Cyberangriffe auf Banken und Finanzämter: Deutschland im Visier

Deutschland erlebt eine der professionellsten Phishing-Wellen des Jahres. Kriminelle nutzen die Steuererklärungssaison für perfide Angriffe auf Commerzbank-Kunden, Volksbanken und das ELSTER-Portal.

Innerhalb von 72 Stunden haben Verbraucherschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ihre Warnstufen für Online-Banking und Behördenkommunikation drastisch erhöht. Die Angreifer imitieren Banken und Finanzämter mit täuschend echten Nachrichten. Ihr Ziel: Zugangsdaten abgreifen und Konten plündern. Betroffen sind aktuell vor allem Kunden der Commerzbank, der Volksbanken Raiffeisenbanken sowie Nutzer des staatlichen Steuerportals ELSTER.

Die aktuelle Welle professioneller Phishing-Angriffe zeigt, wie schnell persönliche Daten in falsche Hände geraten können. Dieser kostenlose Guide bietet eine konkrete 4-Schritte-Anleitung zur erfolgreichen Abwehr von Hackern und zum Schutz vor Betrugsmaschen. Anti-Phishing-Paket jetzt kostenlos anfordern

Commerzbank und Volksbanken: So locken die Betrüger

Die Attacken auf die Bankkunden zeichnen sich durch technische Finesse und psychologischen Druck aus. Seit Ende März häufen sich die Fälle.

Bei der Commerzbank erhalten Kunden gefälschte E-Mails. Diese behaupten, die photoTAN-App der Bank laufe bald ab. Ein eingebetteter Link soll angeblich die Sicherheit des Kontos gewährleisten. Betreffzeilen wie „Konto-Bestätigung steht noch aus“ und extrem kurze Fristsetzungen sollen die Empfänger zu unüberlegtem Handeln drängen.

Parallel läuft eine großflächige Kampagne gegen Kunden der Volksbanken Raiffeisenbanken. Hier dient ein angebliches Pflichtupdate für das Sicherheitsverfahren VR SecureGo als Köder. Die Täter verwenden Fachbegriffe wie „PSD3“ oder „SCA+“, um den Anschein einer EU-Regulierung zu erwecken. Wer nicht innerhalb von 24 bis 48 Stunden reagiert, dem wird eine Kontosperrung angedroht.

Besonders perfide: eine hybride Angriffsmethode. Nachdem Opfer ihre Daten auf einer Fake-Website eingegeben haben, ruft ein angeblicher Bankmitarbeiter an. Mit den gestohlenen Informationen baut er Vertrauen auf. Schließlich überredet er das Opfer, per Push-TAN eine Überweisung freizugeben – angeblich, um „verdächtige Abbuchungen zu stoppen“. In Wahrheit leitet der Kunde damit sein eigenes Geld auf Konten der Kriminellen um.

ELSTER-Phishing: Steuererstattung als Köder

Neben Banken steht die staatliche Steuerverwaltung im Fokus. Zur Hauptsaison der Steuererklärungen nutzen Betrüger die Verunsicherung der Bürger.

Wer das ELSTER-Portal für seine Steuererklärung nutzt, sollte besonders wachsam gegenüber gefälschten Nachrichten sein. Dieser Gratis-Leitfaden hilft Ihnen nicht nur, Zeit bei der digitalen Steuerverwaltung zu sparen, sondern erklärt auch die sichere Nutzung aller Funktionen. Kostenloses MeinElster E-Book mit Praxis-Tipps sichern

Aktuell kursieren gefälschte ELSTER-E-Mails. Sie suggerieren eine anstehende Steuererstattung oder fordern die Zahlung eines Verspätungszuschlags. Ein alarmierender Trend ist der Missbrauch der EU-Richtlinie DAC8. In den Schreiben wird behauptet, neue Transparenzregeln für Kryptowerte erforderten eine sofortige Verifizierung der Kontodaten. Bei Nichtreaktion innerhalb weniger Tage drohen angeblich Bußgelder oder strafrechtliche Konsequenzen.

Die Finanzverwaltung stellt klar: Sie fordert niemals PINs, Passwörter oder vollständige Kontoverbindungen per E-Mail an. Auch Steuerbescheide werden nicht als direkter E-Mail-Anhang verschickt. Die offizielle Kommunikation läuft ausschließlich über das geschützte Postfach im ELSTER-Account.

