Sparkassen-Kunden müssen sich dieser Tage gegen eine doppelte Gefahr wehren: Eine raffinierte Phishing-Kampagne zielt auf ihre Konten, während gleichzeitig unerwartete Gebührenabzüge für Verwirrung sorgen. Verbraucherschützer und IT-Sicherheitsexperten warnen eindringlich.
BERLIN – Der Februar beginnt für Millionen Sparkassen-Kunden gefährlich. Sie sind aktuell das Hauptziel einer hochorganisierten Cyberkriminellen-Kampagne. Sicherheitsanalysten meldeten am Wochenende einen massiven Anstieg von SMS- und E-Mail-Betrug, der mit angeblichen Steuerrückzahlungen lockt. Parallel häufen sich Beschwerden über „stille“ Abbuchungen für Debitkarten, die auf Kontoauszügen auftauchen, ohne dass Kunden sie klar angekündigt sahen.
Die „Steuerrückzahlungs“-Falle: So leeren Betrüger Konten
IT-Experten warnen vor einem besonders aggressiven Betrug, der seit etwa drei Tagen kursiert. Die Täter geben sich als Bundeszentralamt für Steuern oder als Sparkassen-Mitarbeiter aus. In Nachrichten behaupten sie, der Empfänger habe Anspruch auf eine Rückzahlung oder müsse seine Identität wegen „neuer deutscher Verifizierungsrichtlinien“ bestätigen.
Doch dieser Angriff ist raffinierter als übliche Phishing-Versuche. Er nutzt eine zweistufige Methode, die selbst moderne Sicherheitsvorkehrungen aushebelt:
Passend zum Thema Smartphone-Sicherheit: SMS- und pushTAN‑Phishing nimmt zu und trifft besonders Nutzer, die Banking-Apps auf ihrem Android-Smartphone nutzen. Das kostenlose Sicherheitspaket „5 Schutzmaßnahmen für Android“ erklärt praxisnah, wie Sie Ihre pushTAN‑App gegen Fremdzugriffe absichern, verdächtige Links erkennen und Geräteverwaltung richtig prüfen. Mit konkreten Schritt‑für‑Schritt-Anleitungen schützen Sie Ihr Online‑Banking sofort besser. Jetzt gratis Android-Schutzpaket herunterladen
- Datenernte: Das Opfer klickt auf einen Link in der gefälschten Nachricht und gibt seine Online-Banking-Daten auf einer täuschend echten Kopie des Sparkassen-Portals ein.
- Der „Live“-Anruf: Kurz danach ruft ein Betrüger an, der sich als Bankmitarbeiter ausgibt. Durch „Nummern-Spoofing“ erscheint oft die echte Nummer der örtlichen Sparkassen-Filiale auf der Anrufer-Anzeige.
- Sicherheits-Umgehung: Der Anrufer behauptet, eine „Sperre“ müsse gelöst oder eine Rückzahlung freigegeben werden – und bittet um Bestätigung via pushTAN-App. Billigt der Kunde die Anfrage, autorisiert er in Wirklichkeit ein neues Gerät für den Angreifer oder eine Überweisung.
Das Computer Emergency Response Team (CERT) der Sparkassen-Finanzgruppe betont: Echte Bankmitarbeiter fordern niemals auf, Daten einzugeben oder TANs am Telefon zu bestätigen. Die unrechtmäßigen Abbuchungen erfolgen meist sofort. Opfer stehen dann vor leeren Konten und einem schwierigen Rechtsstreit um ihre Gelder.
„Stille“ Abbuchungen: Der Ärger über die Januar-Gebühren
Neben der Sicherheitsbedrohung wächst der Unmut über das, was viele Kunden als „versteckte Gebühren“ auf ihren Kontoauszügen bezeichnen. Seit Ende Januar 2026 bemerken zahlreiche Kontoinhaber unerwartete Belastungen zwischen 10 und 40 Euro. Sie sind oft nur mit „Entgeltabrechnung“ oder „Kartenpreis“ betitelt.
Finanzanalysten vermuten, dass es sich weitgehend um jährliche Gebühren für Girocards (Debitkarten) oder Kreditkarten handelt. Diese waren zuvor kostenlos oder anders gebündelt. Die Verwirrung entsteht im komplexen Nachgang zu Bundesgerichtshof (BGH)-Urteilen der letzten Jahre. Diese verlangen eine aktive Zustimmung der Kunden zu Gebührenänderungen.
