Ein QR-Code kann einen Weblink, Ihr Wi-Fi-Passwort, eine Zahlung, eine Kontaktkarte, eine Bordkarte, einen Impfnachweis, einen Führerschein, einen Smart-Home-Kopplungscode und Dutzende anderer Dinge enthalten. Die meisten Sicherheitsscanner prüfen nur Weblinks. Wir identifizieren und prüfen alle – in verständlicher Sprache.
Wird geladen …
Für jeden QR-Typ sagen wir Ihnen, was er ist, was er enthält und ob es sicher ist, ihn zu verwenden – ohne dabei Ihre persönlichen Daten zurückzuspiegeln.
Der QR an einem Plakat, Parkautomaten oder Restauranttisch. Wir verfolgen jede Weiterleitung, benennen den Shortener-Anbieter (Bitly, Linktree, TinyURL, Branded) und kennzeichnen täuschend ähnliche Domains und bekannte Phishing-Seiten. Falls sich das Ziel nach dem Druck des QR ändern kann, weisen wir darauf hin – so funktionieren Aufkleber-Swap-Betrugsmaschen.
Der QR Ihres Hotels oder Cafés. Wir zeigen Netzwerkname, Sicherheitstyp und Passwort – und kennzeichnen gefälschte "Starbucks WiFi"- / "Airport Free WiFi"-Imitationen, die Sie dazu verleiten wollen, sich mit einem fremden Hotspot zu verbinden.
Restaurant-Kassen-QRs, Marktstand-QRs, Parkautomaten-QRs. Wir zeigen Händlername, Stadt, Land, Betrag und Währung, bevor Sie zahlen – damit Sie prüfen können, ob Sie wirklich den Richtigen bezahlen. Abdeckung in 54 Ländern: PIX (Brasilien), UPI (Indien), PromptPay (Thailand), PayNow (Singapur), Bizum (Spanien), Swish (Schweden) und viele mehr.
Bitcoin, Ethereum, Solana, Lightning Network, Cashu und mehr. Wir validieren die Adresse, dekodieren den Betrag und warnen deutlich, wenn ein QR Ihre Wallet auffordert, eine Smart-Contract-Funktion aufzurufen (häufig der Beginn eines Drainer-Betrugs) anstatt eine einfache Überweisung durchzuführen.
Der "Kontakt speichern"-QR auf einer Visitenkarte. Name, Telefon, E-Mail, Organisation, Adresse, Social-Profile, Geburtstag und Notizen – als strukturierte Karte dargestellt, die Sie mit einem Tipp zu Ihrem Telefon hinzufügen können. Namen, die bekannten Marken ähneln, werden gekennzeichnet.
Event-QRs von Hochzeitsseiten, Konferenzbadges und Ticketingdiensten. Titel, Beginn, Ende, Wiederholung (wöchentlich, monatlich), Ort, Organisator und Teilnehmer – alles dekodiert, damit Sie genau wissen, was Ihrem Kalender hinzugefügt wird, bevor Sie auf "Annehmen" tippen.
Anrufen, SMS schreiben oder E-Mail senden per Tap. Wir kennzeichnen Premiumnummern (die minutenweise abrechnen), internationale Kurzwahlnummern für Betrug sowie vorbefüllte E-Mail-Betreffzeilen, die Sie dazu verleiten sollen, sensible Informationen zu senden.
Der QR, den Ihre Bank, Google oder eine Arbeits-App beim Einrichten eines Authentifikators zeigt. Wir dekodieren Aussteller und Konto, damit Sie bestätigen können, was Sie registrieren. Deutliche Warnung, wenn jemand sein gesamtes Google Authenticator-Paket teilt (ein QR mit allen 2FA-Codes).
Lesen: Ist der Google Authenticator-Export sicher zu scannen?
Der QR, den Ihr Laptop anzeigt, damit Ihr Smartphone eine Passkey-Anmeldung abschließt. Wir warnen deutlich, wenn Sie die Anmeldung nicht selbst initiiert haben – das Scannen eines fremden QRs meldet diese Person in Ihrem Konto an. Erkennt dasselbe Muster auch bei WhatsApp Web, Telegram, Microsoft 365, Google, GitHub, AWS, Steam, Discord, Slack und Apple ID.
Der Barcode auf der Rückseite US-amerikanischer und kanadischer Führerscheine (der Code, den Bars und Clubs scannen), sowie mobile Führerscheine staatlicher Behörden und EU-Digital-ID-Wallets. Wir zeigen den Aussteller, die Art des Ausweisdokuments und die enthaltenen Attribute – und geben ausdrücklich niemals Name, Adresse oder Geburtsdatum des Inhabers weiter.
Lesen: Was verrät der Barcode auf der Rückseite eines Führerscheins?
