Sparkassen warnen vor neuer Welle digitaler Betrugsattacken

Eine hochgradig koordinierte Welle digitaler Betrugsangriffe rollt derzeit über Deutschland und zwingt große Finanzinstitute zu dringenden Warnungen. Zwischen dem 12. und 13. März 2026 veröffentlichte das Computer Emergency Response Team der Sparkassen-Finanzgruppe offizielle Warnungen vor einer neuen, mehrstufigen Phishing- und Smishing-Kampagne, die sich gezielt an Privatkunden richtet. Die Täter kombinieren gefälschte SMS über abgelaufene Sicherheitszertifikate mit sofortigen, drängenden Telefonanrufen von angeblichen Bankmitarbeitern aus der Betrugsprävention. Diese hybride Methode aus digitaler Täuschung und direktem Social Engineering hat bereits zu erfolgreichen Kontozugriffen im ganzen Land geführt.

Banking, Online-Shopping oder PayPal – Cyberkriminelle nutzen immer raffiniertere Methoden, um an Ihre sensiblen Daten auf dem Smartphone zu gelangen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit fünf einfachen, aber wirksamen Maßnahmen zuverlässig absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

So funktioniert der neue Hybrid-Betrug

Die aktuelle Angriffswelle beginnt mit einem digitalen Köder, typischerweise einer SMS (Smishing) oder E-Mail. Laut der Warnung der Sparkassen erhalten Kunden Nachrichten, die behaupten, ihr Bank-Sicherheitszertifikat sei abgelaufen oder ein verdächtiger Login-Versuch sei entdeckt worden. Die Nachricht enthält einen Link zu einer täuschend echten Fake-Website, die das offizielle Banking-Portal bis ins Detail nachahmt. Sobald der Kunde seine Zugangsdaten auf dieser betrügerischen Seite eingieb, beginnt die zweite, gefährlichere Phase.

Im Gegensatz zu traditionellen Phishing-Methoden arbeitet dieses neue Schema in Echtzeit. Die Fake-Websites werden live von den Betrügern überwacht. Sie können sofort aktiv werden, sobald ein Opfer seine Daten übermittelt. Dieser schnelle Übergang von der digitalen Nachricht zur aktiven Ausnutzung macht es automatischen Banksicherheitssystemen besonders schwer, den Angriff zu blockieren.

Der psychologische Druck per Telefon

Innerhalb von Sekunden nach dem Datenklau erhalten die Opfer einen Anruf. Der Anrufer gibt sich als Bankmitarbeiter oder Mitglied des Betrugspräventionsteams aus. Mit den frisch erbeuteten Daten baut er Vertrauen auf – er nennt Namen, Adresse oder Teile der Kontonummer. Der falsche Mitarbeiter behauptet dann, unbefugte Transaktionen auf dem Konto entdeckt zu haben. Das Opfer wird angewiesen, diese Transaktionen rückgängig zu machen oder ein neues Gerät zu autorisieren, indem es Bestätigungen in seiner Push-TAN-App freigibt.

Ein aktueller Fall, den Polizeiberichte am 13. März dokumentierten, betraf einen 38-Jährigen. Nachdem er auf einen Link in einer SMS geklickt und seine Daten eingegeben hatte, rief ihn ein angeblicher Bankmitarbeiter an. Der Anrufer überredete ihn, vier separate Transaktionen über seine Zwei-Faktor-Authentifizierungs-App zu bestätigen – angeblich, um betrügerische Belastungen zurückzubuchen. Der anfängliche Schaden lag bei etwa 1.000 Euro. Die Bank konnte die Überweisungen später zurückholen, doch Behörden warnen: Sobald Gelder auf ausländische Kryptobörsen transferiert sind, sind sie oft unwiederbringlich verloren.

