Zum Inhalt springen
Finanzen & FinTech

Bank-Phishing im Namen von DKB, Sparkasse und Volksbank: Die aktuelle Welle

Gefälschte SMS, QR-Codes und Anrufe im Namen von DKB und Sparkasse: Die aktuelle Phishing-Welle trifft Konten deutschlandweit – mit fiesem Zeitdruck.

Bank-Phishing, DKB, Sparkasse – Person prüft verdächtige Bank-Phishing SMS vor einem Geldautomaten
Gefälschte SMS im Namen von Banken setzen auf Zeitdruck – oft direkt am Geldautomaten geöffnet. (Symbolbild)

Die Post kommt heute nicht mehr per Brief. Sie kommt per SMS, angeblich von der DKB, mit der Aufforderung, die Banking-App „aus Sicherheitsgründen“ sofort neu zu aktivieren. Oder per Mail, angeblich von der Sparkasse, mit der Warnung vor einer verdächtigen Zahlung. Der Clou: Beide Nachrichten wollen dasselbe. Zugangsdaten, TAN, ein bisschen Panik – fertig ist der leergeräumte Kontostand. Sicherheitsforscher dokumentieren seit Tagen eine spürbar verschärfte Phishing-Welle gegen deutsche Bankkunden, die parallel mehrere Institute betrifft und offenbar Privat- wie Geschäftskonten gleichermaßen im Blick hat.

Die neue Welle: DKB, Sparkasse, Volksbank und Postbank gleichzeitig im Fadenkreuz

Wenig überraschend, aber trotzdem bemerkenswert: Es trifft nicht nur ein Institut. Aktuelle Sicherheitsberichte zeigen eine Kampagne, die sich im Namen der DKB ausgibt und parallel dazu Kundinnen und Kunden von Sparkasse, Volksbank und Postbank mit gefälschten Zahlungs- oder Sicherheitsmeldungen unter Druck setzt. Das Muster ist bankübergreifend identisch, nur das Logo wechselt. Genau das macht die Sache so unangenehm für die Institute – sie müssen praktisch im Wochentakt neue Warnhinweise veröffentlichen, während die Kriminellen längst die nächste Textvariante testen.

Das Pikante daran: Bank-Phishing ist kein neues Phänomen, aber die Kampagnen laufen inzwischen mehrkanalig. E-Mail, SMS, Telefonanruf, QR-Code, gefälschte Website – alles wird kombiniert, damit irgendein Kanal durchkommt. Wer den SMS-Filter im Griff hat, bekommt vielleicht den Anruf. Wer misstrauisch bei Anrufen ist, bekommt den QR-Code in der Fake-Rechnung.

Die DKB-Masche: Angebliche Re-Aktivierung der Banking-App

Bei der DKB läuft aktuell eine Variante, die auf die App-Sicherheit zielt. Die Nachricht behauptet, die Banking-App müsse wegen eines Sicherheitsupdates neu aktiviert werden, oder es sei eine „Testtransaktion“ beziehungsweise eine angebliche Absicherung für Echtzeitüberweisungen nötig. Wer klickt, landet nicht im echten DKB-Login, sondern auf einer Kopie, die Zugangsdaten und TAN direkt an die Angreifer weiterleitet. Die DKB selbst warnt explizit davor, dass Kriminelle sich als Bankmitarbeitende ausgeben und über SMS oder QR-Code auf solche Fake-Seiten locken, wie das Institut auf seiner Phishing-Warnseite erklärt.

Der Trick mit der „Re-Aktivierung“ funktioniert deshalb so gut, weil er sich wie ein normaler App-Vorgang anfühlt. Niemand findet es seltsam, wenn eine Banking-App mal ein Update will. Genau diese Alltäglichkeit nutzen die Angreifer aus – Phishing muss heute nicht mehr plump wirken, es muss nur plausibel genug sein, um die nächsten zwanzig Sekunden zu überstehen.