SMART Health Cards (Impfnachweise, Rezepte, Laborbefunde) und EU Digital COVID-Zertifikate. Wir identifizieren, um welche Art von Nachweis es sich handelt und wer ihn ausgestellt hat – dekodieren aber bewusst nicht Namen, Geburtsdatum oder medizinische Details. Ihre Wallet-App ist der richtige Ort dafür, nicht eine öffentliche Scanner-Seite.
Der QR auf Ihrer Bordkarte. Flugnummer, Route, Datum, Sitzplatz und Sequenz – alles dekodiert, damit Sie den Pass prüfen können. Das Buchungskürzel (PNR) wird standardmäßig maskiert, weil jeder mit Ihrem Namen und PNR auf Ihre Buchung zugreifen kann. Stellen Sie Bordkartenfotos nicht öffentlich ins Netz.
Matter- und Apple HomeKit-Kopplungs-QRs zum Hinzufügen neuer Geräte im Heimnetz. Wir dekodieren Hersteller, Produkt, Setup-Passcode und die Netzwerktypen, die das Gerät versucht zu verbinden – damit ein ausgetauschter Aufkleber kein Gerät unbemerkt in ein Netz einbuchen kann, das Sie nicht kontrollieren.
Der QR zum Aktivieren eines Mobilfunktarifs. Wir zeigen den Carrier-Server, mit dem die eSIM kommuniziert, den Aktivierungscode und ob ein Bestätigungscode erforderlich ist. Deutlicher Hinweis: Eine installierte eSIM kann SMS abfangen – einschließlich aller 2FA-Codes, die Sie per SMS erhalten.
WireGuard-Konfigurations-QRs. Wir zeigen Serveradresse, erlaubte IPs und DNS – und kennzeichnen Full-Tunnel-Konfigurationen, die jeden Byte Ihres Datenverkehrs über den Server eines Dritten leiten. Der private Schlüssel im QR wird standardmäßig maskiert.
GS1 Digital Link QRs auf Verpackungen – das Format, das bis 2027 traditionelle Barcodes bei Alltagsprodukten ablösen wird. Wir dekodieren den Produktcode (GTIN), Chargen-/Losnummer, Ablaufdatum und Seriennummer, damit Sie die Echtheit eines Produkts auf einen Blick prüfen können.
Der QR auf Schweizer Rechnungen. Wir dekodieren IBAN, Gläubigername und -adresse, Betrag, Währung und Referenz – damit Sie die Zahlung in Ihrer Banking-App mit voller Transparenz über den Empfänger auslösen können.
Manche QR-Formate sollten nach dem Scannen niemals ausgeführt werden: javascript:, ausführbare Datei-URIs und JavaScript-kodierte Daten-Blobs. Diese blockieren wir vollständig und erläutern den Grund. Die Aktionsschaltfläche ist bewusst deaktiviert.
Cashu-Ecash-Token sind buchstäblich Geld – wer den QR fotografiert, kann ihn einlösen. Wir warnen deutlich davor. LNURL-Endpunkte (Lightning-Anmeldung, Auszahlung, Zahlung) werden dekodiert, damit Sie sehen, wohin sich Ihre Wallet verbindet, bevor Sie tippen.
Auch bei reinem Text prüfen wir auf eingebettete URLs, durchgesickerte Geheimnisse (API-Schlüssel, JWTs, SSH-Schlüssel), KI-Prompt-Injection-Muster für nachgelagerte Assistenten sowie täuschend ähnliche Unicode-Zeichen, die gefährliche Links verschleiern.
"qr.abundera.ai/r/abc → walmart.com, sauber ✓"
Stimmt genau jetzt. Aber der QR-Aufkleber an einem Parkautomaten leitet zuerst über einen Shortener. Der Kontoinhaber kann das Ziel jederzeit ändern. Drucken Sie heute einen sauberen QR, tauschen Sie das Ziel morgen gegen eine Phishing-Seite aus – jeder nachfolgende Scan desselben physischen Aufklebers landet auf Phishing. Der URL-Scanner hat Ihnen nie gesagt, dass das möglich ist.
"Läuft über einen Shortener. Der Kontoinhaber kann das Ziel nach dem Druck ändern. Heute führt er zu walmart.com (sauber)."
Zwei Antworten in einem Urteil. Jetzt: Ist das heute sicher? Später: Wer kann es morgen ändern? Beide Fragen sind wichtig bei einem QR auf einer gedruckten Oberfläche, die sich nicht undrucken lässt.
Bei Ausweisdokumenten und Identitätsnachweisen identifizieren wir die Art des gescannten QRs – die persönlichen Informationen darin dekodieren wir bewusst nicht.
