Postbank Phishing: Wenn das Online-Banking zur Betrugsfalle wird
Gefälschte Postbank-Mails mit Geldbüßendrohung, gestohlene Zugangsdaten, leergeräumte Konten – und wann die Postbank erstatten muss
Eine E-Mail im vertrauten Postbank-Design landet im Postfach: Das Online-Banking-Konto sei gesperrt worden, da eine Verifikation der Daten ausstände. Wer nicht innerhalb von 24 Stunden reagiere, müsse mit einer Geldbüße rechnen. Diese Drohung ist das Kernstück der aktuell aktivsten Postbank-Phishing-Variante – und sie ist wirkungsvoll, weil sie gleichzeitig Dringlichkeit und rechtliche Konsequenzen suggeriert. Wer dem Link folgt und seine Zugangsdaten eingibt, übergibt Tätern in wenigen Augenblicken die vollständige Kontrolle über sein Konto.
Wurde nach einer gefälschten Postbank-Nachricht Geld von Ihrem Konto abgebucht? Damit sind Sie nicht allein. Unsere Kanzlei prüft, ob die Postbank zur Erstattung verpflichtet ist, und setzt Ihre Ansprüche durch. Nehmen Sie jetzt Kontakt auf.
Postbank Phishing 2026: Aktuelle Maschen und Varianten
Betrüger, die Postbank-Kunden ins Visier nehmen, nutzen aktuell mehrere Varianten, die alle auf dasselbe Ziel ausgerichtet sind: Zugangsdaten und TAN-Codes zu ergaunern, um anschließend Transaktionen auszulösen, die der Kontoinhaber nie autorisiert hat.
Geldbüßen-Phishing – Die derzeit am häufigsten dokumentierte Variante. Täter versenden E-Mails, die behaupten, das Konto sei wegen einer unterbliebenen Daten-Verifikation gesperrt, und drohen mit einer Geldbüße, wenn der enthaltene Link nicht innerhalb kurzer Frist genutzt wird. Der Link führt auf eine gefälschte Postbank-Loginseite, auf der Zugangsdaten und mobile TAN abgegriffen werden.
Sicherheitsupdate als Vorwand – Eine zweite Variante behauptet, das Online-Banking müsse aufgrund einer technischen Aktualisierung oder eines neuen Sicherheitsstandards neu aktiviert werden. Kunden werden aufgefordert, ihre Daten auf einer externen Seite zu bestätigen. Auch hier führt der Link auf eine Phishing-Seite.
Smishing per SMS – Kurznachrichten im Namen der Postbank fordern zur sofortigen Verifizierung auf, oft mit dem Hinweis auf eine angebliche Unregelmäßigkeit im Konto. Die SMS-Links führen auf mobiloptimierte Fake-Seiten, die auf kleinen Bildschirmen schwerer zu entlarven sind.
Vishing per Telefon – Täter rufen im Namen des Postbank-Sicherheitsteams an und berichten von einer verdächtigen Transaktion. Zur Sicherung des Kontos soll der Angerufene eine TAN nennen oder in der Banking-App eine Transaktion bestätigen. Die echte Postbank fragt in keinem ihrer Prozesse telefonisch nach TAN-Codes.
Postbank Phishing folgt strukturell denselben Mustern wie Phishing gegen andere große Banken. Einen allgemeinen Überblick über Betrugsmaschen mit Bankbezug und die damit verbundenen Erstattungsfragen finden Sie in unserem Beitrag zu Internetbetrug und Bankenhaftung.
Die Geldbüßen-Masche im Detail: Warum sie so wirkungsvoll ist
Was die Geldbüßen-Variante von vielen anderen Phishing-Maschen unterscheidet, ist die Kombination aus zwei psychologisch wirksamen Druckmitteln: die Drohung mit einer rechtlichen Sanktion und ein enger Zeitrahmen. Beide Elemente greifen ineinander und sollen kritisches Nachdenken unterbinden.
Die Drohung mit einer Geldbüße wirkt, weil viele Bankkunden wissen, dass es tatsächlich gesetzliche Pflichten zur Daten-Aktualisierung gibt – etwa im Rahmen von Geldwäschepflichten, ähnlich wie beim EU-Legitimationsprozess anderer Banken. Diese reale Grundlage macht die Täuschung plausibel. Die 24-Stunden-Frist soll Betroffene daran hindern, Rückzufragen, die Nachricht mit einem echten Postbank-Mitarbeiter zu besprechen oder die Absenderadresse gründlich zu prüfen.
