Wie zeige ich die Ziel-URL an, bevor ein QR-Code geöffnet wird?

Die einfachste Methode ist, deine eigene Markendomäne direkt in den QR-Code zu codieren — die meisten Smartphone-Kameras zeigen diese URL in einem Vorschau-Banner an. Für stärkeren Schutz erstelle eine leichte Zwischenseite mit deinem Logo, der vollständigen Ziel-URL und einem „Weiter"-Button, bevor der Scanner zu deiner finalen Seite weitergeleitet wird.

Schadet eine URL-Vorschauseite den QR-Code-Konversionsraten?

Der zusätzliche Tap fügt Reibung hinzu, aber die Auswirkung auf Konversionen hängt vom Kontext ab. In vertrauensvollen Umgebungen wie markeneigenen Loyalitäts-Apps oder Speisekarten kann eine Vorschauseite vernachlässigbare Auswirkungen haben. Bei Zahlungs- oder Login-Abläufen kompensiert das zusätzliche Vertrauenssignal oft die Reibung. Halte die Seite schnell — unter einer Sekunde zum Laden — und der Abbruch wird minimal sein.

Was macht eine URL in einer QR-Code-Vorschau vertrauenswürdig?

Scanner achten auf einen erkennbaren Markennamen in der Domain (nicht auf einen generischen Shortener), eine bekannte TLD (.de, .com usw.) und das Fehlen ungewöhnlicher Zeichenersetzungen wie Zahlen statt Buchstaben. HTTPS wird erwartet, ist aber allein nicht ausreichend. Die Codierung deiner eigenen Domain statt eines Drittanbieter-Kurzlinks ist das einzige deutlichste Vertrauenssignal, das du geben kannst.

Können Angreifer eine URL-Vorschau-Zwischenseite fälschen?

Ja — ein Angreifer könnte eine ähnliche Zwischenseite auf einer gefälschten Domain erstellen. Deshalb funktioniert der Zwischenseiten-Ansatz am besten in Kombination mit einer klar gekennzeichneten Kurz-Domain, die im QR-Code selbst codiert ist. Wenn die Kamera-Vorschau deine legitime Domain zeigt, bevor die Zwischenseite lädt, haben Scanner zwei unabhängige Kontrollpunkte statt einen.

Wie oft sollten Unternehmen die Ziel-URLs in ihren QR-Codes überprüfen?

Bei dynamischen QR-Codes, die in öffentlich zugänglichen Kontexten verwendet werden — Einzelhandel, Events, Gesundheitswesen — ist eine monatliche Überprüfung ein angemessenes Minimum. Prüfe, ob sich das Weiterleitungsziel geändert hat, dass das SSL-Zertifikat gültig ist, und dass der Inhalt der Zielseite dem entspricht, was der gedruckte QR-Code verspricht. Codes mit hohem Verkehr oder Zahlungen verdienen eine wöchentliche Überprüfung.

QR-Code-URL-Vorschau: Warum die Anzeige des Links Scanner schützt

Die meisten Menschen scannen einen QR-Code und folgen dem Link blind — ohne Fragen zu stellen. Genau auf dieses unbewusste Vertrauen setzen Angreifer. Eine konkrete Abwehrmaßnahme, die jedes Unternehmen sofort umsetzen kann, ist die Anzeige der Ziel-URL eines QR-Codes, bevor die Seite geladen wird: eine URL-Vorschau. Das klingt nach einer Kleinigkeit, gibt Scannern aber einen Moment Zeit zu überprüfen — und dieser Moment kann einen Phishing-Versuch stoppen.

Was eine URL-Vorschau im QR-Code-Kontext bedeutet

Eine URL-Vorschau ist ein Mechanismus, der Scannern die vollständige Zieladresse anzeigt, bevor ihr Browser die Seite lädt. In der Praxis gibt es drei Hauptformen:

Native Kamera-Apps — iOS und Android zeigen ein kleines Banner mit der Ziel-URL an, wenn du deine Kamera über einen QR-Code hältst. Keine App erforderlich. Diese Vorschau erscheint etwa ein bis zwei Sekunden lang, bevor die meisten Nutzer durchtippen.
Kurz-Link-Vorschauseiten — Einige URL-Shortener fügen eine Zwischenseite ein, die die Ziel-URL, Domain und manchmal einen Screenshot der Seite zeigt, bevor sie weitergeleitet wird.
Landing-Page-URL-Anzeige — Deine eigene Weiterleitungsseite zeigt die finale URL in einer sichtbaren, für Menschen lesbaren Zeile vor einem „Weiter"-Button.