Die technische Ebene: Wie Kriminelle die Zwei-Faktor-Authentifizierung aushebeln

Viele Nutzer wiegen sich in trügerischer Sicherheit, weil ihr Online-Banking durch eine Zwei-Faktor-Authentifizierung (2FA) geschützt ist. Doch genau hier hat die Kriminalität in den letzten Jahren massiv aufgerüstet. Moderne Phishing-Kits funktionieren nicht mehr als einfache Kopien, sondern als interaktive Proxy-Server im Hintergrund. Gibt ein Kunde seine Zugangsdaten auf der gefälschten Sparkassen- oder DKB-Seite ein, leitet das Skript diese in Echtzeit an das echte Bankenportal weiter. Das echte Portal fordert nun den zweiten Faktor an – etwa eine pushTAN oder eine SMS-TAN.

Die gefälschte Seite spiegelt diese Aufforderung exakt und in Sekundenbruchteilen an das Opfer zurück. Der Kunde denkt, er müsse die Transaktion für das vermeintliche Sicherheitsupdate bestätigen, und gibt die TAN ein oder drückt in seiner echten Banking-App auf Bestätigen. Im Hintergrund nutzen die Angreifer diese eine, flüchtige Session, um im echten Konto eine vollkommen andere Überweisung auf ein Geldesel-Konto anzustoßen. Das erklärt, warum die Masche mit der angeblichen App-Reaktivierung so perfide ist: Sie bereitet das Opfer psychologisch exakt auf den Moment vor, in dem eine echte Push-Benachrichtigung auf dem Smartphone aufleuchtet. Wer dann nicht die Details der Transaktion im Push-Text liest, sondern nur blind bestätigt, verliert sein Geld.

Diese hochautomatisierten Angriffsmaschinen werden im Darknet oft als Rundum-sorglos-Pakete vermietet. Kriminelle müssen nicht mehr selbst programmieren, sondern kaufen sich in fertige Infrastrukturen ein, die inkludierten Support und ständige Anpassungen an die aktuellen Sicherheitsmasken der deutschen Banken bieten. Wie solche professionellen Phishing-Dienste in Deutschland zerschlagen werden, zeigt, wie tief diese Infrastruktur bereits verwurzelt ist. Ein Katz-und-Maus-Spiel, bei dem die Angreifer oft einen zeitlichen Vorsprung haben, bevor die Institute ihre Warnmechanismen nachziehen können.

Sparkasse, Volksbank, Postbank: Zahlungsdruck statt Charme

Bei Sparkasse, Volksbank und Postbank läuft es parallel über eine andere Schiene: gefälschte Zahlungs- oder Sicherheitsmeldungen, die suggerieren, es sei bereits etwas passiert – eine verdächtige Abbuchung, eine gesperrte Karte, eine ausstehende Freigabe. Der Zeitdruck ist Programm. Wer eine Nachricht bekommt, die behauptet, das eigene Konto sei „vorübergehend eingeschränkt“, klickt eher, als lange zu prüfen, ob der Absender wirklich echt ist.

Das Bundesamt für Sicherheit in der Informationstechnik listet die klassischen Erkennungsmerkmale solcher Nachrichten seit Jahren fast identisch auf: unpersönliche Anrede, Drohungen oder knappe Fristen, Rechtschreibfehler, die Abfrage von TAN oder PIN sowie gefälschte Webadressen, die dem Original nur ähneln. Die Behörde rät auf ihrer Themenseite zu E-Mail-Phishing dazu, verdächtige Nachrichten grundsätzlich nicht zu beantworten, sondern zu ignorieren.

