15. April 2025 8 Min
#Laden

Vorsicht Quishing: Wie man gefälschte QR-Codes an der Ladesäule erkennt

QR-Codes begegnen uns heute überall: auf Plakaten, in Restaurants, beim Ticketkauf – und auch an Ladesäulen für Elektroautos. Die kleinen, schwarz-weißen Quadrate haben viele Vorteile, werden jedoch immer häufiger von Kriminellen für das sogenannte Quishing genutzt. Wir erklären, wie die Betrugsmasche funktioniert und wie man gefälschte QR-Codes erkennt und sich schützen kann.

Kriminelle nutzen Quishing mittlerweile auch, um E-Auto-Fahrer*innen vor allem beim Bezahlen an öffentlichen Ladesäulen zu täuschen. Dabei nutzen sie manipulierte QR-Codes, um ihre Opfer auf gefälschte Webseiten zu lotsen und sensible Daten abzugreifen. Neben E-Mail-Adressen und Passwörtern haben es die Kriminellen vor allem auf Kreditkartendaten abgesehen. Die Zeitschrift Auto Motor und Sport berichtete bereits über erste Fälle, auch der ADAC und die Verbraucherzentrale warnen vor einer steigenden Gefahr.


Das erwartet Sie hier


Wie funktioniert der Quishing-Betrug?

Weil QR-Codes so einfach und praktisch sind, werden sie oft ohne große Vorsicht genutzt. Genau darauf setzen Betrüger*innen: Indem sie originale QR-Codes mit gefälschten überkleben oder eigene Codes platzieren, verleiten sie Nutzer*innen dazu, sensible Daten auf gefälschten Webseiten preiszugeben. Man nennt diese Masche „Quishing“, eine Kombination aus „QR-Code“ und „Phishing“ (wie bei E-Mails).

Sobald man einen solchen QR-Code mit dem Smartphone scannt, öffnet sich eine betrügerische Webseite. Diese ist häufig täuschend echt gestaltet und fordert Sie auf, vertrauliche Daten einzugeben – etwa Kreditkarteninformationen oder Login-Daten. Der Unterschied zur echten Webseite ist oft nur schwer erkennbar, wodurch Nutzer*innen leicht dazu verleitet werden, ihre Daten preiszugeben.

Nachdem Kriminelle diese Informationen erhalten haben, verwenden sie diese, um unberechtigt auf Online-Konten zuzugreifen, Zahlungen vorzunehmen oder sogar Identitätsdiebstahl zu begehen. Da die Opfer in vielen Fällen zunächst gar nicht merken, dass ihre Daten in falsche Hände gelangt sind, haben die Täter*innen oft genug Zeit, größeren Schaden anzurichten.

Die EnBW Hypernews:

Bleiben Sie rund um das Thema E-Mobilität immer top informiert.

Newsletter abonnieren

Wie erkennt man gefälschte QR-Codes?

Gefälschte QR-Codes lassen sich nicht immer auf den ersten Blick erkennen. Dennoch gibt es einige typische Warnzeichen, auf die Sie achten können. Oft sind manipulierte Codes schief, schräg oder auffällig angebracht, etwa wenn sie über einen bereits vorhandenen QR-Code geklebt wurden. Auch die Druckqualität kann ein Hinweis sein: Ist der Code unscharf, verpixelt oder wirkt er insgesamt billig produziert, sollten Sie vorsichtig sein.

Besonders wichtig ist der Blick auf die Internetadresse, die nach dem Scannen des Codes angezeigt wird. Prüfen Sie diese genau, bevor Sie eine Seite öffnen. Betrügerische Webseiten nutzen häufig subtile Tippfehler in der URL (z. B. „ladestaton.de“ statt „ladestation.de“), ungewöhnliche Domains wie „zahlung-ladestation-123.info“ oder verzichten ganz auf eine sichere HTTPS-Verbindung – stattdessen beginnt die Adresse nur mit „http://“.

Ebenfalls ein Alarmsignal: Wenn Sie direkt nach dem Scannen zur Eingabe sensibler Daten wie Passwörtern oder Kreditkartennummern aufgefordert werden. In dem Fall sollten Sie den Vorgang lieber direkt abbrechen. Auch die Gestaltung der Webseite kann entlarvend sein – wirkt sie ungewohnt, weichen Logo, Farben oder Schriftarten vom Original ab, sollten Sie skeptisch sein. Auch ein fehlendes Impressum ist ein guter Indikator, für eine unseriöse Webseite.

Frau schaut neben ihrem E-Auto auf ihr Smartphone

Um sich beim Bezahlen an der Ladesäule vor Quishing zu schützen, scannen Sie nur QR-Codes, die vertrauenswürdig aussehen – und prüfen Sie die Webadresse immer genau, bevor Sie fortfahren.

