DKB Phishing: Wie Betrüger DKB-Kunden täuschen – und was Sie tun können
EU-Legitimationsprozess, gefälschte Sicherheitswarnungen, Konto leergeräumt – und warum die DKB in vielen Fällen erstatten muss
Eine E-Mail im offiziellen DKB-Design – seriös formuliert, mit einem DKB-Logo und einer plausiblen Begründung: Als Direktbank sei die DKB gesetzlich verpflichtet, die Identität ihrer Kunden im Rahmen eines EU-Legitimationsprozesses zu bestätigen. Wer dem enthaltenen Link nicht folge, riskiere die Sperrung des Kontos. Diese Masche ist derzeit eine der aktivsten DKB-Phishing-Varianten – und sie ist wirkungsvoll, weil sie auf echte regulatorische Rahmenbedingungen verweist, die viele Kunden kennen. Wer auf den Link klickt und seine Daten eingibt, übergibt Tätern in wenigen Minuten die volle Kontrolle über sein Konto.
Wurde nach einer gefälschten DKB-Nachricht Geld von Ihrem Konto abgebucht? Damit sind Sie nicht allein. Unsere Kanzlei prüft, ob die DKB zur Erstattung verpflichtet ist, und setzt Ihre Ansprüche durch. Nehmen Sie jetzt Kontakt auf.
DKB Phishing 2026: Aktuelle Betrugsmaschen im Überblick
Betrüger, die DKB-Kunden ins Visier nehmen, nutzen unterschiedliche Ansätze, die sich alle dasselbe Ziel teilen: Zugangsdaten und TAN-Codes zu ergaunern, um anschließend Transaktionen auszulösen, die der Kontoinhaber nie autorisiert hat.
EU-Legitimationsprozess als Vorwand – Die aktuell am häufigsten dokumentierte Variante. Täter versenden E-Mails, die behaupten, die DKB sei gemäß europäischem Recht verpflichtet, Kundendaten zu aktualisieren. Der Verweis auf einen echten regulatorischen Kontext – tatsächlich existieren Pflichten zur Legitimationsprüfung nach dem Geldwäschegesetz – macht die Nachricht glaubwürdig. In Wirklichkeit führt der enthaltene Link auf eine gefälschte DKB-Website, auf der Zugangsdaten und iTAN abgegriffen werden.
Sicherheitswarnung mit Handlungsaufforderung – Eine zweite Variante nutzt das Motiv einer angeblich verdächtigen Transaktion. Kunden werden per E-Mail oder SMS darüber informiert, dass eine unbekannte Zahlung ihrem Konto erkannt worden sei und sie sofort handeln müssen, um die Transaktion zu stoppen. Der enthaltene Link führt auf eine Phishing-Seite; wer dort seine Daten eingibt, bestätigt in Wirklichkeit die Transaktion der Täter.
Smishing – Phishing per SMS – Kurze Nachrichten im Namen der DKB mit der Aufforderung, eine Verifizierung durchzuführen, einen neuen Gerätelink zu bestätigen oder eine Warnung anzuerkennen. Die SMS-Links führen auf mobiloptimierte Fake-Seiten, die auf kleineren Bildschirmen schwerer zu entlarven sind.
Vishing – Betrug per Telefonanruf – Täter rufen im Namen des DKB-Sicherheitsteams an, schildern eine angebliche Gefährdungslage und bitten um eine Bestätigung über die DKB-App oder die Nennung eines TAN-Codes. Die DKB fragt in keinem echten Prozess telefonisch nach TAN-Codes oder iTAN-Bestätigungen.
Die EU-Legitimationsmasche im Detail: Warum sie so wirkungsvoll ist
Was die EU-Legitimationsmasche von vielen anderen Phishing-Varianten unterscheidet, ist ihr Bezug auf reale rechtliche Anforderungen. Die Geldwäscherichtlinie der EU (AMLD) verpflichtet Banken tatsächlich zur regelmäßigen Aktualisierung von Kundendaten. Viele DKB-Kunden haben in der Vergangenheit echte Legitimationsaufforderungen von ihrer Bank erhalten. Die gefälschten Nachrichten setzen genau an diesem Vertrauensvorschuss an.
