Online-Banking-Sicherheit 2026: Betrugsmaschen, TAN-Verfahren und Haftung

Online-Banking ist bequem und für die meisten Nutzer sicher - solange man die aktuellen Betrugsmaschen kennt. Phishing-Mails sind längst mit HTTPS ausgestattet und wirken seriös. Anrufer täuschen echte Banknummern vor. Und wer eine TAN nach einem Telefonat herausgibt, verliert im Zweifel seinen Erstattungsanspruch. Was Sie konkret tun müssen, damit Ihr Konto sicher bleibt.

Aktuelle Betrugsmaschen 2025/2026

Gefälschte Bank-SMS auf Smartphone - Smishing-Angriff
Smishing: Gefälschte Bank-SMS mit Phishing-Link

Phishing-Mails und SMS mit Links auf täuschend echte Bank-Loginseiten sind laut dem BioCatch-Bericht zu Betrugstrends im deutschen Online-Banking 2024 weiterhin der häufigste Angriffsvektor. Das Perfide: Phishing-Seiten nutzen heute fast immer gültige TLS-Zertifikate - das Schloss-Symbol im Browser bedeutet nur, dass die Verbindung verschlüsselt ist, nicht dass die Seite seriös ist.

Besonders effektiv sind Hybrid-Angriffe, bei denen mehrere Methoden kombiniert werden. Zuerst kommt eine Phishing-Mail, die Zugangsdaten abgreift. Dann folgt ein Anruf von einem "Bankmitarbeiter", der die bereits bekannten Kontodaten nennt - was Vertrauen weckt - und nach einer TAN für eine angebliche "Sicherheitsüberweisung" fragt. Betrüger können dabei die echte Telefonnummer der Bank im Display fälschen (Call-ID-Spoofing).

SIM-Swapping ist eine weitere Methode: Angreifer bringen den Mobilfunkanbieter dazu, die Rufnummer des Opfers auf eine neue SIM umzustellen. Damit fangen sie SMS-TANs ab, ohne das Gerät des Opfers zu kompromittieren. Das ist der Hauptgrund, warum mTAN per SMS als unsicherer gilt als andere Verfahren.

Kurz gefasst: Die gefährlichsten Angriffe kombinieren Phishing, gefälschte Anrufe und Remote-Control-Software. HTTPS auf einer Seite bedeutet nicht, dass sie sicher ist. Call-ID-Spoofing macht die angezeigte Rufnummer unzuverlässig.

TAN-Verfahren im Vergleich

Nicht alle TAN-Verfahren bieten denselben Schutz. Die IONOS-Übersicht zu TAN-Verfahren und die Verbraucherzentrale Hamburg kommen zu einer klaren Rangfolge:

Verfahren Sicherheit Typisches Angriffsszenario
iTAN (TAN-Liste) Gering - weitgehend abgeschafft Einfaches Phishing, Liste wird gestohlen
mTAN (SMS) Mittelmäßig SIM-Swapping, Malware auf dem Handy
pushTAN (App) Hoch Banking- und TAN-App auf demselben kompromittierten Gerät
chipTAN / PhotoTAN Sehr hoch Angreifer benötigt physische Karte und Lesegerät
FIDO2 / Passkey Sehr hoch, phishing-resistent Domain-Bindung entlarvt Phishing-Seiten automatisch

ChipTAN und PhotoTAN gelten als besonders sicher, weil die Transaktionsdaten auf dem separaten Lesegerät angezeigt werden - Empfänger, Betrag und IBAN sind sichtbar, bevor die TAN generiert wird. Ein Angreifer bräuchte sowohl die physische Bankkarte als auch das Lesegerät.

FIDO2/Passkeys sind die Zukunft: Sie nutzen kryptografische Schlüssel auf Hardware-Token oder dem Smartphone und sind durch Domain-Bindung phishing-resistent. Eine gefälschte Bankseite unter einer anderen URL bekommt schlicht keine gültige Antwort. Immer mehr Banken bieten das Verfahren an.

Kurz gefasst: ChipTAN/PhotoTAN und FIDO2 sind die sichersten Verfahren. mTAN per SMS ist anfällig für SIM-Swapping. PushTAN ist gut, solange Banking-App und TAN-App nicht auf demselben kompromittierten Gerät laufen.

Vier gefährliche Irrtümer

"Das Schloss-Symbol zeigt mir, dass die Seite sicher ist." HTTPS verschlüsselt die Verbindung zwischen Browser und Server - nicht mehr. Phishing-Seiten nutzen heute fast durchgehend gültige TLS-Zertifikate und erscheinen im Browser als "sicher". Das Schloss sagt nichts über die Seriosität der Seite aus.

"Meine Bank würde mich nie anrufen." Banken rufen durchaus an, etwa bei Rückfragen zu Transaktionen. Der Unterschied: Eine echte Bank verlangt dabei niemals eine TAN, vollständige Zugangsdaten oder die Installation von Fernwartungssoftware wie AnyDesk oder TeamViewer. Wer das fordert, ist ein Betrüger - egal welche Nummer im Display steht.