 

Wie kann man sich effektiv vor Quishing schützen?

Quishing – auch an der Ladesäule – lässt sich bereits mit einigen wenigen Maßnahmen gut vermeiden. Dabei ist die wichtigste Regel: Scannen Sie einen QR-Code nur, wenn Sie sicher sind, dass er seriös ist. Die folgenden Hinweise helfen Ihnen dabei, sich zuverlässig zu schützen:

  • Verwenden Sie die Kamera-App mit URL-Vorschau:
    Viele Smartphones erkennen QR-Codes direkt über die Kamera-App. Wichtig dabei: Stellen Sie sicher, dass die App den Link (Internetadresse) zunächst nur anzeigt, bevor die Webseite geöffnet wird.
  • Prüfen Sie die URL sorgfältig:
    Öffnen Sie die Seite erst dann, wenn Sie sicher sind, dass es sich um die echte Adresse des Anbieters handelt. Die Webseite sollte z. B. immer ein sicheres HTTPS-Protokoll verwenden. Wichtige Indizien für eine seriöse Webseite sind außerdem korrekte Schreibweisen und vertraute Domains. Auch ein Blick auf das Impressum der geöffneten Seite, das Sie mit dem Impressum der regulären Webseite des Anbieters abgleichen sollten, gibt Sicherheit. Verdächtige Tippfehler („ladestaton.de“ statt „ladestation.de“) oder seltsame Domains („zahlung-laden123.info“) sollten Sie stutzig machen.
  • Nutzen Sie seriöse QR-Scanner-Apps:
    Falls Ihre Smartphone-Kamera oder Ihr aktueller QR-Scanner die URL nicht vorab anzeigt, informieren Sie sich über vertrauenswürdige Alternativen. Seriöse QR-Scanner-Apps zeigen Ihnen die Webadresse immer vorher an, sodass Sie die Echtheit besser einschätzen können.
  • Setzen Sie auf offizielle Apps oder Ladekarten:
    Verwenden Sie zum Laden und Bezahlen möglichst immer die offiziellen Apps der Lade-Anbieter (z. B. EnBW mobility+) oder Ladekarten mit RFID-Chip. So umgehen Sie das Risiko gefälschter QR-Codes komplett.

Denken Sie daran: Der beste Schutz gegen Quishing ist ein bewusster Umgang mit QR-Codes. Wenn Sie im Alltag aufmerksam bleiben und sich nicht unter Zeitdruck setzen lassen, können Sie potenzielle Betrugsversuche frühzeitig erkennen und vermeiden.

Quishing an Ladesäulen

Gleich zu Beginn eine Entwarnung: Wer an der Ladesäule per Ladekarte oder Lade-App bezahlt, ist auf der sicheren Seite und bietet Quishing keine Angriffsfläche. Darüber hinaus ist es auf Grund der Ladesäulenverordnung von 2023 möglich, dass Sie an jeder Ladesäule auch mit Kreditkarte bezahlen können. Hierfür werden zum einen QR-Codes eingesetzt, die der jeweilige Betreiber anbringt. Diese QR-Codes können manipuliert werden und sollten vor Nutzung entsprechend auf ihre Echtheit geprüft werden. Im Fall von EnBW-Ladesäulen sind diese QR-Codes mit dem Namen der etablierten Bezahlplattform „Intercharge Direct“ sowie der Ladepunkt-Nummer gekennzeichnet.

Seit Sommer 2024 werden neue EnBW-Ladestationen auf Grund von Vorgaben der AFIR (Alternative Fuels Infrastructure Regulation) mit einem EC-/Kreditkartenterminal ausgestattet. Hier halten Sie also Ihre Bezahlkarte direkt ans Terminal oder nutzen via NFC-Technologie Dienste wie Google oder Apple Pay. Auch diese Form der Zahlung ist vor Quishing sicher.

Eine weitere mögliche Betrugsmasche an der Ladestation sind von Unbekannten angebrachte Zettel, die auf vermeintliche Sonderangebote beim Laden verweisen. Auch hier werden unter anderem QR-Codes genutzt, die auf unseriöse Webseiten oder direkt in Chats von Messenger-Apps führen. Solche mutmaßlichen Betrugsversuche wurden an vereinzelten Ladestationen gemeldet – z. B. am EnBW- Ladepark Lauenau.

Fest steht: Aktionen oder Angebote der EnBW werden ausschließlich in digitaler Form über die Displays der Ladestationen oder die EnBW mobility+ App beworben. Vermeintliche Sonderangebote ohne klar erkennbaren Absender sollten dagegen nicht genutzt werden.

Um solchen Betrugsversuchen vorzubeugen, werden alle EnBW-Ladestationen regelmäßig von eigenen EnBW-Field-Service-Technikern angefahren und kontrolliert. Dabei werden auch Aufkleber und Graffitis entfernt sowie Auffälligkeiten entsprechend gemeldet.

