Smishing: Phishing per SMS erkennen und richtig reagieren 2026

Was ist Smishing? Definition und Funktionsweise

Smishing ist Phishing per SMS. Der Begriff kombiniert „SMS“ und „Phishing“ – und beschreibt eine Betrugsmasche, bei der Kriminelle gefälschte Textnachrichten versenden, um sensible Daten zu stehlen oder Schadsoftware auf deinem Smartphone zu installieren. Das Prinzip ist nicht neu, aber die Methoden dahinter sind technisch ausgereifter geworden als viele ahnen.

Der Kern jedes Smishing-Angriffs ist Social Engineering: Die Nachricht soll Vertrauen wecken und dich zu einer schnellen, unüberlegten Handlung verleiten. Betrüger imitieren dabei Banken, Paketdienste wie DHL oder DPD, Behörden wie das Finanzamt oder den Zoll sowie Mobilfunkanbieter. Das Ziel ist immer dasselbe: Du sollst auf einen Link klicken, eine App installieren oder vertrauliche Daten eingeben.

Wie Smishing technisch funktioniert

Hinter einer Smishing-Kampagne steckt mehr Technik als eine einfache SMS vom Handy eines Betrügers. Angreifer nutzen sogenannte SIM-Banken – spezielle Hardware mit großen Pools an SIM-Karten und Telefonnummern. Diese Geräte erlauben es, Tausende Nachrichten gleichzeitig von wechselnden Nummern zu versenden. Das macht die Rückverfolgung für Ermittler erheblich schwieriger.

Noch gefährlicher ist das sogenannte Spoofing. Dabei fälschen Angreifer die Absender-ID einer SMS so, dass sie identisch mit der echten Absender-ID deiner Bank oder deines Paketdienstleisters ist. Smartphones gruppieren Nachrichten nach Absender-ID, nicht nach der tatsächlichen technischen Herkunftsnummer. Das Ergebnis: Die gefälschte Smishing-SMS erscheint im selben Chat-Thread wie echte Nachrichten deiner Bank. Für dich als Empfänger ist das optisch kaum zu unterscheiden – und genau das ist die eigentliche Gefahr.

Was Angreifer mit Smishing erreichen wollen

Ein Smishing-Angriff verfolgt in der Regel eines von vier Zielen. Erstens den Diebstahl von Zugangsdaten: Passwörter, TANs und PINs, die du auf einer gefälschten Website eingibst. Zweitens die Installation von Schadsoftware oder Spyware auf deinem Gerät, die im Hintergrund Daten abgreift. Drittens die direkte Erschleichung von Kreditkarten- oder Bankdaten. Und viertens den umfassenden Identitätsdiebstahl, bei dem deine persönlichen Daten für weitere Betrugsmaschen genutzt werden.

Wichtig zu wissen: Bereits das Versenden einer Smishing-SMS ist nach deutschem Recht eine Straftat. Es handelt sich um einen Betrugsversuch im Sinne des Strafgesetzbuches – unabhängig davon, ob das Opfer tatsächlich Schaden erleidet. Das gibt dir als Betroffener das Recht und die Möglichkeit, sofort Anzeige zu erstatten.

Smishing in Zahlen: Wie groß ist die Bedrohung wirklich?

Zahlen machen das abstrakte Risiko greifbar. Und die Zahlen zur Cyberkriminalität in Deutschland sind alarmierend. Laut der amtlichen Polizeilichen Kriminalstatistik wurden 2024 in Deutschland 131.391 Cybercrime-Fälle erfasst. Der wirtschaftliche Schaden durch Cyberangriffe belief sich im selben Jahr auf 178,6 Milliarden Euro – ein erneuter Anstieg gegenüber dem Vorjahr. Smishing ist dabei kein Randphänomen, sondern wird von Ermittlungsbehörden explizit als besonders auffälliger Eintrittsvektor eingestuft.

Auf globaler Ebene entfallen mittlerweile 35 % aller Phishing-Angriffe auf den SMS-Kanal – mit einem Jahreswachstum von +40 %. Das ist kein langsames Wachstum, sondern eine Verdoppelung des Risikos innerhalb weniger Jahre. Wie real die Bedrohung ist, zeigt ein Beispiel aus dem April 2021: Allein bei einem deutschen Mobilfunkanbieter klickten täglich 7.000 bis 8.000 Kunden auf Links in Smishing-SMS und infizierten dabei ihre Geräte mit Schadsoftware.