- Die „Zustimmungslücke“: Viele Kunden stimmten 2024 oder 2025 neuen Preismodellen zu, um eine Kontokündigung zu vermeiden. Die genaue Aufschlüsselung von jährlichen Karten- versus monatlichen Kontoführungsgebühren fiel jedoch oft erst bei der jährlichen Abbuchung im Januar auf.*
- Gestaffelte Einführung: Einige regionale Sparkassen haben spezielle Aufschläge für physische Debitkarten erst kürzlich eingeführt. Sie drängen Kunden so zu digitalen Alternativen. Wer den Kleingedruckten in seinem digitalen Postfach übersah, sieht diese Kosten nun zum ersten Mal.*
Verbraucherschützer raten Kunden, ihre Gebührenvereinbarungen umgehend zu prüfen. Zwar sind diese Abbuchungen technisch „autorisiert“, wenn der Kunde den neuen AGB zustimmte. Die mangelnde Transparenz bei der Darstellung auf den Kontoauszügen führt jedoch zu Vorwürfen der „versteckten“ Kosten.
Rechtslage: Wann Kunden ihr Geld zurückfordern können
Hinter den Gebührenstreitigkeiten steht die fortschreitende rechtliche Entwicklung von Bankgebühren in Deutschland. Nach den bahnbrechenden BGH-Urteilen, die erklärten „Schweigen ist keine Zustimmung“, stehen Banken unter Druck, ihre Gebührenstrukturen zu legitimieren.
Rechtsexperten stellen fest: Während Banken von der Mehrheit ihrer Kunden Zustimmungen einholten, bleibt die Kommunikation spezifischer Posten – wie die Trennung von Karten- und Kontoführungsgebühren – ein Reibungspunkt. Kann ein Kunde beweisen, dass er einer spezifischen Gebührenerhöhung nie aktiv zugestimmt hat, kann er eine Rückerstattung verlangen. Allerdings gehen Banken zunehmend hart vor und kündigen Konten, die neue Preismodelle ablehnen.
Bei den Betrugsfällen ist die Rechtslage eindeutiger. Autorisiert ein Kunde eine pushTAN-Transaktion – selbst unter falschen Voraussetzungen – argumentieren Banken oft mit „grob fahrlässigem Verhalten“, um eine Erstattung zu verweigern. Allerdings urteilten jüngst erste Instanzgerichte vermehrt zugunsten der Verbraucher, wenn die Täuschung technisch so ausgefeilt war, dass sie eine durchschnittlich sorgfältige Person täuschen konnte.
So schützen Sie sich 2026 vor Betrug und Überraschungen
Angesichts dieser sich entwickelnden Gefahren empfehlen Cybersecurity-Experten und Verbraucherschützer eine strikte defensive Haltung:
- Null-Vertrauen-Prinzip: Seien Sie misstrauisch bei jeder Nachricht mit „dringendem Handlungsbedarf“, „Kontosperrung“ oder „Rückzahlung“. Klicken Sie niemals auf Links in SMS oder E-Mails Ihrer Bank.
- Direkte Rückfrage: Ruft angeblicher Sparkassen-Mitarbeiter an, legen Sie sofort auf. Wählen Sie die Nummer auf der Rückseite Ihrer Debitkarte, um den Anruf zu verifizieren.
- Kontrollieren Sie regelmäßig: Prüfen Sie Ihre Kontoauszüge wöchentlich, nicht monatlich. Achten Sie auf unbekannte Posten wie „Entgelt“ oder „Lastschrift“. Nach deutschem Recht haben Sie 13 Monate Zeit, eine unberechtigte Lastschrift zurückzubuchen – sofern Sie nicht fahrlässig handelten.
- App-Hygiene: Stellen Sie sicher, dass die pushTAN-App nur auf Ihren eigenen Geräten aktiv ist. Prüfen Sie im Online-Banking den Bereich „Geräteverwaltung“ auf unbekannte Smartphones.
Die Raffinesse KI-gestützter Phishing-Angriffe und die Komplexität von Bankgebühren werden das Finanzgespräch im ersten Quartal 2026 dominieren. Branchenkenner erwarten, dass Sparkassen und andere große Banken noch in diesem Jahr biometrische Verhaltensanalysen einführen, um die „pushTAN“-Betrugsmasche zu bekämpfen. Der Streit um Gebührentransparenz könnte zudem eine neue Runde vereinfachter Kontomodelle erzwingen, um Kunden im wettbewerbsintensiven Fintech-Markt zu halten.
Bis dahin bleibt Wachsamkeit die wirksamste Währung. Kunden sollten verdächtige E-Mails an die offizielle Warnadresse (warnung@sparkasse.de) melden und bei unrechtmäßigen Abbuchungen umgehend Anzeige bei der Polizei erstatten.
PS: Wenn Betrüger per Nummern‑Spoofing und gefälschten Banknachrichten Konten leeren, hilft technisches Wissen. Der Gratis‑Guide „5 Schutzmaßnahmen für Android“ zeigt, wie Sie pushTAN‑Apps ausschließlich für Ihre eigenen Geräte freigeben, App‑Berechtigungen richtig einschränken und Phishing‑SMS sofort erkennen. Mit einer praktischen Checkliste prüfen Sie Ihr Smartphone Schritt für Schritt – ideal für alle Sparkassen‑Kunden, die ihr Konto nach diesen Vorfällen nachhaltig sichern wollen. Jetzt gratis Android-Schutzpaket herunterladen