Was die Zahlen wirklich sagen

Belastbare, bankübergreifende Statistiken nur für Phishing sind rar – die meisten Institute veröffentlichen Betrugszahlen, die mehrere Maschen zusammenfassen. Die Sparkasse liefert hier immerhin einen konkreten Anhaltspunkt: Für 2025 registrierte die Polizei rund 96.400 Fälle von Betrug rund um Konto und Zahlungskarte in Deutschland, etwa fünf Prozent mehr als im Vorjahr. Wichtig für die Einordnung: Diese Zahl bezieht sich auf Betrug rund um Konto und Karte insgesamt, nicht ausschließlich auf Phishing und nicht nur auf DKB, Sparkasse oder Volksbanken.

Bank-Betrug in Deutschland: Die Sparkasse-Zahlen 2025

  • 96.400Betrugsfälle Konto & Karte 2025
  • 5Veränderung zum Vorjahr
  • 116116Sperr-Notruf bundesweit

Zum Vergleich taucht in Medienberichten gelegentlich eine andere Zahl auf: Ein einzelnes Institut berichtete laut Handelsblatt von einem Anstieg der Phishing-Attacken im mittleren zweistelligen Prozentbereich innerhalb eines Jahres. Diese Zahl ist jedoch institutsspezifisch und lässt sich nicht ohne Weiteres auf DKB, Sparkasse oder Volksbanken übertragen. Wer mit solchen Zahlen hantiert, sollte immer fragen: Welches Institut, welcher Zeitraum, welche Betrugsart genau? Sonst wird aus einer Randnotiz schnell eine falsche Schlagzeile.

Vorsicht vor der KI-Phishing-Hysterie

Im Netz kursieren zudem Behauptungen zu angeblich extrem hohen Klickraten bei KI-generierten Phishing-Mails. Solche Zahlen stammen häufig aus fragwürdigen Quellen und sind in seriösen deutschen Berichten nicht verifiziert. Das heißt nicht, dass KI-Texte in Phishing-Kampagnen keine Rolle spielen – aber belastbare, bankübergreifende Statistiken dazu fehlen für Deutschland bislang schlicht. Meine persönliche Einschätzung: Die eigentliche Gefahr liegt weniger in der Textqualität als im Timing. Eine Mail muss nicht perfekt formuliert sein, wenn sie genau dann kommt, wenn jemand gerade eine echte Überweisung erwartet.

Vergleich einer gefälschten Bank-Login-Seite mit der echten Webadresse
Fake-Login-Seiten unterscheiden sich oft nur durch minimale Details in der Webadresse. (Symbolbild)

Warum Zeitdruck und Autorität so gut funktionieren

Bank-Phishing lebt von zwei psychologischen Hebeln: Autorität und Zeitdruck. Die Nachricht kommt scheinbar von der eigenen Bank – einer Institution, der man ohnehin vertraut, weil dort das eigene Geld liegt. Gleichzeitig wird eine Frist gesetzt, oft nur wenige Stunden. Wer unter Druck steht, denkt weniger nach. Das ist keine neue Erkenntnis, sondern der älteste Trick im Social-Engineering-Buch, nur mit aktuelleren Bank-Logos.

Angriffsszenarien wiederholen sich dabei fast schablonenhaft: Erste Nachricht warnt vor einem Problem. Zweite Nachricht, oft ein Anruf, „bestätigt“ die Dringlichkeit. Dritter Schritt ist der Link oder QR-Code zur Fake-Seite. Wer alle drei Stufen durchläuft, ist meist schon zu tief drin, um noch kritisch zu hinterfragen, warum die eigene Bank plötzlich per SMS nach der TAN fragt – etwas, das seriöse Institute grundsätzlich nicht tun.

Die Eskalationsstufe: Der falsche Bankmitarbeiter am Telefon

Wenn die erste SMS oder E-Mail auf Skepsis trifft und nicht angeklickt wird, schalten die Betrüger oft nahtlos in die nächste Eskalationsstufe. Das Telefon klingelt, und im Display erscheint tatsächlich die offizielle Rufnummer der eigenen Bank – ein technisch simples, aber extrem wirkungsvolles Call-ID-Spoofing. Am Apparat meldet sich ein vermeintlicher Mitarbeiter der Sicherheitsabteilung, der mit besorgter Stimme vor genau dem Hackangriff warnt, den die Bank gerade per Mail gemeldet habe.

