Wie unterscheidet sich Spear-Phishing von allgemeinem Phishing?

Beim Phishing handelt es sich um breit gestreute Angriffe, bei denen Betrüger wahllos gefälschte E-Mails oder Nachrichten versenden, um an sensible Daten zu gelangen. Spear-Phishing hingegen ist eine gezielte Angriffsmethode, bei der Kriminelle individuell zugeschnittene Nachrichten an bestimmte Personen oder Unternehmen richten. Dabei nutzen sie oft persönliche Informationen, um die Nachricht besonders glaubwürdig erscheinen zu lassen – etwa eine E-Mail, die vermeintlich von einem Vorgesetzten oder einem Geschäftspartner stammt. Da sich Spear-Phishing stark an den Empfänger anpasst, ist es deutlich schwerer zu erkennen als herkömmliches Phishing.

Warum ist Vishing besonders gefährlich im Online-Banking?

Vishing (Voice-Phishing) ist eine Betrugsmethode, bei der Angreifer ihre Opfer telefonisch kontaktieren und sich als Bankmitarbeiter oder Sicherheitsdienst ausgeben. Sie setzen ihre Opfer unter Druck, indem sie behaupten, es gebe verdächtige Aktivitäten auf dem Konto oder die Bankkarte müsse „neu verifiziert“ werden. In der Hektik geben viele Kunden dann bereitwillig ihre Zugangsdaten oder eine TAN weiter, die der Betrüger nutzt, um Geld vom Konto abzubuchen. Besonders gefährlich ist, dass keine Phishing-E-Mail oder gefälschte Webseite notwendig ist – das Opfer gibt die Informationen direkt preis, weil es dem Anrufer vertraut.

Warum kann Smishing so effektiv sein?

Smishing (SMS-Phishing) basiert auf dem gleichen Prinzip wie klassische Phishing-Angriffe, jedoch über SMS statt per E-Mail. Da viele Menschen weniger skeptisch gegenüber SMS sind, wird diese Methode oft unterschätzt. Eine typische Smishing-Nachricht enthält eine dringende Aufforderung wie „Ihr Konto wurde gesperrt – klicken Sie hier zur Reaktivierung“ oder „Ihr Paket kann nicht zugestellt werden – verfolgen Sie es hier“ mit einem Link zu einer gefälschten Webseite. Besonders perfide: Banken nutzen oft selbst SMS für Sicherheitscodes , sodass Kunden nicht misstrauisch sind, wenn sie eine Bank-bezogene SMS erhalten. Smishing wird zudem häufig genutzt, um Malware auf Smartphones zu installieren, die dann weitere Daten abgreifen kann.

Online-Banking Phishing 2025 Im Überblick: Smishing, Vishing

Phishing 2025 im Überblick - Smishing - e mail spoofing - Spearphishing und Vishing erklärt — Foto von Lewis Kang’ethe Ngugi auf Unsplash

Inhaltsverzeichnis

1 Phishing, Smishing, E-Mail Spoofing, Spear-Phishing und Vishing: die dunkle Seite des Online-Bankings
2 Mehr zum Thema Phishing im Online-Banking:
3 Quellen zu Smishing, E-Mail Spoofing, Spear-Phishing und Vishing:

Phishing, Smishing, E-Mail Spoofing, Spear-Phishing und Vishing: die dunkle Seite des Online-Bankings

Sicherheitslücken, Betrug und die Haftung der Zahlungsdienstleister bei Online-Banking-Betrug.

Rund 67 % aller Deutschen zwischen 16 und 74 Jahren nutzen das Internet für ihre Bankgeschäfte – und das mit steigender Tendenz. Doch mit der Bequemlichkeit wächst auch das Risiko: Etwa jede dritte unerwünschte E-Mail enthält mittlerweile einen Phishing-Versuch. Die Methoden der Betrüger werden raffinierter, ihre Angriffe gezielter.