Die Phishing-E-Mails sind sprachlich sauber, verwenden das DKB-Farbschema und enthalten sogar Hinweise auf Datenschutzbestimmungen und rechtliche Grundlagen. Die Absenderadresse ahmt offizielle DKB-Adressen nach und weicht häufig nur in einem Buchstaben oder einer Subdomain von der echten Domain ab.
Entscheidend ist das Wissen um einen einfachen Grundsatz: Die echte DKB fordert Kunden niemals per E-Mail oder SMS auf, über einen Link PIN, iTAN oder Passwort einzugeben. Jeder Prozess, der diese Aufforderung enthält, ist eine Fälschung – unabhängig davon, wie professionell die Nachricht gestaltet ist.
DKB Phishing erkennen: Warnsignale, die nicht übersehen werden sollten
Auch professionell gestaltete DKB-Phishing-Nachrichten lassen sich bei genauerer Betrachtung identifizieren.
Das wichtigste Erkennungsmerkmal ist die Aufforderung zur Dateneingabe über einen Link. Die DKB kommuniziert legitimationspflichtige Prozesse ausschließlich über das gesicherte Postfach im Online-Banking-Portal oder per Post, nicht per E-Mail-Link. Wer einen solchen Link erhält, kann sicher davon ausgehen, dass es sich um eine gefälschte Nachricht handelt.
Zusätzlich weicht die Absenderadresse bei genauer Prüfung von der offiziellen DKB-Domain ab. Was auf den ersten Blick wie „noreply@dkb.de“ aussieht, ist häufig eine subtil abgewandelte Adresse. Ein Klick auf die Absenderadresse zeigt die vollständige Adresse – dieser Schritt dauert Sekunden und schließt eine Vielzahl von Phishing-Versuchen sofort aus.
Dringlichkeitsformulierungen wie „Ihr Konto wird innerhalb von 48 Stunden gesperrt“ oder „Sofortiger Handlungsbedarf zur Einhaltung der EU-Richtlinien“ sind weitere verlässliche Indikatoren. Echte Banken setzen keine 48-Stunden-Ultimaten per E-Mail.
Im Zweifel gilt: Den Link nicht klicken, stattdessen die DKB-App oder das bekannte Online-Banking-Portal über die direkte Eingabe der Adresse aufrufen. Wenn tatsächlich eine Legitimationspflicht besteht, erscheint sie dort als offizielle Meldung.
Sofortmaßnahmen nach einem DKB-Phishing-Angriff
Wer erkennt, dass er auf eine gefälschte DKB-Nachricht hereingefallen ist, muss schnell und strukturiert handeln. Jede Stunde, die verstreicht, erhöht das Risiko weiterer Abflüsse.
Der erste Schritt ist die sofortige Kontaktaufnahme mit der DKB. Das Konto muss umgehend gesperrt werden, um weitere Transaktionen zu verhindern. Der DKB-Kundenservice ist über die App und per Telefon erreichbar; über den bundesweiten Sperrnotruf 116 116 kann zusätzlich eine Kartensperre veranlasst werden. Wenn eine Überweisung noch nicht final gebucht ist, besteht in einem engen Zeitfenster die Möglichkeit eines Stopps – Informationen dazu finden Sie in unserem Beitrag zu Überweisungen zurückfordern.
Im nächsten Schritt müssen alle Zugangsdaten geändert werden – PIN, Passwort und die Zwei-Faktor-Authentifizierung. Diese Änderung darf ausschließlich über die offizielle DKB-App oder -Website erfolgen, nicht über einen Link aus der Phishing-Nachricht.
Alle Beweismittel sollten gesichert werden, bevor Nachrichten gelöscht oder Nummern blockiert werden. Dazu gehören Screenshots der Phishing-E-Mail mit sichtbarem Absender und Link, Kontoauszüge mit den nicht autorisierten Buchungen sowie Notizen über den Zeitpunkt, an dem der Betrug erkannt wurde. Diese Unterlagen sind für die Strafanzeige und für Erstattungsansprüche gegen die Bank unentbehrlich.
