arrow_backBlog
·5 Min. Lesezeit·Super QR Code Generator Team

QR-Code-Sicherheitscheckliste: 7 Checks vor dem Druck

Bevor du QR-Codes auf Verpackung oder Beschilderung druckst, führe diese 7 Zielseiten-Checks durch, um Kunden vor Phishing, Malware und Markenschäden zu schützen.

qr-code-sicherheitquishingsichere qr-codesanti-phishingkleine unternehmen
QR-Code-Sicherheitscheckliste: 7 Checks vor dem Druck
AI-generated

Einen QR-Code drucken und dann einfach weitermachen — das ist einer der häufigsten und gefährlichsten Fehler, die Unternehmen machen. Der Code selbst ist inert; das Risiko liegt vollständig darin, wohin er Menschen führt. Eine Ziel-URL, die im Januar noch in Ordnung aussah, kann bis März kompromittiert, abgelaufen oder gekapert sein. Bevor ein QR-Code in den Druck geht, auf Beschilderung oder ein Produktetikett kommt, verdient jede Zielseite eine bewusste Überprüfung. Hier ist eine praktische Checkliste mit sieben Punkten, die du in unter 15 Minuten abarbeiten kannst.

Warum die Ziel-URL die Angriffsfläche ist

Ein QR-Code ist einfach nur eine kodierte Zeichenkette. Scanner warnen Nutzer nicht, wie Browser es bei verdächtigen Links tun, und es gibt keine visuelle Vorschau, bevor die Kamera die Seite öffnet. Diese Kombination — maschinenlesbar, visuell undurchsichtig, unmittelbar handlbar — ist genau das, was QR-Phishing („Quishing") so wirksam macht. Angreifer tauschen entweder physische Codes aus oder kompromittieren die Zielseite nach dem Druck. Diese Checkliste konzentriert sich auf die Zielseiten-Seite.

Die 7-Punkte-Sicherheitscheckliste für Zielseiten

1. HTTPS-Erzwingung bestätigen

Gib die Ziel-URL direkt in einen Browser ein. Wenn die Website über HTTP geladen wird oder an irgendeinem Punkt in der Umleitung zu HTTP führt, ist das automatisch ein Fehler. HTTPS ist Grundvoraussetzung, nicht optional. Überprüfe die gesamte Umleitungskette mit einem kostenlosen Tool wie Redirect Detective oder SSL Labs — einige Websites erzwingen HTTPS auf der Startseite, aber liefern Seiten über einfaches HTTP aus.

2. Alter der Domain und Registrar überprüfen

Führe einen WHOIS-Lookup für die Zielseiten-Domain durch. Eine Domain, die in den letzten 60–90 Tagen registriert wurde und eine „Zahlungs-" oder „Login"-Seite hostet, ist ein rotes Zeichen. Das ist besonders wichtig, wenn ein Drittanbieter oder eine Agentur die Zielseite für dich erstellt hat — stelle sicher, dass sie eine etablierte Domain nutzt, die du erkennst, und nicht eine frisch registrierte Fälschung.

3. Jeden Umleitung-Sprung überprüfen

Kurz-URLs und dynamische QR-Codes gehen oft durch eine oder mehrere Umleitung-Ebenen, bevor sie die letzte Zielseite erreichen. Nutze ein Umleitung-Trace-Tool, um Folgendes zu bestätigen:

  • Kein Zwischenschritt landet auf einer anderen Root-Domain als erwartet
  • Keine Umleitung verweist auf eine IP-Adresse statt auf eine benannte Domain
  • Die letzte URL entspricht der Domain, die du beabsichtigt hast

Dynamische QR-Codes ermöglichen es dir, die Zielseite nach dem Druck zu ändern — was für Kampagnen mächtig ist, wie im Vergleich zwischen statischen und dynamischen QR-Codes erklärt — aber diese Flexibilität bedeutet auch, dass du diesen Check jedes Mal neu durchführen musst, wenn du die Zielseite aktualisierst.

