Sparkasse-Kunden im Visier: Neue Phishing-Welle rollt über Deutschland

Verbraucherschützer und Banken schlagen Alarm: In den letzten Apriltagen 2026 häufen sich raffinierte Phishing-Angriffe auf Sparkassen-Kunden.

Die Täter setzen auf eine perfide Mischung aus gefälschten E-Mails, SMS und betrügerischen Anrufen. Ihr Ziel: die sensiblen Online-Banking-Zugangsdaten abgreifen und die Zwei-Faktor-Authentifizierung umgehen. Eine Sicherheitswarnung vom 24. April 2026 bestätigt die akute Bedrohungslage.

Da Kriminelle ihre Methoden beim Online-Banking ständig verfeinern, ist ein Basis-Schutz für das Smartphone heute unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Fristen setzen Kunden unter Druck: Der „Nutzungsbedingungen“-Trick

Die aktuellste Betrugswelle tarnt sich als vermeintliche Pflichtmitteilung. Wie das Phishing-Radar der Verbraucherzentrale am 24. April dokumentierte, erhalten Kunden E-Mails mit dem Betreff „Anpassung der Nutzungsrichtlinien ist erforderlich“. Die Masche: Die Angreifer setzen die Empfänger mit knappen Fristen – genannt werden etwa der 20. oder 24. April 2026 – massiv unter Zeitdruck.

Sicherheitsexperten fiel auf, dass die Mails oft unscharfe oder verpixelte Sparkassen-Logos enthalten. Dennoch verleitet der professionelle Schreibstil gepaart mit der angeblichen rechtlichen Dringlichkeit so manchen zur Unachtsamkeit. Wer auf den eingebetteten Link klickt, landet auf einer täuschend echt gestalteten Login-Seite. Gibt man dort seine Daten ein, haben die Betrüger freie Bahn auf dem Konto.

Vom S-pushTAN-Alarm bis zur SMS-Falle: Die Multikanal-Offensive

Doch die Angreifer beschränken sich nicht auf E-Mails. Mitte April 2026 tauchten SMS auf, die vor dem angeblichen Ablauf der „S-pushTAN2“-Registrierung warnen. Die Nachrichten, zuletzt am 14. April gesichtet, fordern zur Verlängerung über Links wie „sparkasse-sptan2.info“ auf.

Noch perfider: Die Kriminellen nutzen „Caller ID Spoofing“. Sie manipulieren die auf dem Display angezeigte Rufnummer, sodass die offizielle Festnetznummer der örtlichen Sparkasse erscheint. In einer Sicherheitsunterrichtung vom 31. März 2026 warnte das Institut vor dieser Masche. Die Anrufe folgen oft einer ersten Phishing-SMS. Ein angeblicher Bankmitarbeiter behauptet, es habe einen unbefugten Zugriff gegeben, und versucht, das Opfer zur „Verifizierung“ des Kontos oder zur Überweisung auf ein „Treuhandkonto“ zu bewegen.

In manchen Fällen wollen die Betrüger die Kunden dazu bringen, ihre Karte für ein neues, von den Angreifern kontrolliertes Gerät zu digitalisieren. Dafür wird ein Autorisierungscode benötigt – den liefern die Opfer ahnungslos selbst.

Flohmarkt-Fallen und QR-Code-Betrug

Die kriminellen Netzwerke sind auch auf Second-Hand-Plattformen wie Vinted und eBay aktiv. Seit dem 31. März 2026 beobachtet die Sparkasse dort vermehrt Betrugsversuche. Die Masche: Ein vermeintlicher Käufer bittet um die E-Mail-Adresse oder Telefonnummer, um das Gespräch von der Plattform wegzuverlagern.

Der Verkäufer erhält dann eine E-Mail mit einem Link zu einer gefälschten „Verkaufsabwicklungsseite“. Dort wird ihm mitgeteilt, sein Konto müsse erst „verifiziert“ werden, bevor die Zahlung freigegeben werde. Ziel ist stets die Erlangung der George-ID, S-Identity oder anderer Berechtigungen. In einer neuen Variante werden sogar Briefe mit gefälschten QR-Codes verschickt. Wer den Code scannt, landet auf einer Phishing-Seite, die nach den Login-Daten fragt.