Dieser Schritt ist psychologisch verheerend. Das Opfer fühlt sich bestätigt: Die Bank ruft an, die Gefahr muss also real sein. Der falsche Mitarbeiter bittet nun darum, zur Überprüfung eine Test-TAN zu generieren oder eine Push-Nachricht auf dem Smartphone zu bestätigen, um das Konto zu sperren. In Wirklichkeit initiieren die Täter im Hintergrund eine echte Auslandsüberweisung. Wer in diesem Moment kooperiert, autorisiert den Diebstahl eigenhändig. Banken betonen in ihren Sicherheitsrichtlinien immer wieder, dass sie Kunden niemals aktiv anrufen, um PINs, TANs oder Freigaben abzufragen. Dennoch funktioniert diese Masche, weil die Autorität der Stimme am Telefon in Stresssituationen das rationale Misstrauen überlagert.

Die Verräter: So erkennen Sie Bank-Phishing zuverlässig

Es gibt ein paar Merkmale, die sich über Jahre kaum verändert haben, gerade weil sie funktionieren. Wer sie kennt, gewinnt im Zweifel die entscheidenden zehn Sekunden.

  • Unpersönliche oder falsch geschriebene Anrede statt des echten Namens aus dem Kundenverhältnis
  • Drohungen mit Kontosperrung oder knappe Fristen, die zum sofortigen Handeln drängen
  • Aufforderung, TAN, PIN oder Zugangsdaten per Mail, SMS oder Telefon durchzugeben
  • Links oder QR-Codes, die zu einer Adresse führen, die dem echten Bankauftritt nur ähnelt
  • Rechtschreibfehler oder ungewöhnliche Formulierungen im angeblich offiziellen Bankschreiben

Die Verbraucherzentrale empfiehlt für den Umgang mit solchen Nachrichten eine simple Regel: ignorieren, in den Spam-Ordner verschieben, im Zweifel niemals über die in der Nachricht angegebenen Kontaktdaten reagieren. Stattdessen immer die offizielle Banking-App öffnen oder die bekannte Website direkt eintippen. Ein Logo im Mail-Header beweist gar nichts – Logos lassen sich in fünf Minuten kopieren, eine echte TAN-Abfrage der eigenen Bank dagegen findet praktisch nie per SMS oder Telefonanruf statt.

Prävention im Alltag: Technische Leitplanken gegen den Klick

Neben der klassischen Skepsis gibt es technische Hilfsmittel, die das Risiko eines erfolgreichen Phishing-Angriffs drastisch senken, selbst wenn man im stressigen Alltag mal unaufmerksam ist. Der konsequente Einsatz eines Passwort-Managers ist eine der effektivsten Barrieren. Ein seriöser Passwort-Manager füllt Zugangsdaten nur auf der exakt hinterlegten Domain aus. Leitet eine SMS auf eine gefälschte Adresse weiter, bleibt das Passwortfeld leer. Das ist ein unübersehbares Warnsignal, das den Nutzer aus dem automatisierten Klick-Modus reißt, bevor er manuell etwas eintippt.

Wer noch einen Schritt weitergehen möchte, setzt auf Hardware-Sicherheitsschlüssel nach dem FIDO2-Standard. Diese kleinen Sticks müssen physisch an das Gerät angeschlossen oder an das Smartphone gehalten werden, um das Login abzuschließen. Da Phishing-Server diesen kryptografischen Handshake mit dem echten Bankenserver nicht simulieren können, läuft der Angriff ins Leere. Zwar unterstützen noch nicht alle deutschen Banken im Privatkundenbereich flächendeckend diese Hardware-Tokens, aber dort, wo es möglich ist, stellt es den Goldstandard der Absicherung dar.