Abschließend sollte eine Strafanzeige bei der örtlichen Polizei oder über die Online-Wache des Landeskriminalamts erstattet werden. Das Aktenzeichen ist die Grundlage für alle weiteren rechtlichen Schritte.
DKB Phishing und Bankenhaftung: Wann muss die DKB erstatten?
Die zentrale Frage nach einem Phishing-Angriff ist, ob die DKB das abgebuchte Geld erstatten muss. Die Antwort hängt von der rechtlichen Einordnung des Zahlungsvorgangs ab.
Nach § 675u BGB ist ein Kreditinstitut verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten. Ein Zahlungsvorgang gilt als nicht autorisiert, wenn der Kontoinhaber keine wirksame Zustimmung erteilt hat. Wer durch eine gefälschte DKB-Website über den EU-Legitimationsprozess getäuscht wurde und dort seine Zugangsdaten eingegeben hat, hat keine wirksame Autorisierung der anschließenden Transaktionen erteilt.
Die DKB kann die Erstattung einschränken oder verweigern, wenn dem Kunden grobe Fahrlässigkeit nach § 675v BGB nachgewiesen werden kann. Das setzt voraus, dass die Phishing-Seite offensichtlich gefälscht war oder ausdrückliche Sicherheitswarnungen ignoriert wurden. Professionell gestaltetes Phishing – wie die EU-Legitimationsmasche – überschreitet die Schwelle zur groben Fahrlässigkeit in vielen Fällen nicht. Gerichte beurteilen diese Frage regelmäßig differenzierter als die Bank selbst.
DKB als Direktbank kommuniziert mit ihren Kunden ausschließlich über digitale Kanäle. Das macht Phishing-Angriffe strukturell schwieriger abzuwehren als bei Banken mit Filialberatung. Gleichzeitig hat die DKB daher besondere Pflichten zur Transaktionsüberwachung und zur Implementierung wirksamer Sicherheitssysteme. Wenn diese versagen, kann das die Haftungsposition der Bank verschlechtern.
Damit sind Sie nicht allein. Als erfahrene Anwälte im Bank- und Kapitalmarktrecht prüfen wir, ob die DKB zur Erstattung verpflichtet ist, und vertreten Ihre Interessen gegenüber der Bank. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
Der EU-Legitimationsprozess: Was echt ist und was gefälscht
Um DKB-Phishing zuverlässig zu erkennen, ist es hilfreich zu verstehen, was die DKB in einem echten Legitimationsprozess tatsächlich von ihren Kunden verlangt – und was nicht.
Die DKB ist nach dem Geldwäschegesetz verpflichtet, die Identität ihrer Kunden zu prüfen und in bestimmten Abständen zu aktualisieren. Echte Legitimationsaufforderungen der DKB werden über das gesicherte Online-Banking-Postfach kommuniziert und verlangen eine Identifikation über etablierte Verfahren wie VideoIdent, PostIdent oder das DKB-Online-Banking selbst. Sie enthalten keine Links auf externe Websites und fordern in keinem Stadium PIN, iTAN oder Passwort über eine externe Seite an.
Wenn eine E-Mail mit Verweis auf einen Legitimationsprozess einen externen Link enthält, der auf einer Website mündet, die Zugangsdaten abfragt, ist das ohne Ausnahme eine gefälschte Nachricht. Die DKB ist über diesen Sachverhalt informiert und warnt auf ihrer Website aktiv vor diesen Phishing-Varianten.
Wann lohnt sich anwaltliche Beratung bei DKB Phishing?