Viele Smartphone-Nutzer unterschätzen das Risiko von Hacker-Angriffen und übersehen dabei oft die wichtigsten Sicherheitsvorkehrungen für ihre mobilen Apps. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie Sicherheitslücken schließen und Ihre Daten bei WhatsApp und Co. effektiv schützen. Kostenlosen Android-Sicherheits-Leitfaden anfordern

Angriffe auf mehrere Bankengruppen

Die Cybercrime-Welle beschränkt sich nicht auf eine Bankengruppe. Während die Sparkassen-Finanzgruppe Mitte März warnte, mahnen Verbraucherschützer auch Kunden der Volksbanken und Raiffeisenbanken. Dort behaupten Phishing-Mails oft, das „VR-SecureGo“-Verfahren laufe ab oder Adressdaten müssten dringend bestätigt werden. Die übergeordnete Strategie beruht auf dem Erzeugen von falscher Dringlichkeit: Es drohen sofortige Kontosperrungen oder Vertragskündigungen bei Nichtbefolgung.

Sicherheitsexperten betonen: Seriöse Banken werden Kunden niemals auffordern, Zugangsdaten über einen Link in einer SMS oder E-Mail einzugeben. Finanzinstitute werden auch niemals anrufen, um TAN-Bestätigungen für Rückbuchungen anzufordern. Die offizielle Empfehlung lautet: Ignorieren Sie solche Nachrichten, klicken Sie keine Links an und kontaktieren Sie die Bank im Zweifel direkt über verifizierte Kanäle. Wer bereits Daten auf einer verdächtigen Seite eingegeben hat, sollte sofort handeln und den Online-Banking-Zugang sowie zugehörige Karten über die nationale Sperr-Notrufnummer blockieren lassen.

EU-Recht könnte Banken in die Pflicht nehmen

Diese Entwicklung im Cybercrime hin zu ausgeklügeltem Social Engineering trifft auf eine kritische Zeit für europäische Finanzinstitute. Am 5. März 2026 veröffentlichte Generalanwalt Athanasios Rantos am Europäischen Gerichtshof (EuGH) eine Schlüsselmeinung in einem Verfahren (C-70/25), die die Haftung bei Betrugsfällen neu regeln könnte.

Der Generalanwalt stellte klar: Nach der Zahlungsdiensterichtlinie (PSD2) kann eine Bank die sofortige Erstattung einer unbefugten Zahlung nicht allein mit dem Vorwurf grober Fahrlässigkeit des Kunden ablehnen. Übernimmt der Gerichtshof diese Auffassung, müssten Banken Betrugsopfer sofort entschädigen und Fahrlässigkeitsansprüche erst später auf gerichtlichem Weg verfolgen. Dieser drohende regulatorische Wandel erhöht den Druck auf deutsche Banken, ihre Betrugserkennung zu verbessern. Da die finanzielle Haftung für diese ausgeklügelten Angriffe zunehmend bei den Instituten selbst liegen könnte, müssen sie ihr gesamtes Vorgehen bei der digitalen Transaktionsfreigabe überdenken.

KI und Aufklärung als künftige Abwehr

Da die digitale Transformation den europäischen Bankensektor weiter umkrempelt, dürfte das Wettrüsten mit Cyberkriminellen sich verschärfen. Banken werden voraussichtlich massiv in KI-gestützte Anomalie-Erkennung investieren, um ungewöhnliche Kontobewegungen zu markieren. Verhaltensbiometrie, die analysiert, wie ein Nutzer tippt oder sein Telefon hält, könnte zur Standardsicherheitsschicht werden.

Verbraucher müssen sich indes auf eine Welt einstellen, in der digitale Kommunikation – selbst Anrufe von gefälschten offiziellen Banknummern – nicht mehr blind vertraut werden kann. Die kommenden Monate werden wohl breitere Aufklärungskampagnen der deutschen Bankenverbände bringen. Bis technische Lösungen Social-Engineering-Angriffe zuverlässig erkennen und blockieren können, bleibt die kontinuierliche Verbraucheraufklärung die wirksamste Verteidigung gegen diese verheerenden Kontenübernahmen.