Postbank Phishing: Aktuelle E-Mail-Betrugswellen und Ihr Recht auf Erstattung
Postbank-Kunden erhalten seit Anfang 2026 verstärkt Phishing-Mails, die zur Bestätigung von BestSign oder SecureGo+ auffordern. Wie diese Wellen funktionieren, woran Sie sie erkennen und wann die Bank abgebuchtes Geld erstatten muss.
Ist eine E-Mail von angeblich "Postbank" mit der Aufforderung, BestSign oder die SecureGo+-App zu bestätigen, echt? In den allermeisten Fällen nicht. Seit Anfang 2026 verschicken Kriminelle in großem Umfang solche Nachrichten verschicken Kriminelle, wie unser Themenüberblick zu Online-Banking-Betrug zeigt, in großem Umfang solche Nachrichten, die zu gefälschten Seiten führen und dort Zugangsdaten abgreifen. Die Postbank selbst verschickt grundsätzlich keine Links zur Dateneingabe per Mail. Rechtsstand: Juli 2026.
Welche Postbank-Phishing-Wellen laufen aktuell per E-Mail?
Seit Beginn des Jahres 2026 warnen Verbraucherzentralen wiederholt vor E-Mail-Wellen, die gezielt Postbank-Kunden ansprechen. Eine verbreitete Masche fordert unter dem Vorwand einer angeblich fehlenden BestSign-Bestätigung dazu auf, das Sicherheitsverfahren über einen Link neu zu bestätigen oder ein fremdes Gerät als Authentifikator zu registrieren. Eine weitere Welle verlangt die Bestätigung der Zwei-Faktor-Authentifizierung mit der Behauptung, das Konto sei andernfalls vorübergehend gesperrt. Eine dritte, unter dem Betreff "Letzte Erinnerung: Ihr Konto wird dauerhaft gesperrt" verschickte Variante drängt zur Aktualisierung der SecureGo+-App.
Allen drei Varianten ist gemeinsam: Ein Link führt zu einer nachgeahmten Login-Seite, auf der Zugangsdaten oder eine Freigabe für eine Transaktion eingegeben werden sollen. Wer dort Daten hinterlässt, liefert sie direkt an die Betrüger, die damit anschließend eigene Überweisungen freigeben oder ein eigenes Gerät als zusätzlichen Authentifikator für das fremde Konto registrieren lassen.
Dieser Beitrag behandelt bewusst die E-Mail- und Link-basierten Betrugsmaschen. Geben sich Betrüger dagegen telefonisch als Postbank-Mitarbeiter aus und zielen direkt auf Kreditkartendaten oder eine telefonische Transaktionsfreigabe ab, gelten teilweise andere Erkennungsmerkmale, dazu der gesonderte Beitrag zu Postbank-Fake-Anrufen und Kreditkartenbetrug.
Warum richten sich Betrugswellen gerade gegen Postbank-Kunden?
Die Postbank ist seit 2018 als Marke innerhalb des Deutsche-Bank-Konzerns organisiert, rechtlich eigenständige Postbank-Gesellschaften wurden im Zuge der Integration aufgelöst oder umgewandelt. Die technische Zusammenführung der IT-Systeme beider Häuser zog sich über viele Jahre und wurde erst 2023 abgeschlossen, zuvor mussten weite Teile des Konzerns zwei parallele IT-Plattformen für das Privatkundengeschäft betreiben. Solche lang laufenden Systemintegrationen nach Fusionen erzeugen erfahrungsgemäß Übergangsphasen mit uneinheitlichen Sicherheitsstandards, die Kriminelle gezielt für Phishing-Kampagnen nutzen, weil Kunden durch echte Umstellungsmitteilungen ohnehin an Sicherheitsnachfragen der Bank gewöhnt sind.