Hinzu kommt, dass die Phishing-E-Mails optisch oft kaum von echter Postbank-Kommunikation zu unterscheiden sind. Sie verwenden das Postbank-Logo, das typische Farbschema in Gelb und Schwarz und einen formal klingenden Sprachstil. Der einzige zuverlässige Prüfpunkt, der diese Fassade durchbricht, ist die Absenderadresse – die bei genauer Betrachtung keine offizielle Postbank-Domain aufweist – und die Aufforderung, über einen Link Zugangsdaten einzugeben, die die echte Postbank niemals per E-Mail einfordert.
Postbank Phishing erkennen: Merkmale gefälschter Nachrichten
Auch professionell gestaltete Postbank-Phishing-Nachrichten lassen sich bei gezielter Aufmerksamkeit identifizieren. Das entscheidende Wissen ist, was die echte Postbank in einer legitimen Kommunikation niemals tut.
Die Postbank fordert Kunden in keiner echten Kommunikation per E-Mail oder SMS auf, über einen externen Link PIN, TAN oder Passwort einzugeben. Dieses Prinzip gilt ausnahmslos und ohne Ausnahmen – unabhängig davon, wie dringend oder offiziell die Nachricht wirkt. Jede Aufforderung dieser Art ist eine gefälschte Nachricht.
Die Absenderadresse ist der zweite verlässliche Prüfpunkt. Auch wenn der angezeigte Absendername „Postbank“ lautet, zeigt ein Klick auf die Adresse in der Regel eine Domain, die nichts mit postbank.de zu tun hat. Subtile Abwandlungen wie „postbank-service.com“ oder „postbank-sicherheit.net“ sind typische Phishing-Domains.
Dringlichkeitsformulierungen wie die Geldbüßendrohung oder Kontoschließungsandrohungen mit festen Fristen sind das dritte Erkennungsmerkmal. Banken kommunizieren keine Ultimaten per E-Mail. Wenn eine Frist gesetzt wird, ist das ein Manipulationsinstrument, kein legitimer Kommunikationsstandard.
Im Zweifelsfall ist die sicherste Reaktion, den Link in der E-Mail nicht zu öffnen und stattdessen die Postbank-App direkt zu öffnen oder die bekannte Website manuell aufzurufen. Wenn tatsächlich eine Daten-Aktualisierung erforderlich ist, erscheint sie dort als offizielle Meldung.
Sofortmaßnahmen nach einem Postbank-Phishing-Angriff
Wer erkennt, auf eine gefälschte Postbank-Nachricht hereingefallen zu sein oder unberechtigte Abbuchungen auf dem Konto entdeckt, muss sofort und strukturiert handeln.
Der erste Schritt ist die telefonische Kontaktaufnahme mit der Postbank. Das Konto muss umgehend gesperrt werden, um weitere Transaktionen zu verhindern. Der Postbank-Kundenservice ist über die App und per Telefon erreichbar; über den bundesweiten Sperrnotruf 116 116 kann zusätzlich eine Kartensperre veranlasst werden. Wenn eine Überweisung noch nicht final verarbeitet ist, besteht in einem sehr engen Zeitfenster die Möglichkeit eines Stopps – Informationen dazu finden Sie in unserem Beitrag zu Überweisungen zurückfordern.
Alle Zugangsdaten müssen sofort geändert werden – PIN, Passwort und die Zwei-Faktor-Authentifizierung. Diese Änderung darf ausschließlich über die offizielle Postbank-App oder die direkt eingetippte Website erfolgen, nicht über einen Link aus der Phishing-Nachricht.
Im nächsten Schritt müssen alle Beweismittel gesichert werden, bevor Nachrichten gelöscht oder Nummern blockiert werden. Dazu gehören vollständige Screenshots der Phishing-E-Mail mit sichtbarem Absender und Link-Ziel, Kontoauszüge mit den nicht autorisierten Buchungen sowie Notizen über den genauen Zeitpunkt, an dem der Betrug erkannt wurde. Diese Unterlagen sind für die Strafanzeige und für alle weiteren rechtlichen Schritte unentbehrlich.
