Sparkassen warnen vor Phishing-Welle beim Smartphone-Wechsel

Millionen Deutsche richten neue Smartphones ein – und werden zur Zielscheibe von Betrügern. Der Deutsche Sparkassen- und Giroverband (DSGV) warnt eindringlich vor einer raffinierten Phishing-Welle, die den Wechsel des S-pushTAN-Verfahrens auf neue Geräte ausnutzt.

Für viele Sparkassen-Kunden ist der zweite Weihnachtsfeiertag traditionell der Tag, an dem das neue Smartphone unter dem Baum eingerichtet wird. Genau dieses Ritual machen sich Cyberkriminelle jetzt zunutze. Die Verbraucherzentralen und der DSGV melden einen deutlichen Anstieg täuschend echter Phishing-Mails und SMS.

Diese Nachrichten geben vor, dass „Wartungsarbeiten“ am S-pushTAN nötig seien oder die App-Lizenz abgelaufen sei. Sie treffen genau dann ein, wenn Nutzer tatsächlich ihre Banking-Apps auf dem neuen Gerät installieren – eine perfide Timing-Strategie. „Die Täter setzen auf den Druck der Feiertage, um Kunden zur Preisgabe von Daten zu bewegen“, so der Verband.

Gerade jetzt, wenn viele Nutzer ihr neues Handy einrichten, nutzen Phisher QR‑Code‑ und Reaktivierungs‑Tricks, um S‑pushTAN zu kapern und Konten zu übernehmen. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie gefälschte E‑Mails, SMS und manipulierte QR‑Codes sicher erkennen, welche Sofortmaßnahmen helfen und wie Sie Ihren Zugang schnell sperren. Mit praktischer Checkliste für den akuten Notfall und sofortigem Download per E‑Mail. Jetzt Anti‑Phishing‑Paket herunterladen

Der Trick mit dem QR-Code

Die aktuellen Betrugsversuche sind technisch präzise. Eine verbreitete Masche: E-Mails mit dem Betreff „Ihr Update ist erforderlich – Ref: 8731399“ leiten auf gefälschte Sparkassen-Webseiten. Dort werden die Login-Daten abgefragt.

Anschließend folgt der entscheidende Schritt. Die Opfer werden aufgefordert, einen QR-Code zu scannen oder eine TAN einzugeben, um ihr „Gerät zu verifizieren“. In Wirklichkeit autorisieren sie damit das Gerät der Betrüger für das pushTAN-Verfahren. Die Kriminellen erhalten so vollen Zugriff auf das Online-Banking.

„Die Täter spekulieren auf die ‚Einrichtungs-Stimmung‘ der Nutzer“, erklärt Sicherheitsexpertin Dr. Elena Weber. „Wer ohnehin Codes für sein neues Handy scannt, fällt leichter auf eine angebliche Reaktivierungs-Aufforderung herein.“

So wechseln Sie das S-pushTAN sicher

Die Sparkassen betonen den einzig sicheren Weg für den Gerätewechsel:

1. App nur aus offiziellen Stores laden – niemals über Links aus Mails.
2. Den originalen Registrierungsbrief mit dem statischen QR-Code verwenden.
3. Bei funktionierendem Altgerät die gesicherte Gerätewechsel-Funktion in der App nutzen.
4. Keine Links zur „Verifizierung“ anklicken. Die Sparkasse fordert niemals zur Eingabe von Daten per E-Mail-Link auf.

Warum die Gefahr gerade jetzt so groß ist

Der Zeitpunkt der Attacken offenbart ein grundsätzliches Problem der digitalen Bankenwelt. Je mehr Institute auf komfortable Zwei-Faktor-Authentifizierung per App setzen, desto angreifbarer wird der Einrichtungsprozess selbst.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt: Die Erfolgsquote von Phishing-Angriffen kann in der Ferienzeit auf das Dreifache steigen. Die Umstellung von hardware-basierten TAN-Generatoren auf Smartphone-Apps hat die Angriffsfläche vergrößert – besonders in stressigen Zeiten.

Blick nach vorn: Mehr Sicherheit durch Verhaltensanalyse

Für 2026 setzt die Branche auf passive Sicherheitsmaßnahmen. Verhaltensbiometrie – die Analyse, wie ein Nutzer sein Telefon hält oder tippt – könnte helfen, legitime Nutzer von Betrügern zu unterscheiden.

Bis dahin gilt: Wachsamkeit ist der beste Schutz. Wer verdächtige Links angeklickt hat, sollte den Online-Banking-Zugang sofort über die Notrufnummer 116 116 sperren lassen und seine Filiale informieren. Die wichtigste Regel bleibt: Die Bank schickt niemals einen Link zum Login. Jeder Schritt muss von der App aus initiiert werden.

Übrigens: Wenn Sie gerade ein neues Smartphone einrichten, lohnt sich ein kurzer Sicherheits-Check. Das Anti‑Phishing‑Paket zeigt praxisnahe Schutzmaßnahmen gegen QR‑Code‑Fallen und Phishing‑SMS, gibt konkrete Hinweise zum sicheren Gerätewechsel des pushTAN‑Verfahrens und enthält Vorlagen, wie Sie einen Vorfall Ihrer Bank melden sollten. Ideal für Sparkassen‑Kunden und alle, die ihr Online‑Banking sicher nutzen wollen. Anti‑Phishing‑Guide kostenfrei anfordern