04202 / 6 38 37 – 0 · info@rechtsanwaltkaufmann.de · Mo – Fr 9:00–12:30 / 14:30–17:30
Bank- und Kapitalmarktrecht

Betrugsmasche Brief: Phishing-Briefe von Commerzbank und Sparkasse erkennen

Gefälschte Bankbriefe mit QR-Code locken Kunden auf nachgebaute Login-Seiten. So erkennen Sie Quishing-Post von echten Bankschreiben, und das gilt rechtlich, wenn bereits Geld abgebucht wurde.

Titelbild: Betrugsmasche Brief: Phishing-Briefe von Commerzbank und Sparkasse erkennen

Betrüger verschicken derzeit vermehrt Briefe im Namen von Commerzbank, Sparkasse und anderen Banken, die mit einem QR-Code zur angeblichen Aktualisierung der Kontodaten auffordern. Wer den Code scannt, landet auf einer nachgebauten Login-Seite, die Zugangsdaten dort gehen direkt an die Täter. Das Bundesamt für Sicherheit in der Informationstechnik warnte am 1. April 2026 vor einer deutlichen Zunahme solcher KI-gestützten Quishing-Angriffe. Wurde bereits Geld abgebucht, besteht meist ein Erstattungsanspruch gegen die eigene Bank.

Was ist Quishing und warum sind Briefe damit so gefährlich?

Quishing setzt sich aus „QR-Code“ und „Phishing“ zusammen und beschreibt Betrug über einen QR-Code, der zu einer gefälschten Webseite führt. Neu ist an der aktuellen Welle, dass die Täter den Code nicht mehr per E-Mail, sondern per klassischem Brief verschicken. Ein offizielles Schreiben mit Banklogo und korrekter Anschrift wirkt auf viele Menschen glaubwürdiger als eine E-Mail, die potenziell im Spam-Ordner landet. Hinzu kommt: Bei einem Link in einer Mail lässt sich die Zieladresse vorab prüfen, bei einem QR-Code sieht man erst nach dem Scannen, wohin er führt.

Das Muster wiederholt sich bei den gemeldeten Fällen: Ein Kunde erhält einen Brief, angeblich von der Commerzbank, mit der Aufforderung, sein Photo-TAN-Verfahren über einen QR-Code zu aktualisieren. Dieselbe Bank ist zeitgleich auch Ziel einer separaten Spam-SMS- und Phishing-Mail-Welle, die auf ähnliche Weise die photoTAN-Aktivierung vorschiebt. Beim Scannen öffnet sich eine Seite, die der echten Commerzbank-Login-Seite täuschend ähnlich sieht. Ähnliche Briefe kursierten mit dem Vorwand einer „Sicherheitsüberprüfung des Online-Bankings“ im Namen von Sparkassen. Manche Schreiben verweisen zusätzlich auf angebliche BaFin-Maßnahmen oder Kooperationen mit IT-Sicherheitsbehörden, um seriöser zu wirken.

Woran erkenne ich einen gefälschten Bankbrief?

Einige Merkmale wiederholen sich bei den bekannten Fällen fast immer:

| Merkmal | Echter Bankbrief | Betrugsbrief |
|---|---|---|
| Anrede | Persönlich mit Namen | „Sehr geehrter Kunde“ oder „Liebe/r Kontoinhaber/in“ |
| Aufforderung | Nie zur Eingabe von PIN/TAN | QR-Code zur „Datenaktualisierung“ |
| Tonfall | Sachlich, ohne Frist-Drohung | Zeitdruck, drohende Kontosperrung |
| Kontaktweg | Bekannte Servicenummer, Filiale | Nur der QR-Code als Handlungsoption |

Banken fragen grundsätzlich nie per Brief, E-Mail oder Telefon nach Passwörtern, PINs oder TANs. Bei Zweifeln hilft nur ein Anruf über die offizielle, selbst recherchierte Telefonnummer der Bank, nicht über eine im Brief angegebene Nummer, eine Grundregel bei praktisch jedem Fall von Online-Banking-Betrug.

Welche anderen Betrugsmaschen kursieren neben Quishing-Briefen?

Die gleiche Grundidee taucht in mehreren Varianten auf. Beim Smishing verschicken Betrüger SMS mit Links zu gefälschten Seiten, wie es aktuell auch bei gefälschten DHL-Sendungsbenachrichtigungen per SMS verbreitet ist. Beim Vishing rufen sie an und geben sich als Bankmitarbeiter aus. Klassisches E-Mail-Phishing fordert weiterhin direkt zur Eingabe von Zugangsdaten auf einer nachgebauten Seite auf. Auch außerhalb des Bankings sind gefälschte Briefe unterwegs, etwa im Namen von Energieversorgern oder Mobilfunkanbietern mit angeblichen „Netzwerk-Optimierungen“, die ebenfalls per QR-Code „bestätigt“ werden sollen.