Die große Kundenzahl der Marke Postbank im deutschen Massenmarkt macht sie zusätzlich zu einem lohnenden Ziel für automatisiert verschickte Massen-Phishing-Kampagnen, unabhängig vom konkreten Sicherheitsniveau der zugrunde liegenden Systeme. Für die im Folgenden beschriebenen Schutzmaßnahmen und Rechte spielt es keine Rolle, ob im Einzelfall tatsächlich ein technisches Sicherheitsproblem der Bank vorlag oder die Betrüger allein auf die Unaufmerksamkeit von Kunden gesetzt haben.
Woran erkenne ich eine gefälschte Postbank-E-Mail?
Mehrere Merkmale wiederholen sich bei den meisten Fake-Nachrichten. Die Mail enthält einen Link, über den Zugangsdaten, eine TAN oder eine Sicherheits-App-Bestätigung eingegeben werden sollen, offizielle Postbank-Mitteilungen enthalten grundsätzlich keine solchen Links. Der Ton ist dringlich und setzt eine kurze Frist, oft mit der Drohung einer sofortigen Kontosperrung. Absenderadresse und Linkziel weichen bei genauem Hinsehen von der echten Postbank-Domain ab, häufig durch zusätzliche Wortbestandteile oder eine abweichende Endung. Und die Nachricht widerspricht dem eigenen Kontoverhalten, etwa eine Sicherheitswarnung, obwohl gerade erst problemlos eingeloggt wurde.
Besonders sensibel ist jede Aufforderung, ein Sicherheitsverfahren wie BestSign oder SecureGo+ auf einem fremden oder neu registrierten Gerät zu bestätigen. Diese Bestätigung dient ausschließlich der Kopplung mit dem eigenen Gerät. Wer sie über einen Link aus einer Mail auslöst, ermöglicht es Betrügern häufig, ein eigenes Gerät als zusätzlichen Authentifikator für das fremde Konto zu registrieren und damit dauerhaften Zugriff zu erhalten, weit über eine einzelne Transaktion hinaus.
Wie schützt man sich vor diesen Phishing-Wellen?
Mehrere einfache Regeln senken das Risiko deutlich. Klicken Sie keine Links in Mails oder SMS an, die angeblich von Ihrer Bank stammen, rufen Sie die Login-Seite stattdessen immer selbst über die offizielle Adresse oder ein eigenes Lesezeichen auf. Geben Sie Zugangsdaten, TAN oder eine Sicherheits-App-Bestätigung niemals über einen zugesandten Link ein. Prüfen Sie unbekannte Absenderadressen und Linkziele genau, bevor Sie reagieren. Melden Sie verdächtige Nachrichten der Postbank und der Verbraucherzentrale. Halten Sie Virenschutz sowie System- und App-Updates aktuell.
Verdächtige E-Mails lassen sich über den regulären Kundenservice der Postbank melden, zusätzlich warnt die Verbraucherzentrale über ihr Phishing-Radar fortlaufend vor aktuell kursierenden Wellen, wie sie auch bei Commerzbank-Spam-SMS und Phishing-Mails oder DHL-Fake-SMS auftreten, und ihren konkreten Betreffzeilen.
Wann muss die Bank eine Phishing-Überweisung erstatten?
Nach § 675u BGB hat die Bank gegen den Kunden keinen Anspruch auf Ersatz ihrer Aufwendungen, wenn eine Zahlung nicht autorisiert war. Sie muss den Betrag unverzüglich erstatten, spätestens bis zum Ende des Geschäftstags, der auf die Meldung des nicht autorisierten Vorgangs folgt, und das Konto wieder auf den Stand bringen, den es ohne die Belastung hätte. Die Bank trägt dabei die Beweislast: Sie muss nachweisen, dass die Zahlung tatsächlich autorisiert war, oder dass dem Kunden grobe Fahrlässigkeit vorzuwerfen ist.
