Blog
Investigation·24. April 2026·8 Min. Lesezeit

Der QR-Code im Restaurant ist nicht immer das, was Sie denken.

Ein Aufkleber über dem Original, und die Tageskarte wird zur gefälschten Bezahlseite. Wir haben das Phänomen einen Monat lang in Lyon, Paris und Bordeaux beobachtet. Was wir gelernt haben – und wie Sie nicht mehr darauf hereinfallen.

ME
Mohamed ESSID
Gründer — Trasimène

Die Aufkleber-Methode

Die Methode ist entwaffnend einfach. Ein Krimineller betritt ein Restaurant, erspäht die QR-Code-Aufsteller auf den Tischen oder am Eingang und klebt einen frisch gedruckten Aufkleber darüber – mit seinem eigenen QR-Code. Der ganze Vorgang dauert weniger als dreißig Sekunden pro Tisch.

Die gefälschte Seite, die sich öffnet, ist eine nahezu perfekte Nachbildung einer Bestell- oder Bezahlseite: die richtigen Logos, die richtigen Markenfarben, manchmal sogar der Name des Restaurants. Der Gast, überzeugt davon, die Tageskarte zu betrachten, gibt seine Bankkartendaten auf einer betrügerischen Website ein.

2025 und Anfang 2026 wurden dokumentierte Fälle in Lyon (Presqu'île, Confluence), Paris (11. und 18. Arrondissement) und Bordeaux (Viertel Saint-Pierre) beobachtet. Die Methode breitet sich rasant aus: Laut der französischen Cyberkriminalitätsplattform Pharos stiegen die Meldungen zu QR-Code-Phishing zwischen 2024 und 2026 um 340 %.

Restaurants, die ohne physischen Schutz (gravierte QR-Codes, verschließbare Halterungen) auf digitale Speisekarten umsteigen, sind bevorzugte Ziele. Kleine Betriebe, die ihre Aufsteller selbst auf gewöhnlichem Papier drucken, sind am anfälligsten.

So erkennen Sie es

Bevor Sie scannen, prüfen Sie den QR-Code physisch. Gefälschte Aufkleber sind oft leicht verschoben, mit überstehenden Rändern oder einer Druckqualität, die sich vom Rest der Materialien des Restaurants unterscheidet.

Verwenden Sie einen QR-Leser, der die vollständige URL anzeigt, bevor der Link geöffnet wird. Die native iOS-Kamera-App und die integrierten Android-Leser zeigen in der Regel die URL an – nehmen Sie sich einen Moment Zeit, sie zu lesen. Angreifer nutzen Typosquatting: 'carte-restaurant-lyon.com' statt der offiziellen Website des Lokals.

Seien Sie besonders vorsichtig, wenn die Seite, die sich öffnet, Bankkartendaten verlangt, nur um eine Speisekarte anzuzeigen. Kein seriöses Restaurant knüpft den Zugriff auf die Karte an eine Zahlung.

Fragen Sie im Zweifelsfall direkt einen Mitarbeiter, ob er Ihnen die Speisekarte oder den in der Verwaltungsoberfläche angezeigten QR-Code zeigt – nicht den auf dem Tischaufsteller.

Was Trasimène tut

Trasimène bietet einen QR-Code-Schutz in Echtzeit. Jede aus einem QR-Code extrahierte URL wird gegen mehrere Phishing-Datenbanken (Google Safe Browsing, Trasimènes eigene Feeds) geprüft, bevor die Seite geladen wird.

Wird die URL als verdächtig erkannt oder gehört sie zu einer kürzlich registrierten Domain mit typischen Phishing-Merkmalen, wird das Öffnen blockiert und eine Warnung angezeigt – mit der Möglichkeit, den QR-Code direkt aus der App zu melden.

Dieser Schutz läuft vollständig im Hintergrund, ganz ohne manuelles Zutun. Sie scannen wie gewohnt; Trasimène prüft im Stillen.

Bitten Sie im Zweifelsfall das Restaurant, Ihnen den QR-Code in ihrer Verwaltungsoberfläche oder auf einem offiziellen Dokument zu zeigen – nicht auf dem Tischaufsteller.

Wachsamkeit bleibt die erste Verteidigungslinie. Ein kurzer Blick vor dem Scannen, ein Lesen der URL vor dem Tippen, eine Frage im Zweifelsfall – diese einfachen Gewohnheiten genügen, um die überwiegende Mehrheit der QR-Code-Angriffe abzuwehren. Und mit der richtigen Sicherheits-App gibt es keinen Grund, sie nicht zu automatisieren.

Quellen
  1. Cybermalveillance.gouv.fr (French national cybersecurity assistance platform), "Le « quishing » : l'hameçonnage par QR code" (2024)
  2. NCSC (UK National Cyber Security Centre), "QR Codes – what's the real risk?"
  3. National Cyber Security Centre (Switzerland / NCSC-CH), "Be careful when scanning: the hidden dangers of tampered QR codes" (2025)
  4. ENISA (European Union Agency for Cybersecurity), "ENISA Threat Landscape 2025" (October 2025)
Trasimène — Mobile Sicherheit

Schützen Sie sich vor QR-Phishing

Trasimène herunterladen →
Weiterlesen
Zurück zum Blog