Trotz der allgegenwärtigen Warnungen glauben viele, sie selbst seien nicht betroffen – schließlich kennen sie alle „Tricks“. Doch warum haben Phishing-Angriffe dann so viel Erfolg? Warum scheint keine Plattform mehr sicher zu sein? Und wer haftet eigentlich für die Schäden?

Menschliche Schwächen: Vertrauen, Unsicherheit & Druck

Phishing funktioniert deshalb so gut, weil es auf mehreren Ebenen Schwachstellen ausnutzt – sowohl technische als auch menschliche. Phishing-Angreifer nutzen das Vertrauen der Menschen in bekannte Marken, Banken oder Institutionen. Sie erstellen z.B. täuschend echte E-Mails oder Webseiten, die wie offizielle Kommunikation aussehen. Viele Phishing-Nachrichten vermitteln obendrein ein Gefühl von Dringlichkeit (z. B. „Ihr Konto wird gesperrt, klicken Sie sofort hier!“). Menschen handeln in solchen Situationen oft unüberlegt. Viele Opfer sind sich der Gefahren nicht bewusst oder kennen die typischen Anzeichen von Phishing (z. B. gefälschte URLs, Rechtschreibfehler in E-Mails) nicht. So haben die Betrüger leichtes Spiel.

Viele Opfer klicken unüberlegt auf Links oder öffnen Anhänge in E-Mails, ohne deren Herkunft zu überprüfen. Zudem geben Menschen sensible Informationen (wie Bankdaten oder Passwörter) preis, weil sie den Täuschungsversuchen Glauben schenken. Oft wird auch gar nicht hinterfragt, ob die Nachricht tatsächlich von der angegebenen Institution stammt. Alles fatale, aber vermeidbare Fehler.
Eine besondere Gefahr stellt gezieltes Spear-Phishing dar: Angreifer nutzen persönliche Informationen, um E-Mails noch glaubwürdiger zu gestalten. Weitere Varianten sind Smishing (Phishing per SMS) und Vishing (Betrug per Telefon). Beim Pharming werden sogar Webseiten manipuliert, um Opfer auf falsche Banking-Portale umzuleiten.

Rechtsanwalt Hermann Kaufmann steht für eine umfassende Beratung zum Thema Online-Banking Phishing 2025 und Bankrecht zur Verfügung

Hier Kontakt aufnehmen

Technische Schwächen: Unzureichende Sicherheitsvorkehrungen

Die ganze Schuld den Opfern aufzuerlegen, wäre schlichtweg falsch. Tatsächlich tragen die Institute, deren Identität von den Betrügern benutzt wird, eine Mitschuld. Es fängt z. B. schon damit an, dass nicht alle Webseiten HTTPS (SSL/TLS-Verschlüsselung) verwenden, wodurch Daten leichter abgefangen werden und zum Spoofing (Vortäuschen falscher Identitäten, etwa durch gefälschte E-Mail-Absenderadressen oder IP-Adressen, um unbefugten Zugang zu erlangen) oder Scanning (Netzwerke systematisch nach Schwachstellen zu durchsuchen, die für Angriffe ausgenutzt werden können) verwendet werden können. Zudem werden Kunden nicht ausreichend darauf hingewiesen, dass sie – vor allem bei Bankgeschäften – starke, sichere und neue Passwörter benutzen müssen. Ebenso wird nicht genügend auf die Gefahren von Phishing und deren Abwehr aufgeklärt. Viele Banken (und private Kunden!) nutzen noch Systeme ohne aktuelle Sicherheitsupdates, welche anfälliger für Angriffe wie Keylogging (Programme oder Geräte, die Tastatureingaben aufzeichnen, um an Passwörter oder andere sensible Daten zu gelangen) oder Malware sind.

