Verbraucherschützer schlagen Alarm: Eine neue Welle hochprofessioneller Phishing-Angriffe überrollt Deutschland. Betrüger nutzen Künstliche Intelligenz, um Tausende Online-Banking-Nutzer mit täuschend echten E-Mails und SMS unter Druck zu setzen. Aktuelle Warnungen betreffen besonders Kunden der Deutsche Bank, Targobank und der Volksbanken Raiffeisenbanken.

Die Sicherheit im digitalen Zahlungsverkehr steht erneut auf dem Prüfstand. Verbraucherzentralen warnen eindringlich vor einer massiven Zunahme von Phishing-Versuchen, die sich durch eine neue Qualität der Täuschung auszeichnen.

Allein in den letzten Tagen wurden zahlreiche Kampagnen registriert, bei denen Kriminelle im Namen großer deutscher Banken agieren. Unter Vorwänden wie einer angeblich notwendigen Aktualisierung von TAN-Verfahren oder der drohenden Kontosperrung versuchen die Täter, an sensible Zugangsdaten zu gelangen.

Das Besondere an der aktuellen Welle: Dank KI sind die betrügerischen Nachrichten oft kaum noch von echter Bankenkommunikation zu unterscheiden. Das erhöht die Gefahr für Verbraucher erheblich.

Perfekte Fälschungen setzen Kunden unter Druck

Die Zeiten, in denen Phishing-Mails an schlechter Grammatik oder holprigen Formulierungen zu erkennen waren, sind endgültig vorbei. Moderne, KI-gestützte Systeme ermöglichen es Betrügern, sprachlich einwandfreie und personalisierte E-Mails zu generieren, die Tonfall und Design der jeweiligen Bank perfekt imitieren.

Ein zentrales Element der Betrugsmasche ist der gezielte Aufbau von psychologischem Druck. Mit Betreffzeilen wie „Dringend: Kontozugriff sichern" oder „Letzte Warnung vor Kontosperrung" und extrem kurzen Fristen wird bei den Empfängern gezielt Stress erzeugt.

Häufig wird auch auf angebliche neue „europäische Gesetze" oder Sicherheitsrichtlinien verwiesen, die ein sofortiges Handeln erfordern würden – eine frei erfundene Behauptung, die jedoch Verunsicherung stiftet.

Wer auf den Link in der Mail klickt, wird auf eine gefälschte Webseite geleitet. Diese sieht dem echten Online-Banking-Portal zum Verwechseln ähnlich und übermittelt die eingegebenen Daten direkt an die Kriminellen.

Smishing und Quishing erweitern die Angriffsfläche

Die Angriffsfläche für Cyberkriminelle hat sich längst über den E-Mail-Posteingang hinaus erweitert. Eine stark zunehmende Bedrohung stellt das sogenannte „Smishing" dar – Betrugsversuche per SMS.

In den Kurznachrichten wird beispielsweise behauptet, es gäbe Unstimmigkeiten beim Konto oder eine wichtige Benachrichtigung der Bank läge vor. Der enthaltene Link führt dann auf eine für mobile Endgeräte optimierte Phishing-Seite.

Besonders tückisch: Die Namen der Banken kommen oft in der URL vor, um Authentizität vorzugaukeln.

Eine weitere, neuere Methode ist das „Quishing", bei dem gefälschte QR-Codes zum Einsatz kommen. Diese können auf manipulierten Rechnungen, an Parkautomaten oder sogar in Briefen der Bank auftauchen und führen nach dem Scannen direkt auf die betrügerische Webseite.

Anzeige: Passend zum Thema Smartphone-Sicherheit: Viele Android-Nutzer übersehen entscheidende Schutzmaßnahmen – gerade bei SMS‑ und QR‑Code‑Betrug. Ein kostenloses Sicherheitspaket zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking, PayPal und Shopping auf dem Handy ohne teure Zusatz‑Apps absichern – mit Checklisten und leicht verständlichen Anleitungen. Holen Sie sich jetzt den Gratis‑Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“. Kostenloses Sicherheitspaket sichern

BSI und Verbraucherschützer geben klare Regeln vor

Angesichts der zunehmenden Professionalisierung der Angreifer raten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Verbraucherschutzorganisationen zu fundamentalen Vorsichtsmaßnahmen.

Die wichtigste Regel lautet: Banken und Sparkassen werden ihre Kunden niemals per E-Mail oder SMS auffordern, über einen Link sensible Daten wie Passwörter, PINs oder TANs einzugeben.

Jegliche Aufforderungen dieser Art sollten ignoriert und die Nachricht unbeantwortet in den Spam-Ordner verschoben werden. Anstatt auf Links in Nachrichten zu klicken, sollten Nutzer ihr Konto ausschließlich über die offizielle App der Bank oder durch manuelle Eingabe der Webadresse im Browser aufrufen.

Weitere Erkennungsmerkmale für Betrugsversuche bleiben trotz KI eine unpersönliche Anrede und unseriöse Absenderadressen, die oft erst bei genauerem Hinsehen sichtbar werden.

Grundsätzlich gilt: Lassen Sie sich niemals unter Zeitdruck setzen. Bei Unsicherheit ist es immer der beste Weg, die Nachricht zu ignorieren und die Bank über die offiziellen Kontaktwege direkt zu kontaktieren.

EU verschärft Sicherheitsregeln für Finanzbranche

Die aktuelle Phishing-Welle ist Ausdruck eines Wettrüstens im Cyberraum. Während Kriminelle KI zur Perfektionierung ihrer Angriffe nutzen, reagiert die Europäische Union mit verschärften regulatorischen Anforderungen.

Mit der EU-Richtlinie NIS2 und dem „Digital Operational Resilience Act" (DORA), dessen Vorgaben ab 2025 für alle Finanzinstitute verpflichtend sind, werden Banken und Versicherer zu deutlich strengeren Sicherheitsmaßnahmen gezwungen.

Dazu gehören systematisches Management von Cyberrisiken, regelmäßige Penetrationstests und erheblich verkürzte Meldefristen für Sicherheitsvorfälle. Diese müssen künftig innerhalb von 24 Stunden an die zuständigen Behörden gemeldet werden.

KI-Verteidigung wird zum Banking-Standard

Die Zukunft der Online-Banking-Sicherheit wird von zwei zentralen Entwicklungen geprägt: Finanzinstitute werden massiv in KI-gestützte Verteidigungssysteme investieren müssen, um Bedrohungen proaktiv und in Echtzeit zu erkennen.

Gleichzeitig wird die Aufklärung der Verbraucher eine entscheidende Rolle spielen. Experten gehen davon aus, dass die nächste Stufe der Angriffe noch personalisierter sein wird. Kriminelle werden auf geleakte Daten zurückgreifen, um maßgeschneiderte Betrugsversuche zu starten.

Die vollständige Implementierung von DORA 2025 wird die Banken dazu verpflichten, nicht nur ihre eigene IT, sondern auch die Sicherheit ihrer externen Dienstleister lückenlos zu überprüfen.

Für Kunden bedeutet dies: Sicherheitsverfahren wie die Zwei-Faktor-Authentifizierung werden zum unumgänglichen Standard. Das Bewusstsein, dass kein Link und kein Anruf ungeprüft vertrauenswürdig ist, wird zur wichtigsten Waffe im Schutz des eigenen Vermögens.