Jede Schicht legt die URL vor den Augen des Scanners offen. Je deutlicher die URL nach deiner Markendomäne aussieht, desto sicherer ist dein Publikum.

Warum das native Kamera-Banner nicht ausreicht

Das native Vorschau-Banner ist hilfreich, aber leicht zu übersehen. Es erscheint kurz, zeigt oft nur die Top-Level-Domain und verschwindet, sobald ein Finger sich dem Bildschirm nähert. Angreifer wissen das. Sie registrieren täuschend ähnliche Domains — indem sie ein Kleinbuchstaben-„l" durch eine „1" ersetzen oder eine andere TLD verwenden — die einem zwei Sekunden langen Blick entgehen.

Wenn du dich ausschließlich auf das native Banner verlässt, hast du auch keine Kontrolle darüber, was der Scanner sieht. Wenn dein QR-Code einen verkürzten Link einbettet (z. B. einen generischen bit.ly-Link), zeigt das Banner genau das — nicht dein tatsächliches Ziel. Scanner können etwas nicht überprüfen, das sie nicht lesen können.

Wie du Ziel-URLs leserlich und vertrauenswürdig machst

Bettet deine Markendomäne direkt ein

Der wirkungsvollste Schritt ist, deine eigene Domain direkt in den QR-Code zu codieren, anstatt einen Drittanbieter-Shortener zu verwenden. Wenn jemandes Kamera deinemarke.de/menu statt bit.ly/3xYz9q zeigt, kann er es sofort überprüfen. Deshalb lohnt sich die kleine zusätzliche Einrichtung dynamischer QR-Codes auf deiner eigenen Domain — du kontrollierst sowohl die kurze Domain als auch das Weiterleitungsziel.

Verwende eine markeneigene Kurz-Domain

Wenn du kurze URLs für Platzierungsbeschränkungen brauchst, registriere eine markeneigene Kurz-Domain (z. B. mmarke.co) und nutze sie ausschließlich für deine QR-Codes. Dein IT-Anbieter oder Registrar kann das in unter einer Stunde einrichten. Das hält deine Marke in der URL-Vorschau sichtbar und verhindert Verwechslungen mit Drittanbieter-Shortener, die Angreifer imitieren könnten.

Füge eine Zwischenseite bei risikoreich Kontexten hinzu

In Umgebungen, in denen QR-Codes von weniger technik-versierten Nutzern gescannt werden — Wartezimmer im Gesundheitswesen, Behörden, Schalter von Finanzdienstleistern — solltest du eine einfache Zwischenseite für die Umleitung hinzufügen. Die Seite zeigt:

Dein Logo und deinen Markennamen
Die vollständige Ziel-URL in lesbarer Form
Eine kurze Beschreibung, wohin der Link führt
Einen prominenten „Weiter"-Button

Das kostet einen zusätzlichen Tap, was ein kleiner Reibungsverlust ist. Das Vertrauen, das es aufbaut, kompensiert das mehr als genug — besonders wenn die gescannten Materialien mit sensiblen Aktionen wie Zahlungen oder Formularübermittlungen zu tun haben.

Halten Weiterleitungsketten kurz und überprüfbar

Jeder zusätzliche Hop in einer Weiterleitungskette ist eine weitere URL, die der Scanner nie sieht. Ein QR-Code, der sich durch drei Services weiterleitet, bevor er deine Website erreicht, setzt jede zwischengeordnete URL als potenziellen Phishing-Angriffspunkt aus. Unser Beitrag zu QR-Code-Weiterleitungsketten-Sicherheitsrisiken behandelt dies ausführlich, aber die kurze Regel lautet: maximal eine Umleitung, und diese monatlich überprüfen.

