Phishing erkennen: Smishing, Vishing, Quishing und KI-Stimmen im Online-Banking
Phishing-Mails werden heute zu einem großen Teil von KI generiert, dazu kommen QR-Code-Betrug (Quishing) und geklonte Bankmitarbeiter-Stimmen am Telefon. So erkennen Sie die aktuellen Betrugsmaschen, bevor Ihr Konto geplündert wird.
Phishing bleibt die häufigste Betrugsmasche beim Online-Banking, doch die Methoden haben sich 2026 spürbar verändert. Neben der klassischen gefälschten E-Mail sind inzwischen QR-Code-Betrug (Quishing) und Telefonanrufe mit künstlich geklonten Stimmen echter Bankmitarbeiter im Umlauf. Wer die aktuellen Varianten kennt, erkennt einen Betrugsversuch deutlich früher.
Warum ist klassisches Phishing 2026 schwerer zu erkennen als früher?
Rechtschreibfehler und holprige Formulierungen galten lange als zuverlässiges Warnsignal, im Themenbereich Online-Banking-Betrug sind weitere aktuelle Maschen zusammengefasst. Das funktioniert heute kaum noch: Ein Großteil aller Phishing-Mails wird mittlerweile mit generativer KI erstellt, sprachlich glatt und im Ton täuschend echt an die jeweilige Bank angepasst. Verlässlicher sind deshalb andere Merkmale: die tatsächliche Absenderadresse (nicht nur der angezeigte Name), das Linkziel beim Darüberfahren mit der Maus, und vor allem der künstlich erzeugte Zeitdruck. Formulierungen wie „Ihr Konto wird in 24 Stunden gesperrt, bestätigen Sie jetzt Ihre Daten“ sollen dazu bringen, unüberlegt zu klicken, statt die Nachricht in Ruhe zu prüfen.
Was unterscheidet Smishing und Vishing von klassischem Phishing?
Smishing ist Phishing per SMS. Eine Kurznachricht meldet eine angebliche Sicherheitswarnung oder eine nicht zustellbare Paketsendung, verbunden mit einem Link zu einer gefälschten Seite. Viele Menschen sind gegenüber SMS misstrauischer als gegenüber E-Mails, geben aber gerade deshalb weniger acht, weil Banken selbst SMS für echte Sicherheitscodes nutzen und Nutzer an bank-bezogene Kurznachrichten gewöhnt sind.
Vishing (Voice-Phishing) läuft über einen Telefonanruf. Ein Anrufer gibt sich als Bankmitarbeiter oder Sicherheitsdienst aus und behauptet, es gebe verdächtige Kontobewegungen oder die Karte müsse neu verifiziert werden. Unter dem erzeugten Druck geben viele Betroffene eine TAN oder Zugangsdaten direkt am Telefon preis. Hier ist keine gefälschte Webseite und keine E-Mail nötig, das Opfer liefert die Daten aus eigenem Antrieb.
Schon die klassische, nicht KI-gestützte Vishing-Variante ist tückisch, weil die Täter mit sogenanntem Spoof-Calling die tatsächliche Rufnummer der Hausbank im Display anzeigen lassen und dabei oft bereits echte Informationen zum Konto nennen, etwa den Namen der zuständigen Kundenberaterin oder die letzten getätigten Überweisungen, vermutlich aus vorherigem Datendiebstahl. Das erzeugt beim Angerufenen ein trügerisches Sicherheitsgefühl, obwohl am anderen Ende kein echter Bankmitarbeiter spricht. Fällt der Betrug erst durch unregelmäßige Kontobewegungen im Nachhinein auf, sollten Sie das Konto unverzüglich sperren lassen und die Bank informieren. Einige Institute gleichen den entstandenen Schaden in solchen Fällen kulant über einen eigenen Härtefallfonds aus, das ist allerdings eine freiwillige Kulanzleistung der Bank und kein gesetzlicher Anspruch, ein rechtsverbindlicher Erstattungsanspruch richtet sich weiterhin nach § 675u BGB und den dortigen Voraussetzungen.
Was ist Quishing und warum hat es 2026 zugenommen?
Quishing kombiniert QR-Code und Phishing: Ein präparierter QR-Code in einem gefälschten Bankbrief, auf einem Aufkleber über einer echten Zahlungsaufforderung oder in einer E-Mail führt beim Scannen auf eine nachgebaute Login-Seite. Das Bundeskriminalamt und die österreichische Nationalbank warnen seit 2026 verstärkt vor dieser Masche, die Zahl der gemeldeten Fälle ist im ersten Quartal 2026 deutlich gestiegen. Besonders tückisch: QR-Codes lassen sich mit bloßem Auge nicht auf ihr Linkziel prüfen, viele Menschen scannen sie deshalb ohne die übliche Vorsicht, die sie bei einem Textlink hätten. Vorsicht ist besonders geboten bei QR-Codes auf lose beiliegenden Zetteln, bei Aufklebern, die über einem ursprünglichen Code angebracht wirken, und bei QR-Codes in unerwarteten E-Mails.
Wie funktionieren Vishing-Anrufe mit KI-geklonten Stimmen?
Die neueste Entwicklung im Vishing-Bereich nutzt Sprachsynthese: Aus wenigen Sekunden öffentlich verfügbarem Audiomaterial, etwa aus einem Firmenvideo oder einer Warteschleifenansage, lässt sich eine Stimme täuschend echt nachbilden. Kombiniert mit gefälschten Anrufer-Kennungen (Call-ID-Spoofing) kann ein Betrugsanruf dann so wirken, als käme er tatsächlich von der bekannten Servicenummer der eigenen Bank, gesprochen mit einer Stimme, die vertraut klingt. Sicherheitsdienstleister melden für 2026 eine massive Zunahme solcher KI-gestützter Anrufbetrugsfälle im Vergleich zu den Vorjahren.