Grobe Fahrlässigkeit setzt nach § 675v Abs. 3 BGB eine ungewöhnlich schwere Sorgfaltspflichtverletzung voraus. Die konkrete Hürde dafür hängt stark vom Einzelfall ab, etwa davon, wie viel Zeit dem Kunden zum Nachdenken blieb und wie eindeutig die Warnzeichen der jeweiligen Phishing-Mail waren. Pauschale Ablehnungen der Bank mit dem bloßen Verweis auf "Sie haben auf einen Link geklickt" halten einer rechtlichen Prüfung häufig nicht stand, insbesondere wenn die gefälschte Seite professionell gestaltet war und keine offensichtlichen Fehler enthielt. Eine ausführliche Einordnung der aktuellen Rechtsprechung zur Bankhaftung, auch für Fälle außerhalb der Postbank, liefert der Beitrag Online-Banking-Betrug: Wann die Bank haftet.
Was tun, wenn Sie bereits Opfer geworden sind?
Handeln Sie in dieser Reihenfolge:
- Zugänge sofort sperren. Rufen Sie die bundesweite Sperr-Notrufnummer 116 116 an, sie ist rund um die Uhr erreichbar und sperrt Karte und Online-Zugang unabhängig von der Bank.
- Postbank informieren. Melden Sie den nicht autorisierten Zahlungsvorgang unverzüglich, das setzt die Erstattungsfrist nach § 675u BGB in Gang.
- Anzeige bei der Polizei erstatten. Halten Sie Zeitpunkt und Ablauf des Vorfalls fest.
- Beweise sichern. Screenshots der Phishing-Mail und der gefälschten Seite, Kontoauszüge mit den betroffenen Buchungen.
- Neue Zugangsdaten vergeben. Nutzen Sie nach der Entsperrung ausschließlich neue Passwörter und richten Sie das Sicherheitsverfahren neu auf Ihrem eigenen Gerät ein.
- Rechtlichen Rat einholen. Vor allem wenn die Bank eine Erstattung mit dem Vorwurf grober Fahrlässigkeit ablehnt, lohnt sich eine anwaltliche Prüfung der konkreten Umstände.
Kontaktieren Sie unsere Kanzlei unter 04202 / 6 38 37 0 oder schreiben Sie eine E-Mail an info@rechtsanwaltkaufmann.de.
Jetzt individuell beraten lassen
Die Informationen in diesem Artikel dienen allgemeinen Informationszwecken und ersetzen keine rechtliche Beratung im Einzelfall.
Fragen & Antworten
Verschickt die Postbank Links per E-Mail zur Bestätigung von BestSign oder SecureGo+?
Nein. Offizielle Postbank-Mitteilungen enthalten grundsätzlich keine Links zur Dateneingabe. Eine E-Mail, die zur Bestätigung von BestSign, zur 2FA-Bestätigung oder zur Aktualisierung der SecureGo+-App über einen Link auffordert, ist ein Warnsignal für Phishing.
Existiert die Postbank als eigenständige Bank noch?
Rechtlich ist die Postbank seit der Integration in die Deutsche Bank keine eigenständige Bankgesellschaft mehr, die Marke Postbank besteht aber innerhalb des Deutsche-Bank-Konzerns fort. Die technische Zusammenführung der IT-Systeme beider Häuser wurde 2023 abgeschlossen.
Muss die Postbank eine Phishing-Überweisung erstatten?
Grundsätzlich ja. Nach § 675u BGB muss die Bank eine nicht autorisierte Zahlung unverzüglich erstatten. Sie kann sich nur befreien, wenn sie beweist, dass die Zahlung autorisiert war oder der Kunde grob fahrlässig gehandelt hat.
Was mache ich, wenn ich auf eine Postbank-Phishing-Mail hereingefallen bin?
Sperren Sie Karte und Online-Zugang sofort über die Sperr-Notrufnummer 116 116, informieren Sie die Postbank, erstatten Sie Anzeige bei der Polizei und sichern Sie Beweise wie Screenshots der Phishing-Mail und Kontoauszüge. Danach lohnt sich bei einer Ablehnung der Bank eine anwaltliche Prüfung.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).