Anwaltliche Beratung lohnt sich insbesondere dann, wenn die DKB eine Erstattung abgelehnt hat oder auf grobe Fahrlässigkeit des Kunden verweist. Diese Ablehnung ist keine bindende Rechtsentscheidung, sondern die Einschätzung einer Vertragspartei, die ein eigenes Interesse an der Nichtzahlung hat. Gerichte sehen das in vielen Fällen anders. Ein Anwalt für Bankrecht prüft den konkreten Phishing-Angriff, beurteilt ob die EU-Legitimationsmasche oder eine andere Variante vorliegt, und bewertet, ob die Schwelle zur groben Fahrlässigkeit im jeweiligen Fall überhaupt erreicht ist.
Die Kanzlei übernimmt die Kommunikation mit der DKB, begleitet die Strafanzeige und klärt, ob neben dem Erstattungsanspruch weitere Schadensersatzansprüche bestehen – etwa wegen unzureichender Transaktionsüberwachung oder weil die Bank auffällige Buchungsmuster hätte erkennen müssen. Fristen laufen auch dann, wenn die DKB auf Anfragen nicht oder verzögert reagiert.
Einen allgemeinen Überblick über Betrugsformen mit Bankbezug und die damit verbundenen Erstattungsfragen finden Sie in unserem Beitrag zu Internetbetrug und Erstattungsansprüchen sowie in der Übersicht zum Thema Anwalt für Finanzbetrug.
Fazit: DKB Phishing – Der EU-Legitimationsvorwand ist kein Einzelfall
Die EU-Legitimationsmasche ist ein Beispiel dafür, wie Betrüger reale regulatorische Anforderungen als Tarnung nutzen, um Phishing-Angriffe glaubwürdiger zu machen. Für DKB-Kunden – die gewohnt sind, ausschließlich digital mit ihrer Bank zu kommunizieren – ist die Unterscheidung zwischen echter und gefälschter Nachricht besonders schwer. Umso wichtiger ist der eine Grundsatz, der immer gilt: Die DKB fordert niemals per E-Mail oder SMS zur Eingabe von Zugangsdaten über einen externen Link auf.
Wer trotzdem Opfer wird, ist nicht leichtgläubig. Das deutsche Zahlungsdiensterecht gibt Betroffenen starke Rechte an die Hand. Die Erstattungspflicht der Bank bei nicht autorisierten Zahlungen ist eine belastbare gesetzliche Grundlage. Ob die DKB sie umgehen kann, hängt von der Bewertung der groben Fahrlässigkeit ab – und diese Bewertung liegt letztlich nicht bei der Bank.
Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht
Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit der DKB bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu DKB Phishing
Was ist DKB Phishing und wie läuft es ab?
DKB Phishing bezeichnet Betrugsversuche, bei denen Täter die Kommunikation der Deutschen Kreditbank imitieren, um Kunden zur Preisgabe ihrer Zugangsdaten zu verleiten. Die aktuell verbreitetste Variante nutzt einen angeblichen EU-Legitimationsprozess als Vorwand. Mit den erbeuteten Daten verschaffen sich Täter Zugriff auf das Konto und lösen nicht autorisierte Transaktionen aus.
Was steckt hinter dem EU-Legitimationsprozess als Phishing-Vorwand?
Täter beziehen sich auf echte gesetzliche Anforderungen – Banken müssen nach dem Geldwäschegesetz Kundendaten aktualisieren – und nutzen diesen Kontext, um gefälschte Nachrichten glaubwürdiger zu machen. Die echte DKB kommuniziert solche Prozesse ausschließlich über das gesicherte Online-Banking-Postfach und fordert niemals per E-Mail zur Dateneingabe über einen externen Link auf.
Muss die DKB mir das Geld erstatten, wenn ich Opfer von Phishing geworden bin?
Grundsätzlich ja. Nach § 675u BGB muss die Bank nicht autorisierte Zahlungsvorgänge unverzüglich erstatten. Die Erstattungspflicht entfällt nur, wenn dem Kunden grobe Fahrlässigkeit nachgewiesen werden kann. Ob das im konkreten Fall zutrifft, ist eine Rechtsfrage, die Gerichte in vielen Fällen zugunsten des Kunden entscheiden.
Was soll ich tun, wenn ich auf eine DKB-Phishing-Seite hereingefallen bin?
