Phishing im Online-Banking erkennen und abwehren 2026

Was ist Phishing im Online-Banking? Methoden und aktuelle Bedrohungslage

Phishing im Online-Banking ist die häufigste Methode, mit der Kriminelle Zugangsdaten, PINs und TANs stehlen. Das Ziel ist immer dasselbe: betrügerische Überweisungen auslösen, bevor das Opfer es bemerkt. Über 30.000 Fälle wurden allein 2023 im Online-Banking registriert – mit einem Gesamtschaden von rund 120 Millionen Euro. Für 2024 wurde ein weiterer Anstieg von etwa zehn Prozent erwartet.

Der Begriff „Phishing“ leitet sich vom englischen „fishing“ ab – die Täter werfen einen Köder aus und warten, wer anbeißt. Dabei haben sich im Laufe der Zeit fünf klar unterscheidbare Angriffsmethoden herausgebildet:

• Klassisches Phishing (E-Mail): Gefälschte Nachrichten, die Banken oder Behörden imitieren. Sie enthalten Links zu Fake-Webseiten oder schädliche Anhänge.
• Smishing (SMS-Phishing): Betrügerische Textnachrichten mit Links oder Rückrufaufforderungen. Häufige Vorwände: Paketzustellung oder ein angebliches Sicherheitsproblem.
• Vishing (Voice Phishing): Telefonische Angriffe, bei denen sich Betrüger als Bankmitarbeiter oder Polizisten ausgeben. Sie nutzen oft bereits gesammelte Daten, um Vertrauen aufzubauen.
• Quishing (QR-Code-Phishing): Eine neuere Variante mit manipulierten QR-Codes in gefälschten Briefen oder im öffentlichen Raum – etwa an E-Ladesäulen. Diese Codes leiten auf Phishing-Webseiten weiter und umgehen klassische E-Mail-Filter.
• Gefälschte Webseiten: Täuschend echte Nachbauten echter Bank-Websites, die oft nur durch minimale URL-Abweichungen erkennbar sind. Sie sind das häufige Endziel der anderen Angriffsmethoden.

Die Zahlen hinter dieser Bedrohung sind beeindruckend – im negativen Sinne. Der gesamtwirtschaftliche Schaden durch Cyberkriminalität in Deutschland belief sich 2024 auf 267 Milliarden Euro. Allein der Schaden durch Cyberangriffe auf die deutsche Wirtschaft stieg von 148 Milliarden Euro (2023) auf 179 Milliarden Euro (2024) – ein Plus von 21 Prozent. Deutschland belegt damit Platz 4 in Europa bei der Anzahl der Online-Banking-Betrugsfälle.

Phishing ist mit einer Bekanntheit von 75 Prozent die bekannteste Betrugsform in Deutschland. Trotzdem ist bereits jeder vierte Deutsche Opfer eines Betrugs oder Betrugsversuchs bei Onlinezahlungen geworden. Die Zahl der Karten- und Kontobetrugsfälle stieg von rund 62.000 im Jahr 2018 auf etwa 90.000 im Jahr 2023 – ein Anstieg von 45 Prozent in fünf Jahren.

Besonders alarmierend: Der Anteil der Deutschen, die im vergangenen Jahr Opfer einer Cyber-Attacke wurden, kletterte von sieben Prozent (2024) auf aktuell zehn Prozent. Von diesen Opfern erlitten 88 Prozent einen konkreten Schaden – bei einem Drittel waren es finanzielle Verluste. Online-Banking-Betrug macht dabei 13 Prozent aller Angriffe aus, klassisches Phishing weitere 12 Prozent.

Die fünf Phishing-Methoden im Vergleich: Kanäle, Vorwände und Trends

Wer Phishing-Angriffe abwehren will, muss die verschiedenen Methoden kennen. Denn jede Variante nutzt einen anderen Kanal, spricht andere Schwachstellen an und erfordert leicht unterschiedliche Gegenmaßnahmen. Die folgende Tabelle gibt dir einen schnellen Überblick – danach gehen wir auf jede Methode tiefer ein.

