Betrugswelle rollt über deutschen Finanzsektor

Der deutsche Finanzsektor erlebt eine beispiellose Welle raffinierter Cyberattacken. Binnen 72 Stunden gab die BaFin mehrere dringende Warnungen heraus – vor gefälschten Banking-Plattformen, Phishing-Kampagnen und Anlagebetrug über WhatsApp. Doch das könnte erst der Anfang sein: Experten prognostizieren für 2026 eine neue Generation KI-gesteuerter Angriffe, die selbst Profis täuschen werden. Die Frage, wer bei erfolgreichem Betrug haftet, rückt damit drängender denn je in den Fokus.

Die Warnung ist eindeutig: Wer aktuell unaufgeforderte Finanzangebote erhält, sollte äußerste Vorsicht walten lassen. Die Bundesanstalt für Finanzdienstleistungsaufsicht schlägt Alarm – und zwar im Stundentakt.

Gleich mehrere betrügerische Plattformen hat die Aufsichtsbehörde in den vergangenen Tagen enttarnt. Am 17. November warnte sie vor der Website capital-rvg.com, die ohne Erlaubnis Bankgeschäfte anbietet und dreist behauptet, von der BaFin beaufsichtigt zu werden. Ähnlich dubiose Seiten wie auresthiqan.sbs und zinsanlageexperten.com folgten. Letztere missbraucht sogar die Identität eines existierenden Unternehmens, um Anleger in die Falle zu locken.

Besonders perfide: Die Betrüger verlagern ihre Aktivitäten zunehmend auf WhatsApp. Die BaFin warnt explizit vor Gruppen eines Anbieters namens „Greenhill” sowie weiteren Chats, die Anleger zum Handel über dubiose Apps verleiten. Die Masche zielt darauf ab, das Vertrauen durch die Namen bekannter Institute zu erschleichen.

Passend zum Thema WhatsApp- und Banking-Betrug: Viele Android-Nutzer übersehen grundlegende Schutzmaßnahmen und machen ihr Smartphone so angreifbar für Phishing und schadhafte Apps. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schritte – von sicheren App‑Einstellungen über automatische Updates bis zum sicheren Umgang mit TANs und verdächtigen Nachrichten. Praktische Schritt‑für‑Schritt‑Anleitungen helfen, Betrugsversuche zu erkennen und zu stoppen. Jetzt kostenloses Android-Schutzpaket anfordern

Ein Fachanwalt für Bank- und Kapitalmarktrecht bestätigte gestern einen solchen Fall: Eine WhatsApp-Gruppe gab sich als „DZ&72 (DZ Bank & Point72)” aus. Parallel dazu meldet die Verbraucherzentrale heute eine aktuelle Phishing-Welle im Namen der Sparkasse. Kunden werden per E-Mail zur Bestätigung eines vermeintlichen „S-ID-Check” aufgefordert. Erkennbar ist die Fälschung an der fehlerhaften, teils mehrsprachigen Aufmachung – ein Warnsignal, das viele übersehen.

KI wird zur Waffe: Die nächste Eskalationsstufe steht bevor

Während Behörden gegen aktuelle Betrugsversuche kämpfen, wirft die nächste Bedrohung bereits ihre Schatten voraus. Der Sicherheitsanbieter Kaspersky veröffentlichte am 17. November eine düstere Prognose: 2026 wird das Jahr der KI-gesteuerten Cyberangriffe.

Was kommt da auf uns zu? Experten sprechen von „Agentic AI” – einer intelligenten Schadsoftware, die während eines Angriffs selbstständig agiert. Sie passt ihr Vorgehen an Abwehrmaßnahmen an, wechselt flexibel zwischen Zielen und lernt aus den Reaktionen der Opfer. Ein digitaler Chamäleon-Angriff, der bisherige Sicherheitskonzepte obsolet machen könnte.

Noch beunruhigender: KI-gestützte Social-Engineering-Kampagnen werden immer ausgefeilter. Deepfakes ermöglichen täuschend echte Video- und Audio-Imitationen von Vorgesetzten oder Bankberatern. Automatisiert erstellte, hochgradig personalisierte Nachrichten lassen sich kaum noch von echter Kommunikation unterscheiden. Die Technologie senkt die Einstiegshürden für Kriminelle dramatisch – selbst Amateure können künftig professionelle Angriffe fahren.