Einige Banken bieten auch immer noch keine Zwei-Faktor-Authentifizierung an oder machen sie lediglich optional statt verpflichtend; ein Einfallstor für jeden Cyber-Kriminellen. Ich bin auch der Meinung, dass manche Banken auf schwache Kommunikation setzen. Sie versenden echte E-Mails (mit oder ohne Anhang), die von Phishing-Mails kaum zu unterscheiden sind. Als würden sie versuchen, es uns so schwer wie möglich zu machen.
Banken könnten durch verpflichtende 2FA, eine klare Kommunikationsstrategie (z. B. „Unsere Bank fordert Sie nie per E-Mail auf, sich einzuloggen!“) und verstärkte Kundenschulungen das Risiko erheblich reduzieren.

Die Haftungsfrage: Bank oder Kunde?

Phishing-Schäden werfen eine zentrale Frage auf: Wer haftet für das gestohlene Geld – der Kunde oder die Bank?

Im elektronischen Zahlungsverkehr bestehen klare gesetzliche Regelungen, die sowohl den Zahlungsdienstleister als auch den Kunden (Zahler) zu bestimmten Pflichten verpflichten, insbesondere im Hinblick auf die Sicherheit von Zahlungsvorgängen und den Schutz vor Missbrauch. Gemäß § 675j BGB gilt ein Zahlungsvorgang nur dann als autorisiert, wenn der Zahler diesem ausdrücklich zugestimmt hat. Fehlt diese Zustimmung – etwa im Fall eines Phishing-Angriffs –, handelt es sich um einen nicht autorisierten Zahlungsvorgang, für den der Zahlungsdienstleister nach § 675u BGB grundsätzlich haften und den Betrag unverzüglich erstatten muss.

Allerdings trägt der Kunde ebenfalls Verantwortung für den Schutz seiner Zahlungsinstrumente. § 675l BGB verpflichtet ihn, personalisierte Sicherheitsmerkmale wie PINs oder TANs geheim zu halten und den Zahlungsdienstleister unverzüglich über den Verlust, Diebstahl oder die missbräuchliche Nutzung seines Zahlungsinstruments zu informieren. Kommt es dennoch zu einer unbefugten Transaktion, greift § 675v BGB, der die Haftung des Zahlers bei missbräuchlicher Nutzung seines Zahlungsinstruments regelt. Grundsätzlich ist seine Haftung auf 50 Euro begrenzt, es sei denn, er hat grob fahrlässig oder vorsätzlich gehandelt, beispielsweise indem er seine Zugangsdaten leichtfertig weitergegeben oder auf einer Phishing-Seite eingegeben hat. In solchen Fällen kann die Haftungsbegrenzung entfallen und der Kunde wird für den gesamten Schaden aufkommen müssen.

Parallel dazu trifft den Zahlungsdienstleistern eine Reihe von Schutzpflichten. § 675m BGB verpflichtet ihn, sicherzustellen, dass nur der berechtigte Nutzer Zugriff auf personalisierte Sicherheitsmerkmale hat und geeignete Maßnahmen zur Sperrung des Zahlungsinstruments bereitstehen. Sollte ein Missbrauch auftreten, muss die Bank den unrechtmäßig abgebuchten Betrag gemäß § 675u BGB unverzüglich zurückbuchen und das Konto des Kunden in den ursprünglichen Zustand versetzen.

Die gesetzlichen Regelungen im Zahlungsverkehr, darunter auch § 675c BGB, der das Auftragsrecht für Zahlungsdienste anwendbar macht, und § 670 BGB, der dem Zahlungsdienstleister Aufwendungsersatz für berechtigte Ausgaben zuspricht, bilden gemeinsam ein Gleichgewicht zwischen der Verantwortung der Banken und der Sorgfaltspflicht der Kunden. Während der Zahlungsdienstleister für die technische Sicherheit und die Rückabwicklung nicht autorisierter Transaktionen verantwortlich ist, obliegt es dem Kunden, seine Zugangsdaten zu schützen und im Verdachtsfall unverzüglich zu reagieren. Diese Balance dient dem Schutz vor Missbrauch und stärkt das Vertrauen in den digitalen Zahlungsverkehr.

