Kriminelle nutzen KI und Spezialhardware für Massenbetrug, während Gerichte die Verantwortung zunehmend bei den Banken sehen. Eine neue Welle von Phishing-Angriffen zielt gezielt auf Kunden deutscher Sparkassen.
So tricksen die Betrüger
Sicherheitsforscher melden eine dramatische Zunahme von Betrugsversuchen. Die Täter kombinieren technische Manipulation mit psychologischer Täuschung. Per E-Mail locken sie mit Betreffzeilen wie „Verdächtige Anmeldung“ oder angeblich ablaufenden Sicherheitszertifikaten auf gefälschte Banking-Portale.
Da Kriminelle immer raffiniertere Methoden anwenden, ist der Schutz des eigenen Mobilgeräts wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Besonders perfide: Das sogenannte „Call-ID Spoofing“. Die Anzeige im Display des Opfers zeigt die offizielle Rufnummer der Bank. KI-generierte Sprachnachrichten oder direkte Anrufe erzeugen dann ein trügerisches Vertrauensgefühl.
Die Zahlen sind alarmierend: Die Phishing-Beschwerden stiegen im Vergleich zum Vorjahr um mehr als die Hälfte. Die Verluste durch betrügerische Transaktionen im Europäischen Wirtschaftsraum erreichten 2025 die Summe von 10,6 Milliarden Euro – ein Plus von 17 Prozent.
Mobile SMS-Blaster im Einsatz
Kriminelle professionalisieren ihre Methoden rasant. In Kanada verhaftete die Polizei im Rahmen der Operation „Project Lighthouse“ Verdächtige mit mobilen „SMS-Blastern“. Diese Geräte imitieren Mobilfunkmasten und versenden massenhaft Phishing-Nachrichten direkt an Smartphones – ohne dass die Netzbetreiber eingreifen können. Über 13 Millionen Netzwerk-Manipulationen wurden in diesem Fall registriert.
OLG Koblenz: Bank muss 56.000 Euro ersetzen
Ein Urteil des Oberlandesgerichts Koblenz markiert einen Wendepunkt. Das Gericht entschied im April 2026, dass eine Bank einem Kunden einen Schaden von 56.000 Euro ersetzen muss – obwohl der Kunde Opfer einer Phishing-Attacke wurde.
Der Fall: Betrüger gaben sich als Bankmitarbeiter aus und überredeten den Kunden zur Preisgabe einer TAN. Die Bank verweigerte die Erstattung mit Verweis auf grobe Fahrlässigkeit. Die Richter folgten dem nicht. Ihre Begründung: Wer durch professionell agierende Täter überrumpelt wird, handelt nicht grob fahrlässig.
Ein IT-Gutachten deckte zudem Mängel in der starken Kundenauthentifizierung (SCA) auf. Das Gericht verwies auf Paragraf 675u BGB: Banken müssen nicht autorisierte Zahlungen innerhalb eines Geschäftstages erstatten. Die Beweislast für vorsätzliches oder grob fahrlässiges Verhalten liegt beim Kreditinstitut.
Vodafone startet netzbasierten Spam-Warner
Anfang Mai 2026 reagierte Vodafone auf die Bedrohungslage. Der Provider startete einen netzbasierten Spam-Warner für deutsche Kunden. Das System identifiziert eingehende Anrufe von bekannten Betrugsnummern und blendet den Hinweis „Vorsicht: Betrug möglich!“ ein.
Der Dienst kommt ohne App-Installation aus und steht Privat- und Geschäftskunden offen. Die ersten Ergebnisse sind beeindruckend: Rund 90 Prozent der gewarnten Anrufe werden nicht angenommen. Gewarnte Gespräche dauern im Schnitt nur 40 Sekunden. Täglich registriert das System etwa 185.000 Warnhinweise.
Zero-Trust bei den Sparkassen
Die Sparkassen reagieren mit einer neuen Sicherheitsstrategie: Zero-Trust. Dabei gilt jeder Zugriffsversuch grundsätzlich als potenziell unsicher – egal ob aus dem internen Netzwerk oder über vermeintlich verifizierte Kanäle. SMS-basierte Zwei-Faktor-Authentifizierungen (2FA) geraten zunehmend in die Kritik, da SMS-Blaster oder Signal-Abfangmethoden sie verwundbar machen.
KI als zentrales Werkzeug der Kriminellen
Die Analyse der Bedrohungslage zeigt: Künstliche Intelligenz ist zum Standardwerkzeug für Cyberkriminelle geworden. Schätzungen für das erste Quartal 2026 gehen davon aus, dass rund 86 Prozent aller Phishing-Angriffe durch KI unterstützt werden. Plattformen wie „Bluekit“ bieten automatisierte Lösungen mit über 40 Vorlagen für Betrugsseiten, KI-Assistenten und Funktionen zum Klonen von Stimmen.
Besonders beim mobilen Banking und Bezahlen per App riskieren Nutzer ohne die richtigen Vorkehrungen massive finanzielle Schäden. Erfahren Sie in diesem gratis Sicherheits-Leitfaden, wie Sie typische Einfallstore für Viren und Hacker zuverlässig schließen. Kostenlosen Sicherheits-Ratgeber jetzt anfordern
Besonders rasant wächst „Quishing“ – eine Kombination aus QR-Codes und Phishing. Kriminelle überkleben legitime QR-Codes in Restaurants oder an Parkautomaten mit manipulierten Codes. Wer sie scannt, landet auf gefälschten Zahlungsseiten. Allein im März 2026 stieg die Zahl solcher Vorfälle um über 140 Prozent auf weltweit fast 19 Millionen Fälle.
Neue Malware über Telegram
Sicherheitsforscher entdeckten zudem neue Malware-Kampagnen über Telegram-Mini-Apps. Die Anwendungen imitieren bekannte Marken wie Apple oder Coca-Cola und locken Nutzer zur Installation von Schadsoftware. Ziel: Krypto-Wallets und Banking-Daten. Die Professionalisierung geht so weit, dass Angreifer Google-Dienste wie AppSheet missbrauchen – Phishing-E-Mails passieren dann aufgrund ihrer legitimen Herkunft problemlos die Sicherheitsfilter.
Ausblick: Strengere Regeln erwartet
Die Verluste durch Online-Betrug haben dimensionen erreicht, die die wirtschaftliche Stabilität der Nutzer gefährden. In den USA lagen die Verluste 2025 bei fast 21 Milliarden US-Dollar, in Deutschland bei rund 10 Milliarden Euro.
Für den weiteren Verlauf des Jahres 2026 zeichnet sich eine Verschärfung der regulatorischen Rahmenbedingungen ab. Die EU plant strengere Haftungsregeln für Hersteller und Dienstleister. Die Verpflichtung zur starken Kundenauthentifizierung soll weiter präzisiert werden.
Neue Sicherheitsstandards wie „Binary Transparency“ für Android-Apps sollen künftig sicherstellen, dass Software nicht unbemerkt manipuliert werden kann.
Für Endverbraucher bleibt die Devise: Bei unaufgeforderten Kontaktaufnahmen durch angebliche Bankmitarbeiter grundsätzlich misstrauisch sein. Keine sensiblen Daten über Links in E-Mails eingeben. Im Zweifelsfall die Kommunikation sofort abbrechen und das Kreditinstitut über offizielle Kanäle selbst kontaktieren. Die Ära des einfachen Passwortschutzes ist endgültig vorbei.