Was tun, wenn ich bereits einen QR-Code gescannt oder Daten eingegeben habe?

Zuerst zählt Tempo. Wer Zugangsdaten oder eine TAN auf der gefälschten Seite eingegeben hat, sollte sofort die Bank kontaktieren und den Online-Banking-Zugang sperren lassen, notfalls über die bundesweite Sperr-Notrufnummer 116 116. Parallel lohnt sich eine Anzeige bei der Polizei, sie ist häufig Voraussetzung für die Erstattung durch die Bank oder eine Versicherung. Screenshots der gefälschten Seite und der Original-Brief sind wichtige Beweismittel und sollten aufbewahrt werden.

Muss die Bank abgebuchtes Geld erstatten?

In den meisten Fällen ja, und zwar zügig. Nach § 675u BGB muss der Zahlungsdienstleister eine nicht autorisierte Zahlung unverzüglich erstatten und das Konto so stellen, wie es ohne die Abbuchung stünde. Die Bank kann sich nur dann auf eine Mithaftung des Kunden berufen, wenn sie ihm grobe Fahrlässigkeit nachweist, etwa weil er trotz erkennbarer Warnzeichen sensible Daten preisgegeben hat. Die Beweislast dafür liegt nach § 675w BGB bei der Bank, nicht beim Kunden.

Ein Schlussantrag des Generalanwalts am Europäischen Gerichtshof vom 5. März 2026 (Rechtssache C-70/25) stärkt diese Position zusätzlich: Der Generalanwalt vertritt darin, dass die Bank eine nicht autorisierte Zahlung grundsätzlich zunächst erstatten muss, unabhängig davon, ob dem Kunden grobe Fahrlässigkeit vorzuwerfen ist. Erst danach kann die Bank prüfen, ob sie einen Gegenanspruch auf Schadensersatz hat. Das endgültige EuGH-Urteil steht noch aus, Generalanwälten folgt der Gerichtshof aber in der Mehrzahl der Fälle.

Rechtsstand: Juli 2026.

Fragen & Antworten

Wie erkenne ich einen Phishing-Brief der Commerzbank oder Sparkasse sicher?

Typische Warnzeichen sind eine unpersönliche Anrede wie „Sehr geehrter Kunde“, ein QR-Code zur angeblichen Datenaktualisierung, Zeitdruck durch eine drohende Kontosperrung und das Fehlen eines direkten telefonischen Kontaktwegs außer dem QR-Code. Banken fragen niemals per Brief nach PIN oder TAN.

Was mache ich, wenn ich den QR-Code aus einem verdächtigen Brief bereits gescannt habe?

Solange Sie keine Daten eingegeben haben, entsteht meist kein Schaden. Haben Sie bereits Zugangsdaten oder eine TAN eingegeben, sperren Sie sofort Ihr Online-Banking (auch über die bundesweite Sperr-Notrufnummer 116 116), informieren Sie Ihre Bank und erstatten Sie Anzeige bei der Polizei.

Erstattet mir die Bank Geld, das durch den Phishing-Brief abgebucht wurde?

In der Regel ja. Nach § 675u BGB muss die Bank eine nicht autorisierte Zahlung unverzüglich erstatten. Sie kann die Erstattung nur verweigern, wenn sie Ihnen grobe Fahrlässigkeit nachweist, die Beweislast dafür trägt nach § 675w BGB die Bank.

Was hat das EuGH-Verfahren C-70/25 mit meinem Fall zu tun?

Der Generalanwalt am EuGH hat am 5.3.2026 die Position vertreten, dass Banken eine nicht autorisierte Zahlung grundsätzlich zunächst erstatten müssen, selbst wenn sie dem Kunden grobe Fahrlässigkeit vorwerfen. Das endgültige Urteil steht noch aus, stützt aber schon jetzt die Position von Phishing-Opfern gegenüber ihrer Bank.

Sind auch andere Unternehmen als Banken von solchen QR-Code-Briefen betroffen?

Ja, ähnliche Briefe kursieren auch im Namen von Energieversorgern und Mobilfunkanbietern, meist mit dem Vorwand einer „Netzwerk-Optimierung“ oder „SIM-Karten-Aktivierung“, die per QR-Code bestätigt werden soll.

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).

Profile & Bewertungen