Phishing-Welle und EU-Recht: Banken unter Druck

Deutsche Bankkunden werden von einer neuen Angriffswelle überrollt, während ein EU-Gutachten die Haftungsregeln für Finanzinstitute auf den Kopf stellen könnte. Die Kombination aus ausgeklügelten Betrugsmethoden und einer drohenden Gesetzesverschiebung markiert eine kritische Phase für die Sicherheit im Online-Banking.

Neue Angriffsmethoden: Psychoterror per Smartphone

Die Taktiken der Cyberkriminellen haben sich dramatisch weiterentwickelt. Sicherheitsteams der Volksbanken und Raiffeisenbanken warnen vor einer professionellen Kampagne, die auf MFA-Bombing setzt. Dabei fluten Angreifer, die bereits an einfache Login-Daten gelangt sind, das Smartphone des Opfers mit Dutzenden von Zwei-Faktor-Authentifizierungsanfragen. Die Strategie zielt darauf ab, den Nutzer zu überfordern, bis dieser aus Frust oder Verwirrung versehentlich einen betrügerischen Login bestätigt.

Banking, WhatsApp und sensible Daten – auf keinem Gerät sind wir so angreifbar wie auf unserem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten effektiv vor Hacker-Zugriffen schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Parallel warnt der Sparkassen-Verband vor einem ausgefeilten Zwei-Stufen-Modell. Kunden erhalten zunächst alarmierende E-Mails oder SMS, die von verdächtigen Login-Versuchen oder einer drohenden Kontosperrung berichten. Gibt das Opfer seine Daten auf der täuschend echten Fake-Website ein, beginnt Phase zwei: Die Kriminellen rufen mit gefälschten Nummern lokaler Bankfilialen an. Als Mitarbeiter der Betrugsprävention getarnt, überreden sie den Kunden, eine Überweisung zu autorisieren oder ein neues Gerät in der Banking-App zu registrieren – und erhalten so die vollständige Kontrolle.

Verbraucherschützer schlagen Alarm

Das Ausmaß der Betrugsversuche ist beispiellos. Die Verbraucherzentrale Nordrhein-Westfalen gab bekannt, dass ihr Phishing-Radar im vergangenen Jahr über 382.000 Verdachtsmeldungen per E-Mail verzeichnete. Die psychologische Druckausübung in den Nachrichten habe deutlich zugenommen.

Aktuell stehen Kunden der Commerzbank im Fokus, die dringende Mails zur sofortigen Verlängerung des photoTAN-Verfahrens erhalten – mit enger Frist und Androhung einer Kontosperrung. Auch easybank-Kunden werden aufgefordert, angeblich routinemäßige Sicherheitsüberprüfungen durchzuführen. Zudem nutzen Angreifer das VR-SecureGo-System der Volksbanken, indem sie gefälschte Ablaufbenachrichtigungen verschicken. Verbraucherschützer raten eindringlich: Nie auf Links in solchen Nachrichten klicken, sondern das Banking-Portal stets direkt über die offizielle App oder die eigenhändig eingegebene Webadresse aufrufen.

EU-Recht: Banken könnten zahlen müssen – und zwar sofort

Während die Institute gegen die technischen Bedrohungen kämpfen, zeichnet sich ein juristischer Paradigmenwechsel ab. Der Generalanwalt am Europäischen Gerichtshof, Athanasios Rantos, legte ein wegweisendes Gutachten zur Bankenhaftung bei Phishing-Fällen vor.

Seine Kernaussage: Banken sind verpflichtet, Kunden gemäß der EU-Zahlungsdiensterichtlinie sofort für unrechtmäßige Transaktionen zu entschädigen. Und das gilt auch dann, wenn sie grobe Fahrlässigkeit vermuten – etwa weil der Kunde seine Zugangsdaten preisgegeben hat. Zwar können die Institute das Geld später zurückfordern, wenn grobe Fahrlässigkeit nachgewiesen wird, die erste finanzielle Last trägt jedoch die Bank. Juristen sind sich einig: Folgt der EuGH dieser Empfehlung, verbessert sich die Position der Betrugsopfer erheblich, die derzeit oft lange um ihr Geld kämpfen müssen.

Da Kriminelle immer häufiger unterschätzte Sicherheitslücken in Apps und mobilen Browsern ausnutzen, reicht ein Basisschutz oft nicht mehr aus. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie Ihre Identität und Ihr Vermögen bei Online-Banking und PayPal zuverlässig absichern. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Technische Gegenwehr: Der IBAN-Namens-Abgleich

Als zentrale technische Gegenmaßnahme rollt der europäische Bankensektor derzeit flächendeckend das Verification of Payee-System aus, in Deutschland bekannt als IBAN-Namens-Abgleich. Bisher verarbeiteten Banken Überweisungen nur anhand der IBAN, der Name des Empfängers blieb unberücksichtigt – eine Lücke, die Kriminelle oft für Geldwäsche nutzten.

Das neue europäische System gleicht nun automatisch den eingegebenen Empfängernamen mit dem bei der Ziel-IBAN registrierten Namen ab. Bei einer Abweichung erhält der Kunde eine Warnung. Zwar kann diese meist übergangen werden, doch Sicherheitsexperten betonen den psychologischen Effekt: Die erzwungene Unterbrechung durchbricht den Dringlichkeitsdruck der Betrüger und gibt dem Opfer einen kritischen Moment zum Nachdenken.

Analyse: Der Kampf verlagert sich in den Kopf

Die Entwicklungen zeigen einen grundlegenden Wandel. Die Zeit schlecht übersetzter Massen-Phishing-Mails ist vorbei. Heute dominieren zielgerichtete, automatisierte Kampagnen in fehlerfreier Landessprache, die gezielt Bankinfrastrukturen ausnutzen. Die Integration von Social Engineering – wie gefälschte Anrufe der angeblichen Betrugsabteilung – beweist: Angreifer setzen immer mehr auf psychologische Manipulation, um moderne Sicherheitssysteme zu umgehen.

Für die Banken entsteht ein komplexes Umfeld aus Compliance und Sicherheit. Die erwarteten EU-Rechtsänderungen zur sofortigen Erstattung dürften die Institute zwingen, noch stärker in proaktive Betrugserkennung zu investieren. Müssen sie gestohlenes Geld vorstrecken, steigt der finanzielle Anreiz, die unrechtmäßige Transaktion von vornherein zu verhindern. Branchenbeobachter rechnen mit strengeren Transaktionslimits, obligatorischen Wartezeiten für neue Überweisungsempfänger und einem vermehrten Einsatz von Verhaltensbiometrie zur Erkennung von Anomalien.

Die Zukunft verspricht ein beschleunigtes Wettrüsten. Während die Banken den IBAN-Namens-Abgleich einführen, werden Kriminelle auf neue Methoden setzen, etwa auf Investment- oder Kryptowährungsbetrug, wo klassische Banksicherungen weniger greifen. Die endgültige Entscheidung des EuGH zum Haftungsgutachten wird die Branche genau verfolgen. Eine Bestätigung der Sofort-Erstattungspflicht würde Banken zu einer Überarbeitung ihrer Streitbeilegungsprozesse zwingen. Für Verbraucher könnte das bedeuten: strengere Authentifizierung und mehr Reibungspunkte im digitalen Banking, da die Institute Sicherheit und Haftungsminimierung über nahtlose Bequemlichkeit stellen.

boerse | 68681268 |