Was du auf einer URL-Vorschauseite einbinden solltest

Wenn du deine eigene Zwischenseite erstellst, halte sie minimal und schnell:

Element	Zweck
Markenlogo	Bestätigt die Quellenidentität
Vollständige Ziel-URL (nicht gekürzt)	Ermöglicht dem Scanner, die Domain zu überprüfen
Ein-Satz-Beschreibung des Ziels	Reduziert Unsicherheit
„Weiter" / „Abbrechen"-Buttons	Gibt dem Scanner Kontrolle
Seitenladezeit unter 1 Sekunde	Verhindert Abbruch

Vermeide Anzeigen, Pop-ups oder alles, das die Ziel-URL verdeckt. Der einzige Zweck dieser Seite ist Klarheit.

Kommuniziere die Vorschau an dein Publikum

Selbst technisch einwandfreie Vorschau funktioniert nicht, wenn Scanner nicht wissen, worauf sie achten müssen. Füge eine einzeilige Anleitung neben dem QR-Code in Druckmaterialien hinzu:

„Eine Vorschauseite wird angezeigt, bevor du weitergeleitet wirst. Bestätige, dass du [deinemarke.de] siehst, bevor du fortfährst."

Das bereitet Nutzer vor, bei der Vorschau innezuhalten, statt reflexartig durchzutippen. Es signalisiert auch, dass dir ihre Sicherheit wichtig ist — was für Unternehmen, die QR-Codes in Treueprogrammen, Zahlungen oder Kontenzugriff nutzen, ein aussagekräftiges Vertrauenssignal ist.

Für Unternehmen, die QR-Codes regelmäßig an mehreren Orten einsetzen, ermöglichen Tools die Kontrolle der Ziel-URL und des Weiterleitungsverhaltens von einem Dashboard aus, wodurch es leichter wird, Links zu überprüfen und zu aktualisieren, ohne Materialien neu zu drucken.

Wann URL-Vorschaumaßnahmen besonders wichtig sind

Nicht jeden QR-Code trägt das gleiche Risiko. Priorisiere URL-Vorschau-Maßnahmen, wenn deine Codes:

Zu Zahlungsseiten oder Checkout-Abläufen verlinken
Anmeldedaten oder persönliche Daten anfordern
In öffentlich zugänglichen Räumen erscheinen (Transit, Restaurants, Events), wo Manipulationen einfacher sind
Über gedruckte Flyer verteilt werden, die deine Hände verlassen, bevor sie Scanner erreichen

Speisekarten-QR-Codes an einem Tisch, den du täglich kontrollierst, sind geringerem Risiko ausgesetzt. Ein Flyer, der auf einer Messe verteilt und Wochen später gescannt wird, ist höherem Risiko ausgesetzt. Stimme deine Investition in Vorschau entsprechend ab.

Es lohnt sich auch zu wissen, wie du Manipulationen an physischen QR-Codes erkennen und verhindern kannst — URL-Vorschaumaßnahmen schützen Scanner auf der digitalen Ebene, aber physischer Aufkleber-Austausch ist ein separater Angriffspunkt, der sein eigenes Gegenmittel braucht.

Wichtigste Erkenntnisse

Das native Kamera-URL-Banner ist eine erste Abwehrlinie, nicht eine vollständige — es ist kurz und zeigt gekürzte URLs als undurchsichtige Zeichenketten.
Die Codierung deiner eigenen Markendomäne direkt im QR-Code ist das lesbarste Vertrauenssignal für Scanner.
Eine Zwischenseite mit deinem Logo, der vollständigen Ziel-URL und einem „Weiter"-Button bietet einen aussagekräftigen Schutz in Hochrisiko-Kontexten.
Halte Weiterleitungsketten auf einen Hop, nutze eine markeneigene Kurz-Domain, wenn du URL-Komprimierung brauchst, und überprüfe Weiterleitungsziele monatlich.
Eine einzeilige Anleitung neben dem QR-Code bereitet Nutzer vor, die Vorschau zu überprüfen, statt reflexartig durchzutippen.