ING und Volksbanken: Phishing-Welle trifft auf neue EU-Schutzregel

Kunden der ING und Volksbanken sind seit 48 Stunden Ziel massiver Phishing-Angriffe. Die Verbraucherzentralen melden einen sprunghaften Anstieg betrügerischer E-Mails – zeitgleich greifen erstmals neue EU-Regeln, die Banken in die Pflicht nehmen. Doch ein BGH-Urteil verschärft gleichzeitig die Sorgfaltspflichten für Kunden. Was bedeutet das im Ernstfall?

Die Masche folgt einem bewährten Muster: E-Mails mit Betreffzeilen wie „Aktualisieren Sie jetzt Ihren Zugang” setzen Kunden unter Zeitdruck. Neu ist die Qualität der Fälschungen. Kriminelle nutzen KI-gestützte Textgeneratoren für täuschend echte Bankkommunikation. Auch Quishing – Phishing via QR-Codes – umgeht klassische Spam-Filter, da schädliche Links in Bilddateien versteckt werden.

Wer auf solche Tricks hereinfällt, steht rechtlich auf dünnem Eis. Das BGH-Urteil vom Juli 2025 (Az. XI ZR 107/24) macht es Betrugsopfern schwer, ihr Geld zurückzubekommen. Die Kernaussage: Wer durch manipulierte Anrufe oder Mails eine TAN selbstständig freigibt, handelt grob fahrlässig.

Passend zum Thema Smartphone-Betrug: Viele Android-Nutzer übersehen grundlegende Schutzschritte, die Quishing und schädliche Apps verhindern können. Der Gratis-Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone” erklärt Schritt für Schritt, wie Sie WhatsApp, Banking und PayPal vor Datendieben absichern – inklusive Checkliste für automatische Updates, App-Prüfung und sicheres Verhalten bei QR-Codes. Besonders nützlich nach aktuellen Phishing-Wellen. Jetzt kostenloses Sicherheitspaket herunterladen

Im verhandelten Fall hatte eine Kundin mehrere TANs nach einem Anruf unter gefälschter Sparkassen-Nummer freigegeben. Der BGH urteilte: Die Bank muss nicht zahlen. Der Einwand des „Augenblicksversagens” greift kaum noch, wenn der Betrugsprozess mehrere bewusste Bestätigungsschritte erfordert.

Für Verbraucher bedeutet das: Die Hürde für eine Rückerstattung nach § 675u BGB ist hoch, sobald die Zwei-Faktor-Authentifizierung technisch korrekt durchlaufen wurde. Die Beweislast liegt zwar bei der Bank – doch der „Anscheinsbeweis” spricht meist gegen den Kunden.

Neue EU-Regel dreht Spiel um

Doch seit dem 9. Oktober gibt es ein Gegengewicht. Die EU-Verordnung zu Echtzeitüberweisungen führt den verpflichtenden IBAN-Namensabgleich ein. Banken müssen vor jeder Überweisung prüfen: Passt der Name des Empfängers zur IBAN?

Die drei Szenarien:

• Match: Name und IBAN stimmen überein – Überweisung läuft durch
• No Match: Keine Übereinstimmung – Bank muss Kunden warnen
• Close Match: Kleiner Tippfehler – System schlägt korrekten Namen vor

Ignoriert eine Bank diese Prüfung oder versagt das System, haftet sie für Schäden. Das stärkt Verbraucher massiv – allerdings erst seit wenigen Wochen.

KI macht Betrug perfekter

Das Bundesamt für Sicherheit in der Informationstechnik warnt im aktuellen Lagebericht vor Deepfake-Audio. Erste Fälle zeigen: Kunden werden von KI-generierten Stimmen angerufen, die wie Familienangehörige oder der persönliche Bankberater klingen.

Gegen solche emotionalen Manipulationen hilft der IBAN-Check nur bedingt. Opfer überweisen das Geld „freiwillig” an vermeintlich sichere Konten. Die Verantwortung verschiebt sich: Während die EU die technische Sicherheit erzwingt, versuchen Banken über die Rechtsprechung, die Haftung auf Kunden abzuwälzen.

Notfallplan: Was jetzt zählt

Wer trotz Vorsicht zum Opfer wird, muss schnell handeln. Die ersten Minuten entscheiden über Haftung oder Erstattung:

1. Sofort sperren: Nutzen Sie den Sperr-Notruf 116 116 oder die Banking-App
2. Polizeianzeige erstatten: Zwingend für Versicherungen und Bankprozesse
3. Gedächtnisprotokoll anlegen: Notieren Sie exakt, was passiert ist – essenziell gegen den Vorwurf der groben Fahrlässigkeit
4. Ombudsmann einschalten: Bei Ablehnung durch die Bank oft schneller und günstiger als Klage

Ausblick: Ende der anonymen IBAN

Der flächendeckende Namensabgleich wird 2026 viele klassische Betrugsmaschen erschweren – vom Enkeltrick bis zu Fake-Shops. Kriminelle werden sich voraussichtlich stärker auf Fernwartungssoftware verlegen, um die Kontrolle über Endgeräte zu erlangen.

Die wichtigste Regel bleibt: Keine Bank fragt jemals am Telefon oder per Mail nach TAN-Freigaben oder App-Installationen. Wer diese Grenze überschreitet, haftet im Zweifel selbst – BGH-Urteil hin oder her.

PS: Wenn Kriminelle immer besser werden – etwa mit Deepfake-Anrufen und QR-Phishing – lohnt sich eine kompakte Anleitung. Unser kostenloser Guide zeigt in 5 klaren Schritten, welche Einstellungen und Routinen sofort riskante Überweisungen und Datenabfluss verhindern. Ideal für alle, die Online-Banking nutzen und sich schnell absichern wollen. Jetzt kostenlosen Android-Schutz-Guide anfordern