen
Um sich vor dieser Art des Betrugs zu schützen, sollten Nutzer einige Sicherheitsmaßnahmen beachten:
- Prüfen des QR-Codes: Original-Codes sind fest integriert und sehen nicht wie Aufkleber aus. Sind sie auffällig angebracht, etwa über einem anderen Code, ist Vorsicht geboten.
- Direkte Nutzung der App: Statt QR-Codes zu scannen, empfiehlt es sich, die Parkzone direkt in der App einzugeben.
- Domain überprüfen: Die Fake-Webseiten verwenden oft ähnliche Domains wie „PARKDIENST_LEISTER.live“. Die echte Seite hingegen endet auf „PARKDIENST_LEISTER.de“.
- Im Zweifelsfall andere Zahlungsmethoden wählen: Wenn ein Verdacht besteht, ist die Bezahlung mit Münzen oder direkt über die Karte am Automaten sicherer.
Was tun im Betrugsfall?
Wer den falschen Code gescannt und Daten eingegeben hat, sollte umgehend handeln:
- Die Kreditkarte sperren (z. B. über den zentralen Sperr-Notruf 116116).
- Unverzüglich die Polizei informieren und Anzeige erstatten.
- Kontoauszüge auf unautorisierte Transaktionen überprüfen.
Achtsamkeit ist der beste Schutz
Quishing zeigt, wie geschickt Kriminelle moderne Technologien ausnutzen, um an persönliche Daten zu gelangen. Ein bewusster Umgang mit QR-Codes und ein geschultes Auge für Unregelmäßigkeiten können helfen, sich vor dieser Bedrohung zu schützen. Unternehmen und auch die Polizei warnen eindringlich und raten zur Vorsicht. Bleiben wir aufmerksam, um den Tätern einen Schritt voraus zu sein.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