Sperren Sie sofort Ihren Online-Banking-Zugang über den DKB-Kundenservice oder den Sperrnotruf 116 116. Ändern Sie alle Zugangsdaten ausschließlich über die offizielle App oder Website. Prüfen Sie Ihre Kontoauszüge auf nicht autorisierte Buchungen, melden Sie diese schriftlich der DKB und sichern Sie alle Phishing-Nachrichten als Beweismittel. Erstatten Sie anschließend Strafanzeige bei der Polizei.
Wie erkenne ich eine gefälschte DKB-E-Mail?
Das wichtigste Merkmal ist die Aufforderung, über einen Link Zugangsdaten einzugeben. Die DKB tut das in keinem echten Prozess. Zusätzlich weicht die Absenderadresse bei genauer Prüfung von der offiziellen DKB-Domain ab, und die Nachricht enthält Dringlichkeitsformulierungen wie Kontosperrungsdrohungen innerhalb kurzer Fristen. Im Zweifelsfall die DKB-App direkt öffnen und prüfen, ob eine offizielle Meldung vorliegt.
Was ist grobe Fahrlässigkeit beim Online-Banking und wie wirkt sie sich auf die Erstattung aus?
Grobe Fahrlässigkeit im Sinne des Zahlungsdiensterechts liegt vor, wenn der Kontoinhaber die im Zahlungsverkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat – etwa durch Eingabe von Daten auf einer offensichtlich gefälschten Seite oder durch Bestätigung einer Transaktion trotz ausdrücklicher Warnmeldung. Professionell gestaltetes Phishing, das reale Anforderungen wie den EU-Legitimationsprozess imitiert, überschreitet diese Schwelle häufig nicht. Gerichte urteilen hier differenzierter als die Bank.
Kann ich eine bereits ausgeführte DKB-Überweisung noch stoppen?
Ein Stopp ist nur möglich, solange der Zahlungsauftrag noch nicht final verarbeitet wurde. Kontaktieren Sie die DKB deshalb sofort telefonisch, sobald Sie den Betrug erkennen. Ist die Überweisung bereits gebucht, stehen zivilrechtliche Erstattungsansprüche gegen die DKB im Vordergrund.
Was ist der Unterschied zwischen DKB Phishing und dem Phishing anderer Banken?
Strukturell sind alle Phishing-Maschen ähnlich aufgebaut: gefälschte Nachrichten im Design der jeweiligen Bank, Fake-Loginseiten, abgegriffene Zugangsdaten. Bei der DKB nutzen Täter den Umstand, dass die Bank ausschließlich digital kommuniziert und Kunden daher weniger überrascht sind, wenn Anfragen per E-Mail kommen. Die EU-Legitimationsmasche ist bankspezifisch und besonders überzeugend, weil sie einen echten gesetzlichen Rahmen imitiert. Die rechtliche Ausgangslage – insbesondere die Erstattungspflicht der Bank – ist bei allen Banken identisch.
Haftet die DKB auch, wenn ich selbst auf einen Phishing-Link geklickt habe?
Ja, unter Umständen. Wenn die Phishing-Seite professionell gestaltet war und eine Verwechslung mit der echten DKB-Website für einen durchschnittlichen Nutzer nicht offensichtlich war, fehlt es an grober Fahrlässigkeit. Zusätzlich kann relevant sein, ob die DKB ihre Transaktionsüberwachungspflichten erfüllt hat. Ob eine Haftung im konkreten Fall besteht, muss anwaltlich geprüft werden.
Wann lohnt sich ein Anwalt bei DKB Phishing?
Ein Anwalt lohnt sich insbesondere dann, wenn die DKB die Erstattung abgelehnt hat oder auf grobe Fahrlässigkeit verweist. Diese Einschätzung ist rechtlich überprüfbar – und wird von Gerichten in einer Vielzahl von Fällen nicht bestätigt. Ein auf Bankrecht spezialisierter Anwalt bewertet den Fall, wahrt alle relevanten Fristen und koordiniert die Kommunikation mit der Bank.