Was ein Angriff im Durchschnitt kostet

Der durchschnittliche finanzielle Verlust pro betroffenem Nutzer in Deutschland durch Messenger-Betrug – inklusive SMS-Betrug – beträgt 1.180 Euro. Das klingt nach einem überschaubaren Betrag, aber er summiert sich schnell, wenn man bedenkt, wie viele Angriffe täglich stattfinden. Hinzu kommen der Zeitaufwand für die Schadensbegrenzung, mögliche Kosten für IT-Unterstützung und der psychologische Stress.

Besonders gefährdet ist eine Gruppe, die sich oft für besonders medienkompetent hält: Personen unter 35 Jahren haben ein statistisch doppelt so hohes Risiko, Opfer eines Smishing-Angriffs zu werden. Der Grund liegt in der intensiveren Smartphone-Nutzung und dem schnelleren, weniger reflektierten Umgang mit mobilen Nachrichten.

Auch das Bewusstsein in der Bevölkerung ist noch nicht ausreichend geschärft: Zwar geben 62 % der Menschen an, bereits bewusst eine Phishing-Nachricht erhalten zu haben. Aber das bedeutet im Umkehrschluss, dass ein erheblicher Anteil solche Nachrichten nicht als Betrugsversuch identifiziert – und damit angreifbar bleibt.

Öffnungs-, Antwort- und Klickraten: SMS schlägt E-Mail deutlich

Der entscheidende Grund für das Wachstum von Smishing liegt in einer schlichten Zahl: SMS haben eine Öffnungsrate von rund 98 %. E-Mails kommen auf etwa 20 %. Wer eine SMS bekommt, liest sie fast immer – und das meist innerhalb von Minuten. Für Betrüger ist das ein enormer Vorteil gegenüber dem E-Mail-Kanal, bei dem ausgereifte Spamfilter viele Angriffe abfangen, bevor sie den Posteingang erreichen.

Die Klickrate auf Phishing-Links in SMS liegt bei 8,9 % bis 14,5 % – gegenüber rund 2 % bei E-Mail-Phishing. Das bedeutet: Smishing-Links werden bis zu siebenmal häufiger angeklickt als Links in Phishing-E-Mails. Für Kriminelle ist das eine erheblich höhere Rendite pro versendeter Nachricht.

Smishing vs. E-Mail-Phishing: Ein direkter Vergleich

Beide Angriffswege verfolgen dasselbe Ziel, aber sie funktionieren unterschiedlich gut – und aus unterschiedlichen Gründen. Das Verständnis der Unterschiede hilft dir, beide Bedrohungen realistisch einzuschätzen.

SMS gilt als persönlicher Kanal. Du bekommst dort Nachrichten von Familie, Freunden und deiner Bank. Diese wahrgenommene Vertrauenswürdigkeit ist der wichtigste Hebel, den Smishing-Angreifer nutzen. E-Mails hingegen haben durch jahrelange Spam-Erfahrung einen schlechteren Ruf – viele Menschen sind gegenüber unbekannten E-Mail-Absendern bereits misstrauisch. Bei SMS fehlt dieses erlernte Misstrauen noch weitgehend.

Dazu kommt ein technisches Ungleichgewicht: Für E-Mails existieren ausgereifte Spamfilter, die Phishing-Versuche oft automatisch erkennen und aussortieren. SMS-Filterung ist dagegen kaum entwickelt. Mobilfunkanbieter können zwar bestimmte Muster blockieren, aber die Erkennungsrate ist deutlich geringer als bei E-Mail-Providern.

Technischer Aufwand und Wachstumsdynamik

Interessanterweise ist der technische Aufwand für Smishing-Angreifer höher als für E-Mail-Phishing. SIM-Banken und spezielle Hardware kosten Geld. E-Mail-Phishing lässt sich mit günstigen Phish-Kits aus dem Darknet und einfachen Cloud-Diensten betreiben. Dennoch wächst Smishing mit +40 % im Jahresvergleich stark – weil die Erfolgsquote die höheren Kosten mehr als ausgleicht.