Phishing per E-Mail: nach wie vor die Nummer eins

E-Mail-Phishing ist und bleibt die dominante Angriffsmethode. Die Täter kopieren das komplette Layout einer Bank – Logo, Schriftart, Farben, Fußzeile. Beliebte Vorwände sind die angebliche PSD2-Pflicht zur Datenveri­fizierung, eine drohende Kontosperrung oder ein dringendes Sicherheitsupdate. Der Link in der Mail führt auf eine Fake-Webseite, die der echten Bank-Website zum Verwechseln ähnlich sieht.

Smishing: der unterschätzte Angriff per SMS

Smishing nimmt stark zu, weil viele Menschen SMS intuitiv mehr vertrauen als E-Mails. Die Nachrichten sind kurz, der Link ist oft mit einem URL-Shortener verschleiert. Auf dem Smartphone lässt sich die Ziel-URL kaum vorab prüfen. Typische Szenarien: eine angebliche Paketbenachrichtigung, die zur Eingabe von Bankdaten auffordert, oder eine Warnung vor einem Sicherheitsproblem beim Konto.

Vishing: wenn der „Bankberater“ anruft

Beim Vishing ruft jemand an und gibt sich als Bankmitarbeiter, Polizist oder Behördenvertreter aus. Das Perfide: Die Täter haben oft bereits Teilinformationen – Name, Adresse, letzte Transaktionen – und nutzen diese, um Vertrauen aufzubauen. Sie fragen dann nach PIN, TAN oder fordern dazu auf, eine Überweisung zu bestätigen. Echte Banken fragen am Telefon niemals nach PIN oder TAN.

Quishing: der Angriff über den QR-Code

Quishing ist die jüngste Variante und besonders tückisch, weil sie klassische E-Mail-Spam-Filter komplett umgeht. Die Täter verschicken gefälschte Briefe – etwa angebliche Mahnungen oder Zahlungsaufforderungen – mit einem QR-Code. Auch im öffentlichen Raum tauchen manipulierte Codes auf, zum Beispiel als Aufkleber über echten QR-Codes an E-Ladesäulen oder Parkautomaten. Nach dem Scan landet man auf einer Phishing-Seite. Schutz: QR-Codes aus unbekannten Quellen grundsätzlich nicht scannen und die angezeigte URL vor dem Öffnen immer prüfen.

Phishing-Mails sicher erkennen: Warnsignale und Checkliste

Die gute Nachricht: Phishing-Mails haben fast immer erkennbare Merkmale. Wer weiß, worauf er achten muss, kann die meisten Fälschungen innerhalb von Sekunden identifizieren. Die folgende Tabelle zeigt dir die acht wichtigsten Unterschiede zwischen einer Phishing-Mail und einer echten Bank-Mail.

Warnsignal 1: Die generische Anrede

Das erste und einfachste Erkennungsmerkmal ist die Anrede. Deine Bank kennt deinen Namen und verwendet ihn. Eine Mail, die mit „Sehr geehrter Kunde“ oder „Sehr geehrte Damen und Herren“ beginnt, stammt mit hoher Wahrscheinlichkeit nicht von deiner Bank. Ausnahmen gibt es – etwa bei allgemeinen Newsletter-Aussendungen – aber in Verbindung mit anderen Warnsignalen ist die generische Anrede ein klares Indiz.

Warnsignal 2: Grammatikfehler und holprige Sprache

Viele Phishing-Mails werden automatisch übersetzt oder von Personen verfasst, die kein perfektes Deutsch sprechen. Achte auf ungewöhnliche Satzkonstruktionen, falsche Artikel, fehlende Umlaute (ae statt ä) oder Mischungen aus Deutsch und Englisch. Professionelle Banken lassen ihre Kommunikation Korrektur lesen – solche Fehler passieren dort nicht.

Warnsignal 3: Die Absenderadresse genau prüfen

Phishing-Täter registrieren Domains, die der echten sehr ähnlich sehen. Beispiele: „sparkasse-sicherheit.de“ statt „sparkasse.de“, oder „volksbank-online.net“ statt „volksbank.de“. Manchmal wird auch nur ein Buchstabe ausgetauscht oder ein Bindestrich eingefügt. Klicke den Absendernamen an, um die vollständige E-Mail-Adresse zu sehen – nicht nur den angezeigten Namen.