4. Zielseite mit einem URL-Reputation-Tool scannen

Gib die letzte Ziel-URL vor dem Druck in mindestens eines dieser kostenlosen Tools ein:

Tool Was es überprüft
Google Safe Browsing (über VirusTotal) Malware, Phishing-Datenbank
URLScan.io Seiten-Inhalte, ausgehende Links, Skripte
PhishTank Von der Community gemeldete Phishing-Seiten
Sucuri SiteCheck CMS-Malware, Blocklist-Status

Ein sauberes Ergebnis heute ist keine Garantie für die nächsten sechs Monate — nutze eine wiederkehrende Erinnerung im Kalender, um Live-Codes vierteljährlich neu zu überprüfen.

5. Seite auf einem echten Mobilgerät testen

Dieser Schritt wird ständig übersprungen. Öffne den QR-Code auf einem Android- und iOS-Gerät und beobachte:

  • Lädt die Seite ohne Zertifikatsfehler?
  • Leitet sie sofort zu einem unerwarteten App Store oder einem Download-Prompt um?
  • Fordert sie Berechtigungen an (Kamera, Standort, Kontakte), bevor der Nutzer mit irgendeinem Inhalt interagiert hat?
  • Ist die Seite offensichtlich für Mobilgeräte formatiert, oder ist es eine rohe Desktop-Seite, die darauf hindeutet, dass sie schnell zusammengestellt wurde?

Unerwartete Download-Prompts und aggressive Berechtigungsanforderungen sind die zwei häufigsten Signale einer kompromittierten oder bösartigen Zielseite.

6. Eigentümerschaft der Zielseite bestätigen

Das klingt offensichtlich, aber es bringt Organisationen zu Fall, die Link-Shortening-Services oder Redirect-Systeme von Drittanbietern nutzen. Frag dich:

  • Ist die Zielseiten-Domain bei deiner Organisation registriert (oder bei einem Anbieter unter Vertrag)?
  • Hast du Login-Daten für die Hosting-Umgebung?
  • Steht der DNS-Record unter deiner Kontrolle?

Wenn die Antwort auf eine dieser Fragen „Ich bin mir nicht sicher" ist, löse das vor dem Druck. Eine Zielseite, die du nicht schnell ändern oder entfernen kannst, ist eine Haftung.

7. Beabsichtigte Zielseite dokumentieren und speichern

Erstelle eine einfache Tabellenzeile für jeden QR-Code in Produktion: die QR-Code-ID oder das Label, die beabsichtigte endgültige URL, das Datum der letzten Überprüfung und wer sie überprüft hat. Das dauert 30 Sekunden pro Code und ist unbezahlbar, wenn ein Kunde ein Problem meldet. Es gibt dir auch eine Basis — wenn ein Live-Scan zu einer anderen URL führt als dokumentiert, weißt du sofort, dass sich etwas geändert hat.

Das in deinen Workflow integrieren

Wenn du eine QR-Code-Plattform mit Scan-Analytics nutzt, kannst du eine verhaltensbasierte Überprüfung auf diese Zielseiten-Checkliste schichten: Überwache auf plötzliche Rückgänge des Scan-Volumens (Nutzer, die nach dem Landen abbrechen) oder geografische Anomalien, die auf Bot-Aktivität oder eine kompromittierte Umleitung hindeuten.

Für Teams, die Codes in großen Mengen erstellen, solltest du diese Checkliste als erforderliche Genehmigung machen, bevor eine Druckbestellung genehmigt wird — ähnlich wie ein Lektor den Text überprüft. Der Super QR Code Generator unterstützt Zielseiten-Audit-Workflows über sein Dashboard, wo dynamische Code-Zielseiten zentral aktualisiert und dokumentiert werden können.