E-Mail-Phishing bleibt in absoluten Zahlen dominant. Aber Smishing holt auf – und zwar in einem Segment, das besonders wertvoll ist: smartphone-affine Nutzer unter 35 Jahren, die mobil bezahlen, mobile Banking nutzen und ihre gesamte digitale Identität auf dem Smartphone verwalten.

Das Fazit aus dem Vergleich ist eindeutig: Smishing ist nicht gefährlicher, weil es technisch ausgefeilter ist – sondern weil es den menschlichen Faktor besser ausnutzt. Die Kombination aus hoher Öffnungsrate, fehlendem Spamfilter und wahrgenommener Vertrauenswürdigkeit macht SMS zum effektivsten Phishing-Kanal der Gegenwart.

Smishing erkennen: Warnsignale und typische Maschen

Die gute Nachricht: Smishing-SMS haben fast immer erkennbare Merkmale. Wer die Muster kennt, kann eine gefälschte Nachricht in Sekunden identifizieren – auch wenn sie im echten Chat-Thread deiner Bank erscheint.

Das wichtigste Warnsignal: künstlicher Zeitdruck

Nahezu jede Smishing-SMS arbeitet mit Dringlichkeit. Typische Formulierungen sind: „Ihr Konto wird in 24 Stunden gesperrt“, „Ihr Paket kann nicht zugestellt werden – bestätigen Sie jetzt Ihre Adresse“ oder „Ungewöhnliche Aktivität auf Ihrem Konto festgestellt“. Das Ziel ist immer dasselbe: Du sollst handeln, bevor du nachdenkst. Echter Zeitdruck bei legitimen Nachrichten ist die absolute Ausnahme – bei Smishing ist er die Regel.

Weitere konkrete Warnsignale

Unpersönliche Anrede: Echte Nachrichten deiner Bank enthalten deinen Namen. Eine SMS, die mit „Sehr geehrter Kunde“ oder gar ohne Anrede beginnt, ist ein starkes Warnsignal.

Rechtschreib- und Grammatikfehler: Viele Smishing-SMS werden maschinell übersetzt oder stammen aus dem Ausland. Ungewöhnliche Formulierungen, fehlende Umlaute oder seltsame Satzstrukturen sind ein klares Zeichen.

Verdächtige Links: Der enthaltene Link ist oft eine verkürzte URL (z. B. über bit.ly oder ähnliche Dienste) oder eine Domain, die dem echten Unternehmensnamen ähnelt, aber nicht identisch ist. Beispiele: „sparkasse-sicherheit.de“ statt „sparkasse.de“ oder „dhl-paket-info.com“ statt „dhl.de“. Klicke niemals auf solche Links.

Aufforderung zur App-Installation: Wenn eine SMS dich auffordert, eine App über einen Link herunterzuladen – also außerhalb des offiziellen App-Stores – ist das ein eindeutiges Zeichen für Schadsoftware. Kein seriöses Unternehmen verteilt Apps auf diesem Weg.

Anfrage nach vertraulichen Daten: Keine Bank, kein Paketdienst und kein Kreditkarteninstitut fragt per SMS nach deiner PIN, TAN, vollständigen Kartennummer oder deinem Passwort. Kreditkartenanbieter wie Finalarm-Partner versenden niemals eine Kundenservice-Nummer in einer SMS mit und fragen nie per SMS nach vollständigen Kartendaten.

Unbekannte oder internationale Absendernummer: Wenn die Nummer nicht im Adressbuch gespeichert ist oder eine ungewöhnliche internationale Vorwahl hat, ist Vorsicht geboten. Aber Achtung: Durch Spoofing kann auch eine bekannte Nummer gefälscht sein.

Typische imitierte Absender in Deutschland

Die häufigsten Smishing-Maschen in Deutschland imitieren Sparkassen und Volksbanken mit Betreffzeilen wie „Aktualisierung erforderlich“ oder „pushTAN-Wartungsarbeiten“. DHL und DPD werden mit angeblichen Zustellproblemen imitiert. Das Finanzamt und der Zoll tauchen mit angeblichen Rückerstattungen oder Zollgebühren auf. Mobilfunkanbieter werden mit angeblichen Rechnungsproblemen gefälscht.