Warnsignal 4: Künstlicher Zeitdruck

„Ihr Konto wird in 24 Stunden gesperrt“, „Handeln Sie sofort“ – solche Formulierungen sollen dich dazu bringen, ohne nachzudenken zu klicken. Echte Banken kommunizieren sachlich. Wenn eine Mail Panik erzeugen will, ist das ein starkes Warnsignal. Nimm dir die Zeit, die Mail kritisch zu prüfen, bevor du irgendetwas anklickst.

Sieben-Fragen-Checkliste vor dem Klicken

1. Werde ich mit meinem vollständigen Namen angesprochen?
2. Ist die Absenderadresse die offizielle Domain meiner Bank?
3. Enthält die Mail Grammatik- oder Rechtschreibfehler?
4. Werde ich aufgefordert, PIN, TAN oder Passwort einzugeben?
5. Erzeugt die Mail künstlichen Zeitdruck oder Drohungen?
6. Führt der Link auf die offizielle Domain meiner Bank (URL vor dem Klicken prüfen)?
7. Habe ich diese Art von Nachricht von meiner Bank erwartet?

Wenn du auch nur eine dieser Fragen mit „Nein“ beantwortest: Nicht klicken. Stattdessen direkt bei deiner Bank anrufen oder die offizielle Website manuell im Browser aufrufen.

Sofortmaßnahmen: Was tun, wenn man auf Phishing hereingefallen ist?

Du hast auf einen Link geklickt, Daten eingegeben oder eine Überweisung freigegeben – und merkst jetzt, dass etwas nicht stimmt. Jede Minute zählt. Je schneller du handelst, desto größer ist die Chance, den Schaden zu begrenzen und dein Geld zurückzubekommen. Hier sind die sechs Schritte, die du sofort gehen musst.

Schritt 1: Konto und Karten sofort sperren lassen

Ruf unmittelbar bei deiner Bank an und lass dein Konto sowie alle Karten sperren. Den zentralen Sperr-Notruf erreichst du rund um die Uhr unter der Nummer 116 116 (innerhalb Deutschlands). Diese Nummer gilt für Kreditkarten und viele Bankkonten. Alternativ nutze die direkte Hotline deiner Bank – die Nummer findest du auf der Rückseite deiner Karte oder auf der offiziellen Website. Erkläre kurz, was passiert ist, und bitte um sofortige Sperrung aller Zugänge.

Schritt 2: Passwörter ändern – E-Mail zuerst

Dein E-Mail-Konto ist der Generalschlüssel zu fast allem. Wer Zugriff auf deine E-Mails hat, kann Passwort-Reset-Links für alle anderen Konten anfordern. Ändere deshalb zuerst das Passwort deines E-Mail-Kontos, dann das Online-Banking-Passwort und danach alle weiteren Konten, die mit derselben E-Mail-Adresse verknüpft sind. Verwende für jedes Konto ein einzigartiges, starkes Passwort.

Schritt 3: Beweise sichern

Bevor du irgendetwas löschst: Sichere alle Beweise. Mache Screenshots der Phishing-Nachricht (E-Mail, SMS oder Anrufprotokoll), notiere Datum und Uhrzeit, sichere Transaktionsdaten und – besonders wichtig – den Freigabetext aus deiner Banking-App. Dieser Text zeigt, welche Transaktion du bestätigt hast. Er kann später entscheidend sein, wenn es um die Frage geht, ob du grob fahrlässig gehandelt hast.

Schritt 4: Gerät auf Schadsoftware prüfen

Wenn du auf einen Link geklickt oder einen Anhang geöffnet hast, könnte dein Gerät mit Schadsoftware infiziert sein. Führe einen vollständigen Scan mit einem aktuellen Antivirenprogramm durch. Im Zweifelsfall – besonders wenn du Anzeichen ungewöhnlicher Aktivitäten bemerkst – lass das Gerät von einem Fachmann prüfen oder setze es auf Werkseinstellungen zurück. Nutze für Passwortänderungen und Banking bis dahin ein anderes, sauberes Gerät.