"Ich erkenne gefälschte Bank-E-Mails sofort." Eine Studie zeigt, dass viele Verbraucher Phishing-Mails nicht sicher erkennen. Moderne Phishing-Mails sind sprachlich korrekt, optisch von echten Mails kaum zu unterscheiden und nutzen oft echte Logos und Absenderadressen die täuschend ähnlich wirken. Die einzig sichere Regel: Bankseiten immer manuell im Browser eintippen oder ein gespeichertes Lesezeichen verwenden - nie auf einen Link in einer E-Mail oder SMS klicken.

"Online-Banking auf dem Smartphone ist unsicherer." Das Gegenteil kann der Fall sein. Ein aktuelles, gut konfiguriertes Smartphone mit offizieller Banking-App ist oft weniger anfällig als ein Windows-PC mit veralteten Browser-Plugins, Office-Makros und ungepatchten Sicherheitslücken. Entscheidend ist das gepflegte System - nicht der Kanal.

Kurz gefasst: HTTPS bedeutet nicht "seriös". Banken fragen niemals nach TANs am Telefon. Phishing-Mails sind kaum erkennbar - deshalb niemals auf Links klicken. Smartphone kann sicherer als PC sein.

Wann haftet die Bank, wann Sie?

Paragrafenzeichen bei Online-Banking-Haftungsfragen
Die Haftungsfrage hängt davon ab, ob grobe Fahrlässigkeit vorliegt

Die rechtliche Ausgangslage ist für Verbraucher grundsätzlich gut. Nach § 675u BGB muss die Bank bei nicht autorisierten Zahlungsvorgängen den Betrag unverzüglich erstatten. Das Risiko liegt zunächst beim Zahlungsdienstleister.

Der entscheidende Haken steckt in § 675v BGB: Wer grob fahrlässig gegen seine Sorgfaltspflichten verstößt, haftet selbst. In der Praxis bedeutet das: Eine TAN nach einem Telefonanruf herausgeben ist grobe Fahrlässigkeit. Warnhinweise der Bank ignorieren ist grobe Fahrlässigkeit. Zugangsdaten auf einer verdächtigen Seite eintippen kann grobe Fahrlässigkeit sein.

Die Gerichte urteilen dabei streng. Das OLG Dresden betont, dass bei korrektem technischem Login mit starker Kundenauthentifizierung der Kunde darlegen muss, warum er nicht grob fahrlässig gehandelt hat. Das OLG Frankfurt verneinte in einem konkreten Fall den Erstattungsanspruch einer Kundin, weil sie trotz ungewöhnlicher Aufforderungen TANs preisgegeben hatte.

Faustregel: Wer selbst eine TAN eingibt oder freigibt - egal ob durch Phishing oder nach einem Telefonat - steht vor einem schwierigen Kampf um Erstattung. Wer dagegen Opfer eines technischen Angriffs ohne eigenes Zutun wird, hat gute Karten.

Kurz gefasst: Die Bank haftet grundsätzlich. Aber: Wer eine TAN nach einem Telefonanruf herausgibt oder auf Phishing hereinfällt, riskiert seinen Erstattungsanspruch wegen grober Fahrlässigkeit.

Konkrete Schutzmaßnahmen

Der Bankenverband fasst die wichtigsten Punkte zusammen. Ergänzt um eigene Praxiserfahrungen:

  • Nur eigene, aktuelle Geräte nutzen. Kein Online-Banking auf fremden PCs, Internetcafés oder öffentlichen Terminals.
  • Bankseite immer manuell eingeben oder Lesezeichen nutzen. Niemals auf Links in E-Mails oder SMS klicken. Die URL in der Adresszeile prüfen - nicht nur das Schloss-Symbol.
  • Starkes TAN-Verfahren wählen. ChipTAN, PhotoTAN oder FIDO2 statt mTAN per SMS, wenn Ihre Bank es anbietet.
  • Niemals TANs telefonisch weitergeben. Keine Bank, kein Bankmitarbeiter und kein "Sicherheitsteam" braucht eine TAN von Ihnen am Telefon.
  • Keine Fernwartungssoftware installieren. Wer Sie auffordert, AnyDesk, TeamViewer oder ähnliches zu installieren, ist ein Betrüger.
  • Kontoumsätze regelmäßig prüfen. Je früher eine unbekannte Abbuchung auffällt, desto besser die Chancen auf Rückbuchung.

"Ich nutze beim Online-Banking ausschließlich den Inkognito-Modus. Der verhindert, dass Browser-Erweiterungen, gespeicherte Sitzungen oder kompromittierte Autofill-Daten ins Spiel kommen. Kein gespeichertes Passwort, keine aktiven Plugins - nur die nackte Bankseite."