Was tun nach einem Smishing-Angriff? Sofortmaßnahmen Schritt für Schritt

Du hast auf einen Link in einer verdächtigen SMS geklickt. Was jetzt? Die ersten Minuten sind entscheidend. Je schneller du handelst, desto geringer ist der Schaden. Hier sind die elf Schritte in der richtigen Reihenfolge – priorisiert nach Dringlichkeit.

Schritt 1 bis 5: Sofortreaktion in den ersten Minuten

Schritt 1 – Flugmodus aktivieren: Das ist die allerwichtigste erste Maßnahme. Aktiviere sofort den Flugmodus deines Smartphones oder trenne WLAN und mobile Daten manuell. Das stoppt jeden laufenden Datentransfer und verhindert, dass eine möglicherweise installierte Schadsoftware Daten an Angreifer sendet oder sich weiter ausbreitet.

Schritt 2 – Keine Daten eingeben: Falls die gefälschte Website noch geöffnet ist, gib dort unter keinen Umständen Daten ein. Schließe den Browser sofort. Jede Eingabe – auch eine falsche – kann Angreifern nützliche Informationen liefern.

Schritt 3 – Screenshot sichern: Mache einen Screenshot der Smishing-SMS und, falls noch zugänglich, der gefälschten Website. Diese Beweise brauchst du für die Anzeige bei der Polizei und für deine Bank.

Schritt 4 – Virenscan durchführen: Aktiviere nach dem Flugmodus eine Sicherheits-App (z. B. Avast, Avira oder Malwarebytes) und führe einen vollständigen Scan durch. Auf Android-Geräten ist das Risiko einer Schadsoftware-Installation durch Smishing-Links besonders hoch.

Schritt 5 – Passwörter ändern: Ändere die Passwörter aller potenziell betroffenen Konten – aber unbedingt auf einem anderen Gerät (PC, Tablet). Dein Smartphone könnte kompromittiert sein. Beginne mit dem wichtigsten Konto: deinem E-Mail-Konto, da es als Schlüssel für alle anderen Konten dient.

Schritt 6 bis 11: Schadensbegrenzung und rechtliche Schritte

Schritt 6 – Bank kontaktieren: Ruf deine Bank oder dein Kreditkarteninstitut über die offizielle Hotline an – die Nummer findest du auf der Rückseite deiner Karte oder auf der offiziellen Website. Schildere den Vorfall und bitte um Überprüfung deines Kontos auf unautorisierte Transaktionen.

Schritt 7 – Sperr-Notruf 116 116: Der zentrale Kreditkarten-Sperr-Notruf in Deutschland ist 116 116. Er ist kostenlos, rund um die Uhr erreichbar und gilt für alle gängigen Karten. Im Ausland wähle +49 116 116.

Schritt 8 – SEPA-Recall beantragen: Falls bereits eine Überweisung von deinem Konto erfolgt ist, beantrage sofort einen SEPA-Recall bei deiner Bank. Dieser Rückruf ist zeitkritisch – je schneller du handelst, desto höher die Chance auf eine erfolgreiche Rückbuchung.

Schritt 9 – Browser-Cache leeren: Lösche Browser-Cache, Cookies und den Browserverlauf auf dem betroffenen Gerät. Das entfernt gespeicherte Sitzungsdaten, die Angreifer möglicherweise nutzen könnten.

Schritt 10 – Anzeige erstatten: Erstattedie Anzeige bei der Internetwache deines Bundeslandes – das geht online, ohne dass du zur Polizeidienststelle fahren musst. Smishing ist eine Straftat, und deine Anzeige hilft Ermittlern, Täter zu verfolgen. Melde die SMS zusätzlich an die Verbraucherzentrale (Phishing-Radar) und an dein Kreditkarteninstitut.

Schritt 11 – Werksreset bei Android: Wenn der Virenscan Schadsoftware gefunden hat und diese nicht vollständig entfernt werden konnte, ist ein Werksreset die sicherste Lösung. Sichere vorher alle wichtigen Daten auf einem externen Speicher oder in der Cloud – aber stelle sicher, dass du keine infizierten Dateien mitnimmst.

Smishing verhindern: Technische und verhaltensbasierte Schutzmaßnahmen

Der beste Schutz vor Smishing ist eine Kombination aus technischen Einstellungen und bewusstem Verhalten. Beides allein reicht nicht – zusammen bilden sie eine wirksame Verteidigungslinie.