Gegen diese Masche hilft am zuverlässigsten ein einziges Prinzip: Legen Sie bei jedem unerwarteten Anruf zu Kontosicherheit oder TAN-Bestätigung auf und rufen Sie die Bank über die Ihnen bekannte, selbst gewählte Servicenummer zurück, unabhängig davon, wie vertrauenswürdig die Stimme am Telefon klingt oder welche Nummer im Display erscheint.
Woran erkenne ich einen Phishing-Versuch zuverlässig?
Unabhängig vom konkreten Kanal helfen diese Prüfpunkte:
- Kein Bankmitarbeiter fragt am Telefon, per E-Mail oder SMS nach TAN, PIN oder vollständigem Online-Banking-Passwort, dasselbe gilt für angebliche Sicherheitswarnungen von PayPal.
- Echte Sicherheitswarnungen erzeugen selten akuten Zeitdruck von wenigen Stunden, seriöse Banken räumen im Regelfall angemessene Fristen ein.
- Die Absenderadresse einer E-Mail zeigt oft eine Domain, die der echten Bank nur ähnelt, nicht entspricht.
- Links und QR-Codes aus unerwarteten Nachrichten sollten grundsätzlich nicht geöffnet oder gescannt werden, stattdessen die Bank-App oder eine selbst eingegebene Adresse nutzen.
- Bei einem verdächtigen Anruf gilt: auflegen, über die bekannte Servicenummer selbst zurückrufen.
Wer haftet, wenn ein Phishing-Angriff erfolgreich war?
Wird eine Überweisung ohne Ihre Zustimmung ausgeführt, muss die Bank den Betrag nach § 675u BGB grundsätzlich unverzüglich erstatten. Sie kann sich davon nur befreien, wenn sie beweist, dass die Zahlung tatsächlich autorisiert war oder dass Ihnen grobe Fahrlässigkeit vorzuwerfen ist, etwa die Weitergabe einer TAN trotz eindeutiger Warnzeichen. Wann genau grobe Fahrlässigkeit vorliegt und wann die Bank trotzdem mithaftet, weil sie selbst Sicherheitspflichten verletzt hat, erklärt der ausführliche Beitrag Online-Banking-Betrug: Wann die Bank haftet und Ihr Geld erstatten muss anhand aktueller BGH- und OLG-Urteile im Detail.
Was tun, wenn Sie bereits auf einen Phishing-Versuch hereingefallen sind?
Sperren Sie Ihr Konto sofort über die bundesweite Sperr-Notrufnummer 116 116, informieren Sie unverzüglich Ihre Bank und erstatten Sie Anzeige bei der Polizei. Sichern Sie Beweise wie Screenshots der Nachricht, den gescannten QR-Code oder Anrufprotokolle. Die konkreten nächsten Schritte und die Frage, wie Sie eine Ablehnung der Bank anfechten können, sind im verlinkten Beitrag zur Bankhaftung ausführlich beschrieben.
Rechtsstand: Juli 2026.
Fragen & Antworten
Warum sind Phishing-Mails 2026 schwerer an Fehlern zu erkennen?
Ein Großteil der Phishing-Mails wird inzwischen mit generativer KI erstellt und ist sprachlich weitgehend fehlerfrei. Verlässlichere Warnsignale sind die tatsächliche Absenderadresse, das Linkziel und ein künstlich erzeugter Zeitdruck.
Was ist Quishing und wie erkenne ich es?
Quishing ist Phishing über präparierte QR-Codes, etwa auf gefälschten Bankbriefen, Aufklebern oder in E-Mails. Da sich ein QR-Code nicht mit bloßem Auge auf sein Linkziel prüfen lässt, ist besondere Vorsicht bei QR-Codes aus unerwarteten Quellen geboten, insbesondere bei lose beiliegenden Zetteln oder auffälligen Aufklebern.
Wie funktioniert Vishing mit KI-geklonten Stimmen?
Aus wenigen Sekunden öffentlich verfügbarem Audiomaterial lässt sich eine Stimme mit KI täuschend echt nachbilden. Kombiniert mit gefälschten Anrufer-Kennungen kann ein Betrugsanruf dadurch wie ein echter Anruf der eigenen Bank wirken. Schutz bietet nur, bei jedem TAN- oder Sicherheitsanruf aufzulegen und selbst über die bekannte Servicenummer zurückzurufen.
Fragt meine Bank jemals nach meiner TAN oder PIN?
Nein. Kein seriöser Bankmitarbeiter fragt am Telefon, per E-Mail oder SMS nach TAN, PIN oder dem vollständigen Online-Banking-Passwort. Jede solche Anfrage ist ein eindeutiges Betrugssignal.
Wer haftet, wenn ich trotz Vorsicht Opfer von Phishing werde?
Die Bank muss eine nicht autorisierte Überweisung grundsätzlich nach § 675u BGB erstatten, außer sie kann Ihnen grobe Fahrlässigkeit nachweisen. Die Einzelheiten der Haftungsfrage, einschließlich aktueller Gerichtsurteile, behandelt der vertiefende Beitrag zur Bankhaftung bei Online-Banking-Betrug.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).