SMS-Betrüger attackieren Black-Week-Käufer massiv

Während Millionen beim Black Friday nach Schnäppchen jagen, schlagen Kriminelle zu. Die österreichische Regulierungsbehörde RTR warnt vor einer massiven Welle gefälschter Paket-SMS – und wer darauf hereinfällt, bleibt meist auf dem Schaden sitzen. Ein BGH-Urteil macht deutlich: Die rechtliche Lage verschärft sich für Betrugsopfer dramatisch.

Allein im Oktober registrierte die RTR knapp 700 Beschwerden zu Betrugs-SMS. Für November und Dezember rechnen Experten mit einem drastischen Anstieg. Die Masche ist perfide: „Ihr Paket hängt fest” oder „Zollgebühren ausstehend” – gefolgt von einem Link, der auf täuschend echte Nachbauten von Bank-Login-Seiten führt.

Klaus M. Steinmaurer, RTR-Geschäftsführer, bringt es auf den Punkt: „Das nützen die Betrüger aus und versenden beispielsweise SMS, die angeblich von Paketdienstleistern stammen.” Die Qualität der Fälschungen erreicht neue Dimensionen. Dank KI-Unterstützung sind Rechtschreibfehler – früher ein klares Warnzeichen – fast verschwunden.

Viele Android‑Nutzer unterschätzen, wie leicht Phishing‑Links, manipulierte QR‑Codes und gefälschte Apps Bankdaten oder Kontozugänge kompromittieren können. Der kostenlose Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone” erklärt Schritt für Schritt, welche Einstellungen Sie sofort anpassen sollten, wie Sie Wegwerf‑Karten nutzen und welche Apps Sie prüfen müssen — inklusive praktischer Checklisten für Online‑Shopping, PayPal und Mobile‑Banking. Schützen Sie sich vor Quishing‑ und SMS‑Betrug noch heute. Gratis‑Sicherheitspaket für Android anfordern

Neu im Arsenal der Kriminellen: Quishing. Dabei platzieren Betrüger manipulierte QR-Codes per Briefpost oder an Parkautomaten, die ebenfalls auf Phishing-Seiten führen.

BGH-Urteil: Bank haftet nicht mehr

Wer glaubt, die Bank würde im Betrugsfall einspringen, erlebt derzeit eine böse Überraschung. Ein BGH-Urteil vom Juli 2025 (Az. XI ZR 107/24) verschiebt die Verantwortung massiv zu den Kunden.

Der Fall: Eine Kundin gab nach einem Anruf falscher Bankmitarbeiter mehrere TANs frei. Das Gericht entschied gegen sie – grobe Fahrlässigkeit. Die Begründung trifft den Kern: Wer Warnhinweise in Banking-Apps ignoriert („Geben Sie diese TAN niemals an Dritte weiter”), haftet selbst. Auch unter psychologischem Druck.

Das bedeutet konkret: Wer eine TAN freigibt, autorisiert die Zahlung rechtlich wirksam. Die Bank haftet nur bei technischem Versagen des Sicherheitssystems, nicht aber, wenn der Kunde den „digitalen Schlüssel” übergibt.

EU-Reform kommt – aber zu spät

Hoffnung macht die geplante Payment Services Regulation (PSR) der EU, die sich in den finalen Verhandlungen befindet. Kernstück: der IBAN-Name-Check. Banken müssen künftig prüfen, ob Name und IBAN des Empfängers übereinstimmen.

Noch wichtiger: Die Reform könnte Banken bei „Impersonation Fraud” haften lassen – also wenn sich Betrüger als Bankmitarbeiter ausgeben. Eine direkte Antwort auf Fälle wie den vom BGH entschiedenen.

Doch für das Weihnachtsgeschäft 2025 kommt diese Reform zu spät. Die Regelungen sind weder in nationales Recht gegossen noch voll wirksam. Der Schutz bleibt lückenhaft.

Das Wettrüsten eskaliert

Sicherheitsexperten beobachten eine besorgniserregende Professionalisierung. Im Darknet können Kriminelle fertige Phishing-Kits kaufen, speziell abgestimmt auf deutsche und österreichische Banken während der Black Week.

„Wir sehen eine Verschiebung von technischem Hacking hin zu Social Engineering”, analysieren IT-Forscher. Da Bank-Apps durch Biometrie und Device-Binding technisch sehr sicher sind, greifen Betrüger den Menschen an. Das BGH-Urteil setzt ein hartes Signal: Der Nutzer ist die letzte Firewall.

Eine paradoxe Situation entsteht: Banken werben mit „Sicherheit auf Knopfdruck”, während Gerichte vom Nutzer verlangen, technische Prozesse im Detail zu verstehen.

Was jetzt schützt

Für die kommenden Wochen bis Weihnachten rechnen Experten mit weiteren Angriffswellen. Diese fünf Regeln sollten Sie strikt beachten:

Keine Links in SMS: Paketdienste und Banken fordern niemals per SMS zum Login auf. Nutzen Sie immer die offizielle App.

Virtuelle Karten: Viele Fintechs bieten „Wegwerf-Kreditkarten” für Käufe in unbekannten Shops an.

Warnhinweise ernst nehmen: Prüfen Sie bei jeder Freigabe Betrag und Empfänger. Bestätigen Sie nichts, was Sie nicht selbst initiiert haben.

Kein Druck: Betrüger arbeiten mit Angst („Konto wird gesperrt”). Legen Sie auf, rufen Sie Ihre Bank über die offizielle Nummer an.

Sofort reagieren: Bei Verdacht die Karte in der App sperren. Jede Minute zählt.

Ausblick: Die Lage verschärft sich

Kurzfristig ist mit gefälschten Nachrichten zu „fehlgeschlagenen Lastschriften” nach Black-Friday-Einkäufen zu rechnen. Ab 2026 wird der IBAN-Name-Check schrittweise Pflicht und viele primitive Betrugsversuche stoppen.

Die PSR wird voraussichtlich die Haftung bei Spoofing-Anrufen verschärfen. Bis dahin bleibt der Selbstschutz die einzige wirksame Versicherung. Denn eines macht die aktuelle Rechtslage klar: Wer auf Betrüger hereinfällt, zahlt derzeit meist selbst.

PS: Gerade jetzt zur Black‑Friday‑Zeit sind gefälschte Paket‑SMS und manipulierte QR‑Codes besonders gefährlich. Dieser Gratis‑Guide zeigt die fünf wirksamsten Maßnahmen, um Ihr Handy in Minuten abzusichern — von sicheren App‑Einstellungen über aktive Sperr‑Schritte bis zu virtuellen Karten für riskante Zahlungen. Außerdem erfahren Sie, welche Warnsignale sofortiges Handeln verlangen und wie Sie im Betrugsfall schnell reagieren. Jetzt Android‑Schutzpaket herunterladen