Sparkasse und Commerzbank: Aggressive Betrugswelle trifft Millionen Kunden

Der Black Friday 2025 wird für deutsche Bankkunden zum Albtraum. Verbraucherschützer und Sicherheitsbehörden warnen vor der aggressivsten Betrugsoffensive seit Jahren. Kriminelle kombinieren analoge Post mit digitalen High-Tech-Angriffen und zielen auf eine erschreckend große Zahl von Opfern.

Die sogenannte “Quishing”-Welle hat einen neuen Höchststand erreicht. Besonders Kunden der Sparkassen, Commerzbank und Volksbanken stehen im Fadenkreuz organisierter Banden. Was früher als plumpe Phishing-Mail im Spam-Ordner landete, kommt heute als täuschend echter Brief oder als scheinbar legitime Systemnachricht direkt aufs Smartphone.

Die wohl beunruhigendste Entwicklung der letzten Tage: Millionen Deutsche finden hochprofessionelle Briefe in ihren Briefkästen – angeblich von ihrer Hausbank. Das Schreiben warnt vor einer notwendigen “Sicherheitsaktualisierung” und enthält einen QR-Code.

Das macht diese Masche so gefährlich:

• QR-Codes werden von Virenscannern nicht erkannt
• Der Scan erfolgt meist über mobiles Netz ohne Netzwerkschutz
• Die Zielseite ist eine perfekte Kopie der echten Bank-Website
• Kunden scannen unbedacht, weil sie Papierpost vertrauen

“Das ist ein Medienbruch, der bewusst unser Sicherheitsgefühl ausnutzt”, warnen Experten der Verbraucherzentrale. Wer den Code scannt, landet auf einer Fake-Seite und gibt dort seine Zugangsdaten preis.

Viele Android‑Nutzer übersehen grundlegende Schutzmaßnahmen – genau das nutzen Kriminelle bei QR‑ und PushTAN-Angriffen aus. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen für Ihr Android‑Smartphone mit leicht verständlichen Schritt‑für‑Schritt-Anleitungen: sichere App‑Einstellungen, automatische Prüfungen, Update‑Hygiene und wie Sie Banking, PayPal & WhatsApp absichern. Praktische Checklisten helfen, sofort Schutzlücken zu schließen, damit Sie beim Online‑Banking nicht zum Opfer werden. Jetzt kostenloses Android-Sicherheitspaket herunterladen

PushTAN-Falle: Wenn die App zum Einfallstor wird

Parallel zur QR-Code-Welle erleben moderne App-basierte Freigabeverfahren einen massiven Angriff. Die Täter haben ihre Methoden perfektioniert.

Sparkasse: Die Ablauf-Lüge

Kunden erhalten Nachrichten, ihre “S-pushTAN-Registrierung” laufe ab. Betreff: “Dringend: Aktualisierung erforderlich bis 28.11.2025”. Wer dem Link folgt, landet auf einer gefälschten Seite, die in Echtzeit mit der echten Bankseite kommuniziert.

Der Trick: Gibt der Kunde seine Daten ein, lösen die Betrüger im Hintergrund eine Überweisung aus. Das Opfer wird aufgefordert, eine TAN freizugeben – angeblich zur “Bestätigung des Updates”. In Wahrheit autorisiert es damit den Diebstahl.

Commerzbank: Das Zertifikats-Märchen

Hier nutzen Täter das Narrativ eines ablaufenden “PhotoTAN-Zertifikats”. Die Drohung: Wer nicht binnen 48 Stunden reagiert, verliert den Zugriff auf sein Konto. Diese künstliche Zeitverknappung schaltet das rationale Denken aus.

Aktuelle Berichte zeigen: Die gefälschten Mails enthalten oft persönliche Anreden. Das deutet auf Datenlecks bei Drittanbietern hin, die nun für gezielte Angriffe genutzt werden.

Der Anruf danach: Wenn Betrüger zur Bank werden

Besonders perfide: Nach dem Phishing-Angriff klingelt oft das Telefon. Dank “Call-ID-Spoofing” erscheint im Display die offizielle Nummer der Bank. Ein eloquenter “Mitarbeiter” meldet sich, um angeblich betrügerische Abbuchungen zu stoppen.

“Wir sehen Fälle, in denen Kunden Geld auf vermeintliche ‘Sicherheitskonten’ überweisen”, warnt das Landeskriminalamt. Diese Konten sind nichts anderes als Konten von Finanzagenten mit ausländischen IBANs.

Die Täter nutzen Echtzeit-Überweisungen. Ist das Geld einmal weg, ist es binnen Sekunden unwiederbringlich verschwunden.

Warum die Angriffe jetzt so erfolgreich sind

Die Zwei-Faktor-Authentifizierung sollte uns schützen. Doch die Kriminellen greifen nicht mehr die Technologie an, sondern den Menschen vor dem Bildschirm. Social Engineering heißt die Methode – und sie funktioniert erschreckend gut.

Die Schwachstellen im System:

• Banken kontaktieren Kunden tatsächlich per E-Mail und SMS
• Betrugsmails sind heute grammatikalisch fehlerfrei
• KI macht Phishing-Angriffe personalisierbar und massenhaft
• Stimmen am Telefon können durch Deepfakes manipuliert werden

Rechtlich gesehen ist die Lage komplex. Während Gerichte früher oft zugunsten der Banken entschieden, gibt es mittlerweile Urteile, die Banken in die Pflicht nehmen. Wenn ihre Sicherheitssysteme offensichtliche Anomalien nicht blockieren, haften sie mit.

Was kommt als Nächstes?

Für die kommenden Wochen erwarten Experten keine Entspannung. Im Gegenteil – das Weihnachtsgeschäft dürfte die Betrüger zusätzlich motivieren.

Diese Entwicklungen zeichnen sich ab:

• KI-Betrug nimmt zu: Personalisierte Angriffe in großem Stil
• Biometrie im Visier: FaceID und Fingerabdruck als neue Angriffsziele
• Neue Zahlsysteme: Betrüger nutzen Unwissenheit über “Wero” aus

So schützen Sie sich jetzt

Die wichtigste Regel: Banken versenden niemals Links zur Verifizierung per SMS oder E-Mail. Sie fordern auch niemals am Telefon zur Freigabe einer TAN auf.

Konkrete Schutzmaßnahmen:

• Briefe mit QR-Codes ignorieren
• Login immer manuell über die offizielle App
• Bei Anrufen: Auflegen und Bank selbst über offizielle Nummer anrufen
• TANs nur freigeben, wenn Sie selbst eine Aktion ausgelöst haben
• Bei Zeitdruck misstrauisch werden – das ist fast immer ein Warnsignal

Im Zweifelsfall gilt: Den Brief weglegen, die E-Mail löschen und die Bank über die Nummer auf der Rückseite Ihrer Girocard selbst kontaktieren. Lieber einmal zu viel nachgefragt als das Konto leergeräumt.

PS: Wussten Sie, dass eine einzige falsche App‑Einstellung Kriminellen den Zugang zu Konten eröffnen kann? Der kostenlose Ratgeber zeigt konkrete, leicht umsetzbare Tricks – inklusive eines wenig bekannten Tipp 3, der viele Sicherheitslücken schließt – und erklärt, wie Sie QR‑Scans und PushTAN‑Fallen schnell erkennen. Praktisch, ohne Technik‑Schnickschnack, damit Sie Ihr Smartphone sofort besser schützen. Kostenloses Sicherheitspaket für Android jetzt anfordern