Zusätzlich lohnt sich ein Blick auf die Schutzeinstellungen des eigenen E-Mail-Providers. Viele Anbieter nutzen Markierungen für externe Absender oder warnen vor bekannten Phishing-Domains, bevor die Nachricht überhaupt im Posteingang landet. Diese KI-gestützten Filtersysteme im Hintergrund fangen einen Großteil der plumpen Massenmails ab, auch wenn sie bei hochindividualisierten Spear-Phishing-Angriffen an ihre Grenzen kommen.

Wer die grundlegenden Mechanismen verstehen möchte, sollte sich damit beschäftigen, was Phishing im Kern eigentlich ist und wie sich die Angriffsvektoren über die Jahre gewandelt haben.

Ernstfall Klick: Handlungsschritte in der ersten Stunde

Plot Twist: Auch vorsichtige Menschen klicken manchmal falsch. Müdigkeit, Stress, ein Anruf mitten im Feierabend – reicht oft. Entscheidend ist dann nicht die Scham, sondern die Geschwindigkeit der Reaktion.

Wer den Verdacht hat, Zugangsdaten oder eine TAN auf einer Fake-Seite eingegeben zu haben, sollte in dieser Reihenfolge handeln:

  1. Sofort die eigene Bank über die offiziell bekannte Nummer kontaktieren, niemals über eine Nummer aus der verdächtigen Nachricht
  2. Online-Banking und Karte sperren lassen, notfalls über die bundesweite Sperr-Notrufnummer 116 116
  3. Kontobewegungen der letzten Stunden und Tage genau prüfen
  4. Anzeige bei der Polizei erstatten, am besten mit Screenshots der Phishing-Nachricht
  5. Zugangsdaten für Online-Banking und verknüpfte Dienste ändern, sobald der Zugang wieder gesichert ist

Diese Empfehlungen deckt die Sparkasse in ihrer eigenen Übersicht zu aktuellen Betrugsversuchen im Kern ab. Der entscheidende Punkt: Zeit ist bei Kontobetrug ein echter Faktor. Je länger die Sperrung dauert, desto mehr Zeit haben Kriminelle, das Geld weiterzuleiten.

Was Unternehmen zusätzlich beachten sollten

Geschäftskonten sind kein sichererer Hafen, im Gegenteil. Wer in der Buchhaltung oder im Zahlungsverkehr arbeitet, bekommt gefälschte Zahlungsaufforderungen oft in einem Umfeld, in dem echte Überweisungsfreigaben ohnehin zum Alltag gehören. Genau das macht Firmenkonten attraktiv: Eine gefälschte „dringende Freigabe“ fällt zwischen zwanzig echten Vorgängen leichter nicht auf. Klare interne Regeln – etwa ein Vier-Augen-Prinzip bei ungewöhnlichen Zahlungsanweisungen und feste Rückrufnummern statt Nummern aus E-Mails – reduzieren das Risiko deutlich, auch wenn sie im Alltag lästig wirken.

Was bleibt?

Bank-Phishing ist kein Einzelfall mehr, sondern Dauerrauschen im digitalen Alltag. DKB, Sparkasse, Volksbank, Postbank – die Reihenfolge der betroffenen Institute wechselt, das Grundmuster bleibt stur dasselbe: Autorität vortäuschen, Zeitdruck erzeugen, Zugangsdaten abgreifen. Die brisante Wahrheit dahinter ist banal: Diese Masche funktioniert seit Jahren, weil sie einfach billig zu produzieren und teuer für die Opfer ist.

Was bleibt also außer der immer gleichen Warnung? Vielleicht die Frage, ob es nicht längst Zeit wäre, dass Banken TAN-Verfahren so gestalten, dass eine Phishing-Seite technisch gar keinen Nutzen mehr aus abgegriffenen Zugangsdaten ziehen kann. Bis dahin bleibt der Blick auf Absender, Link und die eigene Nervosität die beste Verteidigung – kostenlos, lästig, aber wirksam.

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.