Wichtigste Erkenntnisse

  • Der QR-Code selbst ist nicht das Risiko — die Ziel-URL ist es.
  • Verfolge immer die vollständige Umleitung-Kette, nicht nur die oberflächliche URL.
  • Überprüfe HTTPS-Erzwingung, Domain-Alter und URL-Reputation vor jedem Drucklauf.
  • Teste auf echten Mobilgeräten — Zertifikatsfehler und rogue Downloads erscheinen nur dort.
  • Dokumentiere jede Live-Code-Zielseite und plane vierteljährliche Überprüfungen ein.
  • Dynamische Codes geben dir Flexibilität, erfordern aber eine Neuüberprüfung jedes Mal, wenn die Zielseite sich ändert.

Häufige Fragen

Wie oft sollte ich die Ziel-URLs von gedruckten QR-Codes neu überprüfen?expand_more
Vierteljährliche Neuüberprüfung ist ein angemessenes Minimum für Codes auf langlebigen Materialien wie Produktverpackung oder ständiger Beschilderung. Für Codes, die an aktive Kampagnen oder Zahlungsflüsse gebunden sind, sind monatliche Kontrollen sicherer. Wenn du die Zielseite eines dynamischen QR-Codes an irgendeinem Punkt aktualisierst, führe die vollständige Checkliste sofort neu aus — die neue Zielseite wurde noch nicht vorher überprüft.
Was passiert, wenn eine QR-Code-Zielseite nach dem Druck kompromittiert wird?expand_more
Wenn du einen dynamischen QR-Code nutzt, kannst du die Ziel-URL sofort über deine QR-Plattform aktualisieren, ohne irgendetwas neu zu drucken. Bei statischen QR-Codes kann die kodierte URL nicht geändert werden, daher sind deine einzigen Optionen die physische Entfernung des gedruckten Materials oder das Überlagern mit einem neuen Code. Das ist einer der stärksten praktischen Gründe, dynamische Codes in jeder öffentlichen Kampagne zu nutzen.
Kann ein QR-Code allein durch das Scannen Malware auf ein Telefon installieren?expand_more
Das bloße Scannen — die Kamera liest das visuelle Muster — installiert nichts. Das Risiko entsteht dadurch, was nach dem Scan und dem Öffnen einer URL im Browser passiert. Eine bösartige Zielseite könnte einen Drive-by-Download-Exploit bereitstellen, der bestimmte Browser-Versionen angreift, oder Nutzer dazu verleiten, eine App herunterzuladen. Wenn du Betriebssysteme und Browser auf Mobilgeräten aktuell hältst, schließt das die meisten dieser Vektoren aus.
Was sollte ein Kunde tun, wenn er denkt, dass ein QR-Code ihn zu einer Phishing-Seite gesendet hat?expand_more
Er sollte den Tab sofort schließen, ohne Informationen einzugeben, die URL über Googles Phishing-Report-Tool an Google Safe Browsing melden und das Unternehmen benachrichtigen, dessen Branding auf dem Code sichtbar war. Wenn er Anmeldedaten eingegeben hat, sollte er diese Passwörter sofort ändern und überprüfen, ob dieselben Anmeldedaten auf anderen Konten wiederverwendet werden. Unternehmen sollten einen klaren Kontaktkanal speziell zum Melden verdächtiger QR-Codes bereitstellen.
Ist es sicher, eine URL-Verkürzung als QR-Code-Zielseite zu nutzen?expand_more
Das hängt davon ab, wer die Verkürzung kontrolliert. Markenkurzdomains, die du besitzt und kontrollierst, sind verhältnismäßig sicher. Allgemeine öffentliche Verkürzer (bit.ly, tinyurl.com) führen eine Abhängigkeit von einem Drittdienst ein — wenn dieser Dienst kompromittiert wird oder der Link übernommen wird, verlierst du die Kontrolle über deine Zielseite. Verfolge immer die vollständige Umleitung-Kette und bestätige, dass die endgültige Zielseite deiner Absicht entspricht, egal welchen Verkürzer du nutzt.

Weitere Beiträge

Frühjahrs-QR-Code-Kampagnen: 5 Taktiken, die wirklich konvertieren

Herbst-QR-Code-Kampagnen: 7 Taktiken für mehr Umsatz

Dynamische QR-Weiterleitung: Scanner automatisch zu verschiedenen URLs lenken

QR-Code erstellen