Daher ist es im Einzelfall immer wichtig, sich von erfahrenen Anwälten im Bankrecht beraten zu lassen, um die Haftungsfrage und die zur Verfügung stehenden Optionen zu klären.

Rechtsanwalt Hermann Kaufmann steht für eine umfassende Beratung zum Thema „Smishing, E-Mail Spoofing, Spear-Phishing und Vishing“ zur Verfügung: Nehmen Sie gerne Kontakt auf!

Fazit: Schutz liegt in der Verantwortung von Kunden und Banken

Phishing ist ein ernstzunehmendes Risiko im Online-Banking – doch Kunden und Banken können gleichermaßen dazu beitragen, das Risiko zu minimieren. Banken müssen klar kommunizieren und stärkere Sicherheitsmaßnahmen wie verpflichtende Zwei-Faktor-Authentifizierung implementieren. Kunden wiederum sollten wachsam sein, niemals Zugangsdaten preisgeben und verdächtige Nachrichten umgehend ihrer Bank melden.

Schutzmaßnahmen für Verbraucher:

✔ Keine Links aus E-Mails oder SMS anklicken – immer direkt über die offizielle Bankwebseite einloggen.
✔ Zugangsdaten niemals weitergeben, auch nicht an vermeintliche Bankmitarbeiter.
✔ Verdächtige Nachrichten sofort an die Bank weiterleiten.
✔ Zwei-Faktor-Authentifizierung aktivieren, wenn nicht bereits voreingestellt.
✔ Regelmäßige Kontrolle der Kontoauszüge, um unautorisierte Transaktionen frühzeitig zu erkennen.

Im Zweifelsfall gilt: Lieber einmal zu viel misstrauisch sein als einmal zu wenig. Denn im Online-Banking kann ein unüberlegter Klick weitreichende finanzielle Folgen haben. Für mehr Tipps zum Schutz, lesen Sie folgenden Artikel meines Kollegen:

https://rechtsanwaltkaufmann.de/bank-und-kapitalmarktrecht/online-banking-gehackt

Sind Sie eventuell von Phishing betroffen? Schreiben Sie uns eine Mail oder rufen Sie uns in unserer Kanzlei an, um Ihre Möglichkeiten aufgezeigt zu bekommen.

Tel.: 04202 / 638370

E-Mail: info@rechtsanwaltkaufmann.de

Sie haben ein Anliegen zum Thema Smishing, E-Mail Spoofing, Spear-Phishing und Vishing?

Individuell beraten lassen

Die enthaltenen Informationen in diesem Artikel dienen allgemeinen Informationszwecken und beziehen sich nicht auf die spezielle Situation einer Person. Sie stellen keine rechtliche Beratung dar. Im konkreten Einzelfall kann der vorliegende Inhalt keine individuelle Beratung durch fachkundige Personen ersetzen.

Eine individuelle Beratung mit einem Rechtsanwalt wird empfohlen, um Ihre spezifische Situation zu bewerten und eine maßgeschneiderte Vorgehensweise zu entwickeln.

Fragen und Antworten zum Thema Phishing im Online-Banking:

Wie unterscheidet sich Spear-Phishing von allgemeinem Phishing?

Beim Phishing handelt es sich um breit gestreute Angriffe, bei denen Betrüger wahllos gefälschte E-Mails oder Nachrichten versenden, um an sensible Daten zu gelangen. Spear-Phishing hingegen ist eine gezielte Angriffsmethode, bei der Kriminelle individuell zugeschnittene Nachrichten an bestimmte Personen oder Unternehmen richten. Dabei nutzen sie oft persönliche Informationen, um die Nachricht besonders glaubwürdig erscheinen zu lassen – etwa eine E-Mail, die vermeintlich von einem Vorgesetzten oder einem Geschäftspartner stammt. Da sich Spear-Phishing stark an den Empfänger anpasst, ist es deutlich schwerer zu erkennen als herkömmliches Phishing.
Warum ist Vishing besonders gefährlich im Online-Banking?

