Eine hoch koordinierte Phishing-Kampagne zielt derzeit auf deutsche Online-Banking-Kunden ab. Sie kombiniert gefälschte E-Mails mit manipulativen Telefonanrufen, um die Zwei-Faktor-Authentifizierung auszuhebeln. Die Attacken zeigen eine gefährliche Verschiebung der Kriminalität von technischen Schwachstellen zur psychologischen Manipulation.
Raffinierte Maschen im März 2026
Seit Anfang März häufen sich gezielte Phishing-Versuche. Betrüger verschicken täuschend echte E-Mails, die offizielle Kommunikation der Sparkassen-Finanzgruppe oder anderer Institute wie der apoBank vortäuschen. Die Nachrichten erzeugen mit Warnungen vor verdächtigen Logins oder angeblichen Sicherheitsupdates künstlichen Druck. Ein Klick auf den Link führt auf eine perfekt nachgebaute Website zur Erbeutung von Zugangsdaten.
Viele Smartphone-Nutzer übersehen entscheidende Sicherheitsaspekte bei der Nutzung von Banking-Apps und Messenger-Diensten. Dieser Gratis-Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie WhatsApp, PayPal und Ihr Online-Banking effektiv vor Datendieben schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Verbraucherzentrale Nordrhein-Westfalen hat ihre Warnlisten bereits aktualisiert. Auch die Deutsche Bank hatte bereits zu Jahresbeginn vor ähnlich komplexen Angriffen gewarnt, bei denen sogar physische Briefe mit schadhaften QR-Codes („Quishing“) im Umlauf waren.
Social Engineering knackt pushTAN-Sicherheit
Das wirklich Neue an der aktuellen Welle ist die zweistufige Social-Engineering-Taktik. Nachdem die Opfer ihre Daten auf der Fake-Website eingegeben haben, folgt umgehend Phase zwei: ein Telefonanruf.
Die Kriminellen manipulieren die Rufnummern-Anzeige (Caller ID Spoofing), sodass der Anruf scheinbar von der örtlichen Bankfiliale kommt. Am Telefon geben sie sich als Sicherheitsexperten aus und behaupten, verdächtige Transaktionen entdeckt zu haben. In Wirklichkeit loggen sie sich zeitgleich mit den gestohlenen Daten beim echten Online-Banking ein.
Unter dem Vorwand, die angeblichen Betrugsüberweisungen stoppen zu müssen, fordern sie das Opfer auf, eine gerade eingehende pushTAN-Benachrichtigung auf dem Smartphone zu bestätigen. Damit autorisiert das Opfer jedoch eine echte, vom Täter initiierte Überweisung oder die Registrierung eines fremden Geräts. Die Panik des Kunden und das Vertrauen in die gefälschte Nummer machen die eigentlich sichere Zwei-Faktor-Authentifizierung wirkungslos.
Wer haftet bei erfolgreichem Betrug?
Gelingt der Angriff, stellen sich komplexe Haftungsfragen. Opfer müssen umgehend handeln: Den Online-Zugang über die Notrufnummer 116 116 sperren, die Bank informieren und Anzeige erstatten.
Das deutsche Recht kennt hier eine geteilte Verantwortung. Ein Grundsatzurteil des Oberlandesgerichts Dresden vom Mai 2025 machte das deutlich. Ein Kunde, der mehrere pushTAN-Anfragen am Telefon bestätigt hatte, wurde zu 80 Prozent der Schadenssumme in Haftung genommen. Das Gericht sah eine grobe Fahrlässigkeit, weil er die Transaktionsdetails in der App nicht prüfte und Sicherheitswarnungen ignorierte.
Da Kriminelle immer raffiniertere Methoden anwenden, reichen einfache Software-Updates oft nicht mehr aus. Welche fünf weiteren Maßnahmen Experten empfehlen, um Ihr mobiles Gerät spürbar sicherer zu machen, erfahren Sie in diesem kostenlosen Leitfaden. Kostenlosen Sicherheits-Ratgeber herunterladen
Die Bank musste jedoch 20 Prozent des Schadens tragen, weil ihre Systeme die starke Kundenauthentifizierung beim Login nicht ausreichend durchsetzten. Ein Automatismus zur vollen Erstattung bei Social Engineering gibt es also nicht – die Wachsamkeit der Verbraucher bleibt entscheidend.
Der digitale Wettlauf verschärft sich
Die Angriffe zeigen einen eskalierenden Wettlauf zwischen Finanzinstituten und Cyberkriminellen. Experten erwarten, dass künftig Künstliche Intelligenz die Betrugsmaschen noch überzeugender macht. KI-gestimmte Sprachklone oder Chatbots könnten die telefonischen Social-Engineering-Angriffe massiv skalieren.
Als Gegenmaßnahmen rüsten Banken und das Bundesamt für Sicherheit in der Informationstechnik (BSI) kontinuierlich auf. Maschinelles Lernen soll anomales Kontoverhalten erkennen, Banking-Apps kontextsensitive Warnungen vor riskanten Aktionen anzeigen.
Die wichtigste Verteidigungslinie bleibt jedoch die Aufklärung der Kunden. Die Sparkassen und andere Institute betonen immer wieder eine Grundregel: Echte Bankmitarbeiter werden niemals nach der PIN fragen oder eine TAN-Freigabe am Telefon verlangen. In einer Zeit, in der Kriminelle gezielt die menschliche Psychologie angreifen, sind gesundes Misstrauen und stetige Wachsamkeit der beste Schutz.