Technische Schutzmaßnahmen für iPhone und Android

Auf dem iPhone gibt es eine einfache, aber wirksame Einstellung: Gehe zu Einstellungen → Nachrichten → „Unbekannte Absender filtern“ aktivieren. Nachrichten von Nummern, die nicht in deinem Adressbuch stehen, werden dann in einen separaten Ordner verschoben und können keine Vorschaubenachrichtigungen auslösen. Das reduziert die Wahrscheinlichkeit, impulsiv auf einen Link zu tippen, erheblich.

Auf Android-Geräten aktivierst du den Spam-Schutz direkt in der Nachrichten-App: Einstellungen → Spam-Schutz aktivieren. Zusätzlich solltest du die Installation aus unbekannten Quellen deaktivieren: Einstellungen → Biometrie und Sicherheit → „Unbekannte Apps installieren“ auf „Nicht erlaubt“ setzen. Das ist die wichtigste Einzelmaßnahme gegen Smishing-basierte Schadsoftware auf Android, da das System sonst das Installieren von APK-Dateien außerhalb des Play Stores erlaubt.

Für beide Plattformen gilt: Betriebssystem und Apps immer aktuell halten. Sicherheitsupdates schließen bekannte Schwachstellen, über die Schadsoftware eingeschleust werden kann. Aktiviere automatische Updates, damit du keine kritischen Patches verpasst.

Eine Sicherheits-App (z. B. Avast Mobile Security, Avira Antivirus, Trend Micro ScamCheck) bietet eine zusätzliche Schutzschicht. Viele dieser Apps erkennen bekannte Phishing-URLs in Echtzeit und warnen dich, bevor du eine gefälschte Website öffnest.

Konto-Sicherheit: 2FA richtig einsetzen

Zwei-Faktor-Authentifizierung (2FA) ist ein wichtiger Schutz – aber nicht alle 2FA-Methoden sind gleich sicher. SMS-basierte 2FA ist zwar besser als gar keine 2FA, hat aber eine bekannte Schwachstelle: SIM-Swap-Angriffe. Dabei übernehmen Kriminelle deine Telefonnummer, indem sie deinen Mobilfunkanbieter täuschen, und können dann deine SMS-Codes abfangen.

Sicherer sind Authenticator-Apps wie Google Authenticator, Authy oder Microsoft Authenticator. Diese generieren zeitbasierte Einmalcodes direkt auf deinem Gerät, ohne dass eine SMS versendet wird. Aktiviere diese Methode für alle wichtigen Konten – E-Mail, Banking, soziale Netzwerke.

Lass dir außerdem eine Drittanbietersperre bei deinem Mobilfunkanbieter einrichten. Diese verhindert, dass über deine Handynummer Käufe oder Abonnements abgerechnet werden können – eine häufige Folge von Smishing-Angriffen, die oft unbemerkt bleibt.

Verhaltensbasierte Schutzmaßnahmen im Alltag

Technische Maßnahmen helfen nur, wenn das Verhalten stimmt. Die wichtigste Regel: Gib deine Handynummer sparsam weiter. Je weniger Stellen deine Nummer kennen, desto seltener landest du in Smishing-Nummernpools. Trage dich nicht in fragwürdige Gewinnspiele ein und überprüfe, welche Apps Zugriff auf deine Kontakte und Nummer haben.

Wenn du eine verdächtige SMS erhältst und unsicher bist, ob sie echt ist: Ruf die offizielle Nummer des Unternehmens direkt an – die du selbst recherchierst, nicht die in der SMS genannte. Gib niemals sensible Daten per SMS weiter, egal wie dringend die Nachricht klingt. Und lösche verdächtige SMS sofort nach dem Screenshot – das verhindert versehentliches Antippen des Links zu einem späteren Zeitpunkt.

Melde Smishing-SMS an die zuständigen Stellen: In Deutschland nimmt die Verbraucherzentrale über ihren Phishing-Radar Meldungen entgegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ebenfalls eine Anlaufstelle. Dein Kreditkartenanbieter hat in der Regel eine dedizierte Melde-E-Mail-Adresse für Phishing-Versuche.