Analyse: Die Professionalisierung der Cyberkriminalität

Die Hartnäckigkeit dieser Angriffe zeigt einen klaren Trend: Kriminelle passen ihre Köder immer besser an reale Verwaltungsvorgänge an – sei es die Aktualisierung von AGB oder die Umstellung auf neue TAN-Verfahren. Die Verbraucherzentrale betont, dass technische Hürden wie pushTAN oder photoTAN zwar robust sind, aber durch Social Engineering ausgehebelt werden können, wenn der Nutzer selbst eine Transaktion freigibt.

Die potenziellen Schäden sind enorm. Ein Fall vom Mai 2024 zeigt die Dimension: Ein Kunde verlor innerhalb von drei Tagen rund 12.100 Euro, nachdem er auf eine betrügerische SMS zur pushTAN-Umstellung hereingefallen war. Gerichtsurteile, wie jenes des Landgerichts Aachen vom Mai 2024, beschäftigen sich zunehmend mit der Haftungsfrage und sehen Banken teils in der Pflicht, wenn Sicherheitsprotokolle unzureichend waren.

Besonders die Nutzung von WhatsApp, PayPal und Banking-Apps auf dem Smartphone erfordert ein geschärftes Sicherheitsbewusstsein. IT-Experten empfehlen diese 5 Schutzmaßnahmen, um Ihre privaten Daten vor den immer raffinierteren Zugriffen Krimineller zu bewahren. Kostenlosen Sicherheits-Ratgeber herunterladen

Experten betonen, dass die aktuellen Kampagnen durch ein hohes Maß an Automatisierung und die Nutzung von Adressdaten aus früheren Datenlecks gekennzeichnet sind. So können tausende potenzielle Opfer gleichzeitig angegriffen werden.

Schutzmaßnahmen: So erkennen Sie die Betrugsversuche

Banken und Verbraucherschützer raten zu einem klaren Sicherheitsprotokoll. Die oberste Regel: Niemals vertrauliche Finanzdaten auf einer Seite eingeben, die man über einen unaufgeforderten Link erreicht hat. Offizielle Banking-Portale immer durch manuelle Eingabe der URL im Browser oder über die offizielle App aufrufen.

Das Sparkassen-Sicherheitsteam nennt diese Warnsignale:
* Allgemeine Anreden wie „Sehr geehrter Kunde“ statt des tatsächlichen Namens
* Drohungen mit Kontosperrung oder Funktionseinschränkungen bei Nichtstun
* Rechtschreibfehler oder ungewöhnliche Absenderadressen, die nicht auf die offizielle Domain der Bank enden
* Aufforderung zur TAN-Eingabe, um eine angebliche Überweisung zu „stornieren“ oder „zurückzuholen“

Wer den Verdacht hat, betroffen zu sein, sollte sofort die Bank-Hotline kontaktieren. Für Sparkassen-Kunden in Österreich ist der Helpdesk unter +43 5 0100 - 50200 erreichbar, die Kartensperre unter +43 5 0100 - 50333. In Deutschland können verdächtige Nachrichten an warnung@sparkasse.de weitergeleitet werden.

Ausblick: Der Kampf um die Sicherheit wird härter

Die Auseinandersetzung zwischen Cyberkriminellen und Finanzinstituten wird sich 2026 weiter verschärfen. Der Einsatz von Deepfakes und KI-gesteuertem Social Engineering lässt erwarten, dass zukünftige Angriffe noch schwerer von legitimer Kommunikation zu unterscheiden sein werden.

Branchenanalysten rechnen damit, dass Banken verstärkt auf Verhaltensbiometrie und Echtzeit-Transaktionsüberwachung setzen werden, um Anomalien zu erkennen. Doch das schwächste Glied in der Sicherheitskette bleibt der Mensch. Aufklärung und das „Phishing-Radar“ der Verbraucherzentralen bleiben daher unverzichtbar. Der Rat der Experten ist simpel: Bei einer dringenden Aufforderung einer Bank – innehalten, über einen unabhängigen Kanal prüfen und die verdächtige Nachricht direkt in den Spam-Ordner verschieben.

de | boerse | 69248605 |