Vishing (Voice-Phishing) ist eine Betrugsmethode, bei der Angreifer ihre Opfer telefonisch kontaktieren und sich als Bankmitarbeiter oder Sicherheitsdienst ausgeben. Sie setzen ihre Opfer unter Druck, indem sie behaupten, es gebe verdächtige Aktivitäten auf dem Konto oder die Bankkarte müsse „neu verifiziert“ werden. In der Hektik geben viele Kunden dann bereitwillig ihre Zugangsdaten oder eine TAN weiter, die der Betrüger nutzt, um Geld vom Konto abzubuchen. Besonders gefährlich ist, dass keine Phishing-E-Mail oder gefälschte Webseite notwendig ist – das Opfer gibt die Informationen direkt preis, weil es dem Anrufer vertraut.
Warum kann Smishing so effektiv sein?

Smishing (SMS-Phishing) basiert auf dem gleichen Prinzip wie klassische Phishing-Angriffe, jedoch über SMS statt per E-Mail. Da viele Menschen weniger skeptisch gegenüber SMS sind, wird diese Methode oft unterschätzt. Eine typische Smishing-Nachricht enthält eine dringende Aufforderung wie „Ihr Konto wurde gesperrt – klicken Sie hier zur Reaktivierung“ oder „Ihr Paket kann nicht zugestellt werden – verfolgen Sie es hier“ mit einem Link zu einer gefälschten Webseite. Besonders perfide: Banken nutzen oft selbst SMS für Sicherheitscodes, sodass Kunden nicht misstrauisch sind, wenn sie eine Bank-bezogene SMS erhalten. Smishing wird zudem häufig genutzt, um Malware auf Smartphones zu installieren, die dann weitere Daten abgreifen kann.

Mehr zum Thema Phishing im Online-Banking:

Gefahren beim Online-Banking mit Smartphone: So können Sie sich schützen! | Update 2024

Online Banking Betrug: Übersicht wie Sie Phishing Mails erkennen | Update 2024

Wie funktioniert Phishing und Trojaner beim Online-Banking? | Ihre Sorgfaltsmaßnahmen 2024

Quellen zu Smishing, E-Mail Spoofing, Spear-Phishing und Vishing:

Rechtsanwalt Hermann Kaufmann

Heilbronnstraße 2, Achim

4,8 58 Rezensionen

Jörg Nicolai ★★★★★ vor einer Woche
Dank des Einsatzes von Herrn Rechtsanwalt Kaufmann und Team wurde mir eine zunächst abgelehnte Förderung doch noch gewährt. Ich kann die Kanzlei Herrmann … Mehr Kaufmann auf jeden Fall weiterempfehlen. Hervorragende Arbeit!!! Vielen Dank dafür.
Ruth Beckmann ★★★★★ vor einem Monat
Hätten wir die Kanzlei Kaufmann nicht gehabt, wären wir mit unseren Problemen nicht weitergekommen. Wir bedanken uns für die fachlich und menschlich hervorragende … Mehr Begleitung und können Ihre Kanzlei nur wärmstens weiterempfehlen. Vielen herzlichen Dank!
Moschtaba Siddiqi ★★★★★ vor 5 Monaten
Ich war wirklich zufrieden mit der Arbeit des Anwalts. Schnell, unkompliziert und immer auf den Punkt. Er hat meine Situation schnell verstanden und effektiv … Mehr gehandelt. Seine Beratung war klar und zielgerichtet, was mir viel Stress erspart hat. Definitiv eine Empfehlung wert für alle, die klare und kompetente rechtliche Unterstützung brauchen.