Zusätzlich tauchen perfekt nachgebaute ELSTER-Webseiten auf. Sicherheitsbehörden warnen davor, blind auf Suchmaschinen zu vertrauen. Betrüger schalten Anzeigen, um ihre Fake-Seiten in den Top-Ergebnissen zu platzieren. Nutzer sollten die URL stets manuell eingeben und auf das korrekte Sicherheitszertifikat achten.

KI, QR-Codes und Voice-Phishing: Die neuen Werkzeuge

Die Qualität der Angriffe ist beispiellos. Verantwortlich ist der Einsatz künstlicher Intelligenz (KI). Generative KI-Tools erstellen fehlerfreie, stilistisch perfekte Nachrichten auf Deutsch. Durch Daten aus früheren Leaks personalisieren die Täter ihre Mails mit korrekten Namen und Bankfilialen.

Drei neue Methoden machen die Angriffe besonders gefährlich:

1. Quishing (QR-Code-Phishing): Gefälschte Briefe oder E-Mails enthalten QR-Codes für angebliche Systemupdates. Das Scannen führt auf mobile Fake-Seiten, die Login-Daten abgreifen. Da QR-Codes nicht lesbar sind, ist die Hemmschwelle zum Scannen oft niedrig.
2. KI-gestütztes Vishing (Voice-Phishing): KI-generierte Stimmen imitieren Bankberater oder Behördenvertreter täuschend echt. In Kombination mit „Call-ID Spoofing“ – die echte Banknummer erscheint beim Opfer – entsteht eine perfekte Täuschung.
3. Hybride Angriffe: Die Kombination aus E-Mail, Fake-Website und Telefonanruf überwältigt die kritische Distanz der Opfer.

Sicherheitsbehörden betonen: Weder Banken noch Finanzämter fordern jemals TANs oder Passwörter telefonisch an. Selbst in angeblichen Notfällen gilt diese Regel.

Was Betroffene tun müssen – und was die Banken zahlen

Bei einem Verdacht ist Vorsicht oberstes Gebot. Experten raten:
* Niemals auf Links in unaufgeforderten E-Mails oder SMS klicken.
* Stets die offizielle App nutzen oder die Webadresse manuell eingeben.
* Auf unpersönliche Anreden („Sehr geehrter Kunde“) und Drohungen mit Kontosperrung achten.

Ist der Schaden bereits eingetreten, muss schnell gehandelt werden:
1. Sofort die Bank kontaktieren, um den Online-Zugang und alle Karten sperren zu lassen.
2. Über den zentralen Sperr-Notruf 116 116 eine allgemeine Sperrung veranlassen.
3. Anzeige bei der Polizei erstatten – wichtig für Strafverfolgung und Schadensregulierung.

Rechtlich haben Opfer in Deutschland gute Karten. Gemäß § 675u BGB muss die Bank unautorisierte Zahlungen grundsätzlich erstatten. Die Beweislast für eine grobe Fahrlässigkeit des Kunden liegt beim Institut. Aktuelle Urteile aus 2025 und 2026 zeigen: Die Hürden hierfür sind hoch, besonders wenn die Betrugsmasche kaum zu erkennen war. Allerdings prüfen Gerichte zunehmend, ob Banken moderne Sicherheitsmechanismen wie Verhaltensanalysen einsetzen, um verdächtige Transaktionen zu blockieren.

Passkeys statt Passwörter: Die Zukunft der Sicherheit

Die aktuelle Welle zeigt: Passwörter und TANs allein reichen nicht mehr. Die Zukunft gehört passwortlosen Verfahren.

Branchenexperten setzen auf Passkeys. Diese auf biometrischen Merkmalen basierenden Schlüssel sind gegen klassisches Phishing immun. Auch die geplante EU-Digital-Identity-Wallet (EUDI) soll helfen. Sie könnte die Kommunikation mit Behörden sicherer machen und Absender zweifelsfrei verifizieren.

Bis diese Technologien flächendeckend kommen, bleibt die Wachsamkeit der Nutzer entscheidend. Bankenverbände und Behörden planen für das laufende Quartal verstärkte Aufklärungskampagnen. Klar ist: Die Angriffe werden häufiger und gezielter. Die Fähigkeit, echte Information von professioneller Fälschung zu unterscheiden, wird zur digitalen Grundkompetenz jedes Bürgers.

boerse | 69043891 |