Frau scannt an Ladesäule QR-Code um zu bezahlen

Ob auf Plakaten, an Türen oder Aufstellern im Café: QR-Codes findet man mittlerweile überall im Alltag.

Wo findet Quishing sonst noch Anwendung?

Quishing kann überall dort auftreten, wo QR-Codes im Alltag zum Einsatz kommen – und das ist mittlerweile fast überall der Fall. Neben E-Auto-Ladestationen ist in den folgenden Bereichen das Risiko besonders groß:

  • Parkautomaten:
    Auch beim digitalen Bezahlen von Parktickets wird oft auf QR-Codes zurückgegriffen. Fälschungen leiten auf Fake-Zahlungsseiten weiter, über die Kreditkartendaten abgegriffen werden.
  • Öffentlicher Nahverkehr:
    QR-Codes auf Fahrplänen, Ticketautomaten oder Infotafeln werden manipuliert, um gefälschte Ticket-Shops oder scheinbare Service-Seiten vorzuschalten.
  • Restaurants und Cafés:
    Viele Betriebe nutzen QR-Codes für digitale Speisekarten oder kontaktloses Bezahlen. Gefälschte Codes führen dabei auf Seiten, die zur Eingabe von Zahlungsdaten auffordern.
  • Paketstationen und Abholstationen:
    QR-Codes zur Bestätigung oder Abholung von Sendungen können manipuliert werden, um Login-Daten für Kundenkonten abzufischen.
  • Werbung und Gewinnspiele auf Plakaten:
    In Bussen, Bahnen oder an Haltestellen platzieren Kriminelle eigene Plakate oder überkleben bestehende QR-Codes. Der vermeintliche Zugang zu einem Gewinnspiel oder Rabattangebot entpuppt sich als Datenfalle.

Kurz gesagt: Überall, wo QR-Codes ohne weitere Sicherheitsmechanismen frei zugänglich sind, kann Quishing potenziell auftreten. Wachsamkeit ist daher in allen Alltagssituationen gefragt.

Was tun, wenn man Opfer von Quishing geworden ist?

Wenn Sie auf einen Betrug hereingefallen sind, ist es entscheidend, schnell und konsequent zu handeln:

1. Wenden Sie sich an die Polizei

Erstatten Sie Anzeige, entweder persönlich bei der nächsten Polizeidienststelle oder bequem über die Online-Wache Ihres Bundeslandes. Machen Sie, wenn möglich, Screenshots der betrügerischen Webseite oder fotografieren Sie den manipulierten QR-Code als Beweismittel.

2. Informieren Sie Ihre Bank oder Kreditkartenanbieter

Falls Sie bereits Geld bezahlt oder Zahlungsinformationen eingegeben haben, kontaktieren Sie unverzüglich Ihre Bank oder rufen Sie den bundesweiten Sperr-Notruf 116116 an. Lassen Sie betroffene Karten sperren und überprüfen Sie Ihre Kontoauszüge regelmäßig auf verdächtige Abbuchungen.

3. Ändern Sie Ihre Passwörter

Sollten Sie Login-Daten eingegeben haben, ändern Sie diese umgehend. Nutzen Sie für Ihre neuen Passwörter eine sichere Kombination – Tipps finden Sie beim Bundesamt für Sicherheit in der Informationstechnologie (BSI). Aktivieren Sie, sofern verfügbar, die Zwei-Faktor-Authentifizierung.

4. Benachrichtigen Sie den echten Anbieter

Melden Sie den Vorfall auch dem Betreiber der Ladesäule, des Parkautomaten oder des jeweiligen Dienstes, damit dieser andere Nutzer*innen warnen, die gefälschten Codes entfernen und weitere Schäden verhindern kann. Auch kann der Betreiber prüfen, ob weitere Orte betroffen sind. Bei der EnBW können Sie einen Betrugsverdacht an einer Ladesäule übrigens auch direkt über die EnBW mobility+ App melden.

5. Bleiben Sie aufmerksam

Kontrollieren Sie Ihre Konten und persönlichen Daten in den kommenden Wochen besonders gründlich. Sollten weitere verdächtige Aktivitäten auftreten, handeln Sie sofort.

Fazit

Quishing ist eine ernstzunehmende Betrugsmasche, die zeigt, dass auch alltägliche Technologien wie QR-Codes hohe Sicherheitsrisiken mit sich bringen können. Doch keine Panik: Mit etwas Aufmerksamkeit und einfachen Schutzmaßnahmen können Sie sich effektiv davor schützen. Achten Sie stets darauf, welche QR-Codes Sie scannen, und überprüfen Sie sorgfältig die URL, bevor Sie Ihre persönlichen Daten eingeben.

Das könnte Sie auch interessieren

Zurück zur Übersicht