Schritt 5: Strafanzeige bei der Polizei erstatten

Eine Strafanzeige ist zwar nicht gesetzlich vorgeschrieben, aber dringend empfehlenswert. Das Aktenzeichen der Polizei kann deine Bank als Nachweis verlangen. Es dokumentiert den Vorfall offiziell, unterstützt die Strafverfolgung und stärkt deine Position bei späteren rechtlichen Schritten. Du kannst die Anzeige online erstatten (in vielen Bundesländern möglich) oder direkt bei der nächsten Polizeidienststelle.

Schritt 6: Kontoumsätze engmaschig überwachen

Prüfe in den folgenden Wochen täglich deine Kontoumsätze. Dokumentiere jede verdächtige Buchung mit Datum, Betrag und Empfänger. Melde jede nicht autorisierte Transaktion sofort deiner Bank. Denk daran: Der gesetzliche Erstattungsanspruch nach § 676b BGB erlischt 13 Monate nach der Abbuchung. Warte also nicht zu lange mit der Meldung.

Haftung und Erstattung: Wann zahlt die Bank, wann der Kunde?

Die rechtliche Lage ist klarer, als viele denken. Das Bürgerliche Gesetzbuch regelt die Haftung bei nicht autorisierten Zahlungsvorgängen im Online-Banking in den Paragraphen 675u bis 675w. Grundsatz: Die Bank muss erstatten. Ausnahme: grobe Fahrlässigkeit des Kunden. Hier ist, was das konkret bedeutet.

§ 675u BGB: Der Grundsatz der Bankenhaftung

Wenn eine Zahlung ohne deine Zustimmung ausgelöst wurde – also nicht autorisiert war – muss die Bank den Betrag erstatten. Und zwar spätestens bis zum Ende des nächsten Geschäftstags nach deiner Meldung. Das ist eine starke Schutzvorschrift. Sie gilt unabhängig davon, wie die Täter an deine Daten gekommen sind. Die Bank trägt das grundsätzliche Risiko des Zahlungsverkehrs.

§ 675v BGB: Die Ausnahme bei grober Fahrlässigkeit

Die Bank kann die Erstattung verweigern, wenn sie dem Kunden grobe Fahrlässigkeit nachweist. Grob fahrlässig handelt, wer die einfachsten Sicherheitsregeln missachtet. Konkrete Beispiele aus der Rechtsprechung:

• PIN oder TAN am Telefon genannt – auch wenn der Anrufer überzeugend als Bankmitarbeiter auftrat
• Daten auf einer erkennbar gefälschten Webseite eingegeben (abweichende URL, fehlendes HTTPS)
• Freigabe-App-Text nicht gelesen und trotz falschem Empfänger oder falschem Betrag bestätigt
• Warnhinweise der Banking-App ignoriert

Nicht jede Unachtsamkeit gilt als grob fahrlässig. Gerichte bewerten das im Einzelfall. Wer auf eine professionell gemachte Phishing-Seite hereinfällt, die kaum von der echten zu unterscheiden ist, handelt nicht zwingend grob fahrlässig.

§ 675w BGB: Die Beweislast liegt bei der Bank

Das ist der entscheidende Punkt, den viele nicht kennen: Die Beweislast liegt bei der Bank, nicht beim Kunden. Die Bank muss nachweisen, dass du grob fahrlässig gehandelt hast. Du musst nicht beweisen, dass du es nicht getan hast. Das ist ein erheblicher rechtlicher Vorteil für Phishing-Opfer.

Meldefrist: 13 Monate nach der Abbuchung

Nach § 676b BGB hast du 13 Monate Zeit, eine nicht autorisierte Zahlung zu melden. Danach erlischt dein Erstattungsanspruch. In der Praxis gilt: Melde so schnell wie möglich. Erstens, um Folgeschäden zu verhindern. Zweitens, weil eine schnelle Meldung deine Glaubwürdigkeit stärkt. Drittens, weil die Bank den Betrag spätestens bis Ende des nächsten Geschäftstags nach Meldung erstatten muss.

Was tun bei Ablehnung durch die Bank?

