Die Bedrohungslage für Bankkunden hat sich in den ersten beiden Quartalen 2026 drastisch verschärft. Neue Gerichtsurteile erschweren zudem die Schadensregulierung.
Angreifer setzen auf QR-Codes und SMS
Marktbeobachter registrieren eine deutliche Verschiebung der Angriffstaktiken. Im ersten Quartal stiegen Attacken mit schädlichen QR-Codes – sogenanntes Quishing – um 146 Prozent im Vergleich zum Vorjahr. Jede neunte Phishing-E-Mail enthält inzwischen einen bösartigen QR-Code. Allein im März wurden monatlich rund 18,7 Millionen solcher Versuche registriert.
Parallel dazu wuchs das SMS-Phishing (Smishing) im zweiten Quartal um 162 Prozent. Besonders betroffen: Kunden der ING, Versicherte der AOK sowie Nutzer des Elster-Portals. Angreifer nutzten gezielt Großereignisse aus. Phishing-Versuche mit Bezug zur Fußball-Weltmeisterschaft stiegen zwischen April und Juni um 500 Prozent.
Neue Techniken wie „Text Salting“ erschweren die Abwehr. Dabei werden unsichtbare Begriffe in E-Mails eingefügt, um KI-basierte Schutzsysteme zu umgehen.
Gerichte stärken Verbraucherrechte
Die juristische Aufarbeitung von Betrugsfällen zeigt eine Tendenz zugunsten der Kunden. Der Bundesgerichtshof (BGH) entschied im Juli 2025: Banken müssen grobe Fahrlässigkeit des Kunden konkret nachweisen. Ein einfacher Irrtum reicht nicht aus, um die Haftung vollständig auf den Kunden zu übertragen.
Angesichts der massiven Zunahme von Quishing und Smishing ist der Schutz Ihrer mobilen Daten wichtiger denn je. Ein kostenloser PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort effektiv gegen Hacker absichern können. 5 Schutzmaßnahmen jetzt entdecken
Der Belgische Kassationshof verschärfte diese Linie Ende Juni 2026 weiter. Ein Kunde haftet demnach nur, wenn sein Handeln so untypisch war, dass kein vernünftiger Bankkunde in der gleichen Situation so agiert hätte.
In der Praxis führt das zu Konflikten. Ein aktueller Fall bei der Baloise Bank zeigt das Dilemma: Eine Kundin verlor durch 17 Überweisungen innerhalb kürzester Zeit 82.000 Schweizer Franken. Die Bank lehnt die Erstattung mit Verweis auf ordnungsgemäße Autorisierungen ab. Die Kundenseite bestreitet die Wirksamkeit der Sicherheitsmechanismen.
Externe Dienstleister als Schwachstelle
Ein Bericht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) offenbart strukturelle Schwächen im Finanzsektor. Rund 1.200 Institute meldeten 2025 insgesamt 733 schwerwiegende IT-Vorfälle. Auffallend: Fast jeder zweite Vorfall (43 Prozent) ging auf externe Dienstleister zurück.
Cybersicherheitsvorfälle machten etwa elf Prozent der Meldungen aus. Ransomware und Phishing dominierten dabei. Die Daten unterstreichen die hohe Abhängigkeit der Finanzinstitute von Drittanbietern und die daraus resultierenden Konzentrationsrisiken.
Deepfakes und organisierte Banden
Neben klassischen Methoden gewinnen KI-generierte Täuschungen an Bedeutung. In Sachsen überwies ein Opfer durch Deepfake-Betrug eine Million Euro. Ein ähnlicher Fall Mitte Juli 2026 verursachte einen Schaden von 1,3 Millionen Euro. Das FBI schätzt die Schäden durch KI-gestützten Betrug allein in den USA für 2025 auf rund 820 Millionen Euro.
Ob Online-Banking oder WhatsApp – Kriminelle nutzen immer raffiniertere Methoden, um sensible Smartphone-Daten auszuspähen. Erfahren Sie in diesem kostenlosen Leitfaden, wie IT-Experten den Schutz vor Viren und Datenmissbrauch im Alltag organisieren. Kostenlosen Sicherheits-Ratgeber herunterladen
Der Polizei gelang Mitte Juli ein Schlag gegen die organisierte Kriminalität. In Köln wurde ein 24-jähriger Tatverdächtiger festgenommen, der Teil einer Bande sein soll, die sich als Bankmitarbeiter ausgab. In mindestens acht dokumentierten Fällen in Nordhessen erbeutete die Gruppe EC-Karten und PIN-Nummern. Der Schaden liegt im mittleren fünfstelligen Bereich.
Die Bundesregierung reagiert mit einem 26-Punkte-Plan gegen Finanzkriminalität. Ziel: den jährlichen Schaden von geschätzt 100 Milliarden Euro durch neue Stellen, längere Aufbewahrungsfristen und härtere Strafen einzudämmen. US-Behörden zerschlugen zudem ein internationales Phishing-Netzwerk mit rund 8.000 Domains, das einen globalen Schaden von fast 2 Milliarden US-Dollar verursacht haben soll.