Wenn Sie einen Authenticator-App-Export oder Setup-Code scannen, identifizieren wir ihn und warnen Sie, falls Sie ihn am falschen Ort scannen – aber die eigentlichen geheimen Seeds werden von unserem Server nie dekodiert. Sie gehen an Ihre Authenticator-App, nicht an uns.
Impfnachweise und Gesundheitszertifikate: Wir zeigen den Aussteller (welche Behörde / Gesundheitsorganisation) und die Art des Nachweises. Ihr Name, Geburtsdatum und Ihre Krankengeschichte bleiben im Nachweis – unser Scanner gibt sie nie zurück.
Wir zeigen die Flugdaten zur Überprüfung des Passes, maskieren aber das Buchungskürzel hinter einem Tipp-zum-Anzeigen, damit ein Screenshot unseres Ergebnisses keinen Zugang zu Ihrer Buchung ermöglicht.
WireGuard- und SSH-Private-Keys in QR-Form werden als maskierte Felder angezeigt, die Sie auf Ihrem Gerät per Tipp einblenden können. Sie werden nicht an Dritte übermittelt.
Einige neue QR-Formate, die wir im Blick behalten. Wir integrieren jedes davon, sobald der Standard sich stabilisiert hat.
Die grenzüberschreitende digitale Identitätswallet der EU (eIDAS 2.0) wird 2024–2026 eingeführt. Wir dekodieren bereits das eng verwandte mobile Führerscheinformat; die EU-Wallet-Variante folgt, sobald die Rollouts der Mitgliedstaaten sich stabilisiert haben.
EU-Vorschriften verlangen bis 2027 einen digitalen Produktpass (Nachhaltigkeit, Herkunft, Reparaturinfos) für jedes Konsumprodukt. Das Format ist bereits eine GS1 Digital Link URL, die wir heute dekodieren; der vollständige Passinhalt wird reicher, je mehr Hersteller ihre Daten veröffentlichen.
Die Bluetooth SIG standardisiert ein QR-Format für die Inbetriebnahme von Mesh-Netzwerkgeräten (heutige Kopplungs-QRs sind herstellerspezifisch). Wir ergänzen die Unterstützung, sobald die Spezifikation verabschiedet ist.
QR Code, Aztec (mobile Bordkarten), PDF417 (US-Führerscheine), Data Matrix (Pharma + Handel), Code 128/39/93, Codabar, EAN-13/8 (Lebensmittel), UPC-A/E (US-Handel), ITF (Kartons), MaxiCode (UPS-Versandetiketten), GS1 DataBar + DataBar Expanded (Frischware, Gutscheine). Halten Sie die Kamera auf eines dieser Formate und wir dekodieren und klassifizieren den Payload genauso wie bei QR.
Wir beobachten jedes Barcode-Format, dem Nutzer begegnen könnten. Diese befinden sich auf unserem Radar, sind im Browser-JavaScript heute jedoch nicht erreichbar – entweder existiert kein produktionsreifer Decoder, der Standard ist forschungsexklusiv oder das Format ist eingestellt. Wir liefern Unterstützung, sobald ein gangbarer Weg entsteht (Browser-Bibliothek, native App oder serverseitiges Dekodieren).
Chinesische nationale 2D-Symbologie (GB/T 21049-2007). Eingesetzt in der Industrielogistik und bei Regierungsdokumenten. Heute existiert kein produktionsreifer JavaScript-Decoder; experimentelle Unterstützung gibt es in zxing-cpp, die mit der nativen Abundera QR Check-App einfliesst (geplant).
Farbiger 2D-Barcode, standardisiert vom deutschen BSI zur Fälschungssicherung von Verpackungen. Die Referenzimplementierung ist reiner Forschungs-C-Code; kein JavaScript-Port existiert. Wir beobachten die Situation auf einen gepflegten Port.
Hochgeschwindigkeits-Industriedruckformat der Tabak- und Pharmaindustrie. Kein JavaScript-Decoder liest es heute zuverlässig, selbst mit Qualitätsfixtures nicht. Auf dem Radar für den nativen App-Stack.
PostNet, PLANET, Intelligent Mail (USPS), RM4SCC (Royal Mail), KIX (Niederlande), Australia Post 4-State. Zu nischig für gepflegte JavaScript-Bibliotheken. Bei konkretem Kundenbedarf evaluieren wir einen nativen oder serverseitigen Decoder.
Microsoft stellte dieses Farbbarcode-Format 2015 zusammen mit dem zugehörigen Scanner-SDK ein. Nicht unterstützbar; hier der Vollständigkeit halber aufgeführt, damit Inhaber alter Marketingdrucksachen wissen, dass es nicht mehr scannbar ist.
Industrielle Nischen-2D-Formate. Keine produktionsreifen JavaScript-Decoder. Jedes Format ist in freier Wildbahn selten genug, dass wir nur bei verifiziertem Kundenwunsch investieren würden.