Cyberkriminelle greifen mit KI-gestützten Methoden Sparkasse-Konten an – ein wegweisendes Gerichtsurteil stellt die Weichen neu.
Die Bedrohungslage für Sparkasse-Kunden hat sich dramatisch verschärft. Gleich mehrere ausgeklügelte Phishing-Kampagnen sind derzeit im Umlauf, die selbst technisch versierte Verbraucher täuschen. Eine aktuelle Entscheidung des Oberlandesgerichts Koblenz könnte nun die Haftungsfrage bei digitalem Diebstahl grundlegend verändern.
Angesichts der aktuellen KI-gestützten Angriffswellen auf Sparkasse-Konten wird der Schutz des eigenen Mobilgeräts immer wichtiger. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Android-Smartphone effektiv vor Hackern, Viren und Internet-Kriminalität abzusichern. Optimalen Smartphone-Schutz jetzt gratis sichern
Gefälschte Sicherheitszertifikate und angebliche AGB-Änderungen
Bereits Ende April identifizierten Verbraucherschützer und das Sparkassen-eigene Computer-Notfallteam (S-CERT) zwei besonders perfide Betrugsmaschen. Die erste Welle nutzt gefälschte E-Mails, die vor dem angeblichen Ablauf eines „Sicherheitszertifikats“ warnen. Die Nachrichten verlinken auf täuschend echte Kopien des Online-Banking-Portals, wo die Kriminellen in Echtzeit Login-Daten und Transaktionsnummern (TANs) abgreifen.
Eine zweite, am 30. April vom Phishing-Radar der Verbraucherzentrale gemeldete Kampagne, tarnt sich als AGB-Update. Die Betreffzeilen verweisen auf eine „Anpassung der Nutzungsbedingungen“, die Empfänger erhalten nur 48 Stunden Zeit, ihr Konto zu „verifizieren“. Analysten zufolge sind die Mails oft gut formatiert, verraten sich aber durch unscharfe Logos und fehlende persönliche Anrede.
„Call-ID Spoofing“: Wenn die Sparkassen-Nummer auf dem Display erscheint
Besonders tückisch ist der Wiederaufleben von Telefonbetrug. Kriminelle nutzen „Call-ID Spoofing“, eine technische Manipulation, die auf dem Display des Opfers die echte Festnetznummer der örtlichen Sparkasse anzeigt.
Die Anrufer geben sich als Mitarbeiter der Technikabteilung aus. Ihr typisches Szenario: Das TAN-Verfahren müsse von „veraltetem Chip-TAN“ auf „modernes S-pushTAN“ umgestellt werden. Die Täter verfügen oft über detaillierte Kontoinformationen, die sie zuvor durch Datendiebstahl oder frühere Phishing-Angriffe erbeutet haben. Am 2. Mai registrierten Sicherheitsdienste einen Anstieg kompromittierter Zugangsdaten speziell für die Sparkasse Aachen.
OLG Koblenz: Bank muss 56.000 Euro Schadenersatz zahlen
Ein Urteil des Oberlandesgerichts Koblenz vom 16. April (Az. 8 U 682/24) sorgt nun für Aufsehen. Das Gericht verurteilte eine Sparkasse aus dem Westerwald zur vollständigen Erstattung von über 56.000 Euro. Betrüger hatten das Konto per Call-ID Spoofing geplündert.
Banking-Apps und sensible Daten machen das Smartphone zum Hauptziel für Betrüger, wie die aktuellen Schadensfälle eindrucksvoll belegen. Erfahren Sie in diesem kostenlosen Report, wie Sie durch regelmäßige Android-Updates Sicherheitslücken schließen und Ihr Gerät dauerhaft vor Malware schützen. Kostenlosen Android-Sicherheitsreport herunterladen
Die Begründung: Die Bank habe keine starke Kundenauthentifizierung (SCA) implementiert, wie sie seit 2019 gesetzlich vorgeschrieben ist. Im konkreten Fall reichten Benutzername und PIN für den Kontozugriff – nach Ansicht der Richter völlig unzureichend. Zudem handelten die Opfer nicht „grob fahrlässig“, selbst wenn sie auf die Betrugsmasche hereinfielen.
Das Urteil setzt einen wichtigen Präzedenzfall: Kreditinstitute könnten künftig haften, wenn ihre Sicherheitsprotokolle nicht dem höchsten technischen Standard entsprechen – unabhängig von einer unbeabsichtigten Mithilfe des Kunden. Dies steht im Gegensatz zu einer Entscheidung des OLG Dresden vom Mai 2025, das die Haftung nur zu 20 Prozent der Bank zuwies.
Null Vertrauen: Sparkasse setzt auf neue Sicherheitsstrategie
Die Angriffswelle trifft die Sparkassen-Finanzgruppe in einer Phase massiver Digitalisierung. Gemeinsam mit der DekaBank plant der Verbund die Einführung von Kryptowährungshandel für Privatkunden – vollständig integriert bis Sommer 2026.
Marktforscher wie Kaspersky verzeichnen einen stetigen Anstieg von Cyberangriffen. Jährlich werden über 710 Millionen Phishing-Vorfälle registriert, ein zweistelliges Plus im Vergleich zu den Vorjahren.
Die Sparkasse reagiert mit einer „Zero-Trust“-Strategie und empfiehlt Kunden drei zentrale Regeln:
- Nur selbst initiierte TANs freigeben: Niemals eine Transaktionsnummer für einen nicht selbst ausgelösten Vorgang bestätigen.
- Keine PIN oder TAN preisgeben: Offizielle Bankmitarbeiter fordern diese Daten niemals am Telefon oder per E-Mail-Link an.
- Sofort handeln bei Verdacht: Die bundesweite Notrufnummer 116 116 ist die erste Anlaufstelle, um Konten und Karten zu sperren.
Da Kriminelle zunehmend Künstliche Intelligenz einsetzen, um Stimmen zu imitieren und persönliche Details zu fälschen, gilt der Grundsatz: Jede unaufgeforderte digitale Kontaktaufnahme in Finanzfragen ist potenziell betrügerisch.