Kann sich die Branche überhaupt noch gegen solche Bedrohungen wappnen? Die Antwort liegt in einem Wettrüsten, das gerade erst begonnen hat.

Haftungsfrage wird zum juristischen Minenfeld

Wenn Betrüger erfolgreich sind, stellt sich die brisante Frage: Wer trägt den Schaden? Die Rechtslage ist eindeutig – zumindest auf den ersten Blick. Bei nicht autorisierten Zahlungsvorgängen muss die Bank laut § 675u BGB unverzüglich erstatten. Doch diese Regel hat einen Haken.

Institute können die Erstattung verweigern, wenn sie dem Kunden grobe Fahrlässigkeit nachweisen. Doch wo verläuft diese Grenze? Ein wegweisendes Urteil des Bundesgerichtshofs vom 22. Juli (Az. XI ZR 107/24) präzisierte die Definition. Entscheidend ist die Unterscheidung zwischen einem entschuldbaren „Augenblicksversagen” und einem Verhalten, bei dem einfachste Sicherheitsüberlegungen missachtet werden.

Im verhandelten Fall gab eine Kundin mehrfach TANs frei, obwohl sie mehrere Gelegenheiten hatte, den Betrug zu erkennen. Der BGH wertete dies als grob fahrlässig – kein Anspruch auf Erstattung. Ein klares Signal: Wer sehenden Auges in die Falle tappt, bleibt auf dem Schaden sitzen.

Auch Banken trifft Mitschuld

Doch die Rechtsprechung entwickelt sich weiter. Ein Urteil des OLG Dresden vom 5. Juni (Az. 8 U 1482/24) setzte neue Maßstäbe: Das Gericht sprach der Bank eine Mitschuld von 20 % zu, obwohl der Kunde grob fahrlässig gehandelt hatte. Der Grund? Mängel bei der Absicherung des Kontozugriffs durch starke Kundenauthentifizierung.

Diese Entscheidung sendet ein wichtiges Signal: Finanzinstitute können sich nicht aus der Verantwortung stehlen. Wer seine Sicherheitssysteme nicht auf dem neuesten Stand hält, haftet mit – selbst wenn der Kunde Fehler macht. Ein wichtiger Anreiz für Banken, kontinuierlich in fortschrittliche Abwehrmechanismen zu investieren.

Angesichts der prognostizierten KI-Angriffe dürfte diese Rechtsprechung noch relevanter werden. Können Gerichte künftig von Kunden erwarten, perfekte Deepfakes zu durchschauen? Oder trifft die Banken eine erhöhte Sorgfaltspflicht, solche Angriffe technisch zu unterbinden?

Wettrüsten mit Cyberkriminellen verschärft sich

Die Finanzbranche steht vor einer beispiellosen Herausforderung. Institute müssen sich dringend auf adaptive, KI-basierte Angriffe vorbereiten und ihre Monitoring- sowie Authentifizierungssysteme grundlegend überdenken. Traditionelle Sicherheitsmaßnahmen werden gegen die kommende Generation von Cyberattacken kaum ausreichen.

Für Verbraucher bedeutet die aktuelle Warnlage: Skepsis ist die beste Verteidigung. Jede Aufforderung zur Eingabe von Zugangsdaten über ungewöhnliche Kanäle wie WhatsApp oder unaufgeforderte Anrufe sollte als potenzieller Betrugsversuch gewertet werden. Die BaFin rät dringend, vor jeder Investition die Unternehmensdatenbank der Behörde zu konsultieren.

Die Haftungsfrage wird die Gerichte intensiv beschäftigen, während die Technologie Angreifern und Verteidigern gleichermaßen neue Werkzeuge in die Hand gibt. Eines steht fest: Das Jahr 2026 wird zeigen, ob der Finanzsektor für die nächste Evolutionsstufe der Cyberkriminalität gewappnet ist. Die Warnsignale sind jedenfalls unüberhörbar.

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer. Gerade bei gefälschten Banking-Apps und WhatsApp‑Fallen hilft ein klarer Handlungsplan: automatische Updates, App‑Prüfungen, starke Authentifizierung, sichere Backups und misstrauisches Verhalten bei unbekannten Links. Der kostenlose Ratgeber liefert leicht umsetzbare Anleitungen und Checklisten, die Sie sofort anwenden können – ideal, um sich vor KI‑gestützten Social‑Engineering‑Angriffen zu schützen. Gratis‑Sicherheitspaket für Android herunterladen