Kurz gefasst: Eigenes Gerät, manuell eingetippte URL, starkes TAN-Verfahren, niemals TAN am Telefon. Inkognito-Modus reduziert die Angriffsfläche durch Browser-Erweiterungen und gespeicherte Sitzungen.

Mobil oder Desktop: was ist sicherer?

Die Wahrnehmung und die Realität klaffen hier auseinander. Laut einer Umfrage im IT-Finanzmagazin halten 61,3 Prozent der Befragten Online-Banking am PC für sicher, aber nur 54,7 Prozent das Smartphone für sicher. Das Misstrauen gegenüber dem Handy ist verbreitet - in vielen Fällen aber umgekehrt.

Ein aktuelles, gut gepflegtes Smartphone mit offizieller Banking-App und aktiviertem Bildschirmlock ist oft sicherer als ein Windows-PC mit veralteten Browser-Erweiterungen, inaktiven Updates und diversen installierten Programmen. Klassische PC-Malware, Keylogger und Man-in-the-Browser-Angriffe greifen auf einem gesperrten, aktuellen iOS- oder Android-Gerät nicht.

Die Risiken auf dem Smartphone entstehen woanders: gejailbreakte oder gerootete Geräte, Apps aus inoffiziellen Quellen und fehlende Betriebssystem-Updates. Wer sein Smartphone aktuell hält und nur Apps aus dem offiziellen Store installiert, ist auf einem guten Stand.

Ein konkretes Sicherheitsproblem beim Smartphone-Banking: Banking-App und TAN-App auf demselben Gerät. Wer pushTAN nutzt, sollte auf einem Gerät die Banking-App und auf einem zweiten die TAN-App nutzen - oder zu ChipTAN mit separatem Lesegerät wechseln.

Kurz gefasst: Ein gut gepflegtes Smartphone kann sicherer sein als ein schlecht gewarteter PC. Beide Kanäle sind sicher, wenn das Gerät aktuell und sauber ist. Banking- und TAN-App gehören auf verschiedene Geräte.

Häufige Fragen zum Online-Banking

Was tun wenn man Opfer von Online-Banking-Betrug wurde?

Sofort die Bank anrufen und das Konto sperren lassen - rund um die Uhr über den Sperr-Notruf 116 116. Danach Anzeige bei der Polizei erstatten. Die Bank ist nach § 675u BGB grundsätzlich zur Erstattung verpflichtet, außer Sie haben grob fahrlässig gehandelt, z.B. eine TAN nach einem Telefonanruf herausgegeben.

Welches TAN-Verfahren ist am sichersten?

ChipTAN und PhotoTAN mit separatem Lesegerät gelten als besonders sicher, weil Transaktionsdaten auf dem Lesegerät angezeigt und bestätigt werden. FIDO2/Passkeys sind phishing-resistent durch Domain-Bindung. Am anfälligsten ist mTAN per SMS durch SIM-Swapping.

Haftet die Bank wenn ich auf Phishing hereingefallen bin?

Grundsätzlich ja - § 675u BGB verpflichtet die Bank zur Erstattung. Wer aber grob fahrlässig handelt, z.B. eine TAN nach einem Telefonanruf herausgibt oder Warnhinweise ignoriert, kann nach § 675v BGB selbst haften. OLG Frankfurt und OLG Dresden haben das in konkreten Urteilen bestätigt.

Ist Online-Banking im Inkognito-Modus sicherer?

Der Inkognito-Modus verhindert, dass Browser-Erweiterungen, gespeicherte Sitzungen und Autofill-Daten aktiv sind. Das reduziert die Angriffsfläche durch kompromittierte Plugins. Er ist kein vollständiger Schutz - ersetzt weder ein aktuelles System noch einen guten Virenschutz - aber ein sinnvoller zusätzlicher Schritt.

Darf die Bank mich bei Verdacht auf Betrug anrufen?

Ja, Banken rufen bei Rückfragen oder Verdacht auf ungewöhnliche Transaktionen an. Der Unterschied zu Betrügern: Eine echte Bank verlangt dabei niemals eine TAN, vollständige Zugangsdaten oder die Installation von Fernwartungssoftware. Im Zweifel auflegen und die Bank über die offizielle Nummer zurückrufen.

Fazit

Online-Banking ist sicher - wenn man die Regeln kennt und konsequent anwendet. Der größte Risikofaktor ist nicht die Technik, sondern Social Engineering: Betrüger die Vertrauen erschleichen und zur TAN-Herausgabe drängen. Wer das einmal verstanden hat, ist für die meisten Angriffe gewappnet.

Starkes TAN-Verfahren wählen, Bankseite immer manuell eingeben, niemals TANs am Telefon weitergeben und Kontoumsätze regelmäßig prüfen - das sind die vier Maßnahmen mit dem besten Verhältnis aus Aufwand und Wirkung.