Viele Banken lehnen Erstattungsanträge zunächst ab und berufen sich auf grobe Fahrlässigkeit. Das ist häufig eine Standardreaktion. Lass dich davon nicht entmutigen. Fordere eine schriftliche Begründung an. Wende dich an den Ombudsmann deiner Bank oder an die Schlichtungsstelle. Schalte einen Fachanwalt für Bank- und Kapitalmarktrecht ein. Die Rechtsprechung hat in zahlreichen Fällen zugunsten der Kunden entschieden – auch wenn die Bank zunächst abgelehnt hatte.

Schutz vor Phishing: So sicherst du dein Online-Banking wirklich ab

Prävention ist der beste Schutz. Die gute Nachricht: Mit ein paar konsequenten Maßnahmen kannst du das Risiko, Opfer eines Phishing-Angriffs zu werden, drastisch reduzieren. Hier sind die wichtigsten Schutzmaßnahmen – von der Zwei-Faktor-Authentifizierung bis zu sicheren Gewohnheiten im Alltag.

Zwei-Faktor-Authentifizierung: Pflicht, kein Luxus

Die Zwei-Faktor-Authentifizierung (2FA) ist die wichtigste technische Schutzmaßnahme. Sie erfordert neben dem Passwort einen zweiten, unabhängigen Faktor – etwa einen SMS-Code, eine Authenticator-App oder einen Passkey. Selbst wenn Angreifer dein Passwort kennen, kommen sie ohne den zweiten Faktor nicht ins Konto. Das BSI empfiehlt 2FA als Standard für alle wichtigen Konten.

Nicht alle 2FA-Methoden sind gleich sicher. Die folgende Tabelle zeigt die Unterschiede:

Passkeys: die phishing-resistente Zukunft

Passkeys basieren auf dem FIDO2/WebAuthn-Standard und gelten als phishing-resistent. Statt eines Passworts wird ein kryptografisches Schlüsselpaar verwendet – der private Schlüssel verlässt dein Gerät nie. Selbst wenn Angreifer eine täuschend echte Fake-Webseite erstellen, funktioniert der Passkey dort nicht, weil er an die echte Domain gebunden ist. Immer mehr Banken und Dienste unterstützen Passkeys – nutze sie, wo immer sie verfügbar sind.

Sichere Gewohnheiten im Alltag

Technik allein reicht nicht. Diese Verhaltensregeln reduzieren dein Risiko erheblich:

• Links niemals direkt anklicken: Tippe die URL deiner Bank immer manuell in die Adressleiste oder nutze ein gespeichertes Lesezeichen.
• HTTPS und Schloss-Symbol prüfen: Achte auf das Schloss-Symbol in der Adressleiste und prüfe die vollständige URL – nicht nur den angezeigten Namen.
• PIN und TAN niemals am Telefon nennen: Keine Bank, keine Polizei und keine Behörde fragt dich jemals telefonisch nach PIN oder TAN.
• Freigabetext in der Banking-App immer lesen: Bevor du eine Transaktion bestätigst, lies den vollständigen Text: Empfänger, Betrag, Verwendungszweck. Stimmt etwas nicht, brich ab.
• Software aktuell halten: Betriebssystem, Browser und Banking-App sollten immer auf dem neuesten Stand sein. Sicherheitsupdates schließen bekannte Lücken.
• Öffentliche WLANs meiden: Nutze für Online-Banking niemals ungesicherte öffentliche WLAN-Netzwerke. Verwende stattdessen dein Mobilfunknetz oder ein VPN.
• Kontoauszüge regelmäßig prüfen: Schau mindestens einmal pro Woche in deine Umsätze. Je früher du eine verdächtige Buchung entdeckst, desto schneller kannst du reagieren.
• QR-Codes mit Vorsicht scannen: Scanne keine QR-Codes aus unbekannten Quellen. Prüfe nach dem Scan die angezeigte URL, bevor du sie öffnest.

Phishing-Radar: Aktuelle Bedrohungen im Blick behalten

Phishing-Methoden entwickeln sich ständig weiter. Die Verbraucherzentralen und das BSI veröffentlichen regelmäßig aktuelle Warnungen zu neuen Phishing-Kampagnen. Es lohnt sich, diese Quellen im Blick zu behalten – besonders wenn du eine unerwartete E-Mail oder SMS von deiner Bank erhältst. Ein kurzer Check, ob gerade eine entsprechende Phishing-Welle gemeldet wird, kann viel Ärger ersparen.