Dann sollte eine Strafanzeige bei der örtlichen Polizei oder über die Online-Wache des Landeskriminalamts erstattet werden. Das Aktenzeichen wird für die Korrespondenz mit der Postbank und für eventuelle anwaltliche Schritte benötigt.
Postbank Phishing und Bankenhaftung: Wann muss die Postbank erstatten?
Die zentrale Frage nach einem Phishing-Angriff ist, ob die Postbank das abgebuchte Geld erstatten muss. Die Antwort hängt von der rechtlichen Einordnung des Zahlungsvorgangs und der Frage der groben Fahrlässigkeit ab.
Nach § 675u BGB ist ein Kreditinstitut verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten. Ein Zahlungsvorgang gilt als nicht autorisiert, wenn der Kontoinhaber keine wirksame Zustimmung erteilt hat. Wer durch eine gefälschte Postbank-Website getäuscht wurde und dabei Zugangsdaten eingegeben hat, hat keine wirksame Autorisierung der anschließenden Transaktionen erteilt – auch wenn er technisch auf einem Eingabeformular etwas bestätigt hat.
Die Postbank kann die Erstattung einschränken oder verweigern, wenn dem Kunden grobe Fahrlässigkeit nach § 675v BGB nachgewiesen werden kann. Grob fahrlässig handelt, wer eine offensichtlich gefälschte Seite genutzt, ausdrückliche Sicherheitswarnungen der Banking-App ignoriert oder Zugangsdaten auf telefonische Aufforderung hin mitgeteilt hat. Ob dieses Verschuldensmaß im konkreten Fall erreicht ist, entscheiden letztlich Gerichte – nicht die Bank selbst. Die Praxis zeigt, dass Gerichte die Schwelle zur groben Fahrlässigkeit häufig höher ansetzen als Banken.
Besonders relevant ist die Frage der Warnpflicht. Wenn die Postbank weiß, dass eine bestimmte Phishing-Variante – etwa die Geldbüßen-Masche – aktiv betrieben wird, und dennoch keine Warnhinweise an ihre Kunden ausgibt oder keine auffälligen Transaktionsmuster erkennt und stoppt, kann das ihre Haftungsposition erheblich verschlechtern. Ebenso kann die Haftung der empfangenden Bank relevant werden, wenn das Empfängerkonto als Betrugskonto bekannt war und trotzdem weiter bedient wurde.
Damit sind Sie nicht allein. Als erfahrene Anwälte im Bank- und Kapitalmarktrecht prüfen wir, ob die Postbank zur Erstattung verpflichtet ist, und vertreten Ihre Interessen. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
Damit sind Sie nicht allein. Als erfahrene Anwälte im Bank- und Kapitalmarktrecht prüfen wir, ob die Postbank zur Erstattung verpflichtet ist, und vertreten Ihre Interessen. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
Postbank und die Geldbüßen-Masche: Was die echte Postbank tut und was sie niemals tut
Wer wissen möchte, wie man gefälschte Postbank-Kommunikation von echter unterscheidet, muss nur die folgenden Grundregeln kennen.
Die echte Postbank informiert Kunden über wichtige Vorgänge über das gesicherte Postfach im Online-Banking-Portal oder per Brief. Datenpflege-Prozesse werden dort angekündigt und laufen über die gesicherten Kanäle der Bank – niemals über externe Links in E-Mails oder SMS. Eine echte Geldbüße für eine unterbliebene Daten-Aktualisierung existiert in dieser Form nicht und würde, selbst wenn sie rechtlich möglich wäre, nicht per E-Mail angedroht.
Die Postbank fragt in keinem ihrer Prozesse telefonisch nach TAN-Codes, Passwörtern oder PINs. Wer einen Anruf erhält, bei dem diese Daten abgefragt werden, spricht nicht mit einem Postbank-Mitarbeiter. Das gilt auch dann, wenn der Anrufer eine Rufnummer nennt, die wie eine offizielle Postbank-Nummer aussieht – Rufnummern können technisch gefälscht werden.
Keine Transaktion, die der Kontoinhaber nicht selbst über die offizielle App oder Website initiiert hat, ist eine echte Postbank-Transaktion. Wenn in der App eine Transaktion zur Bestätigung erscheint, die man nicht selbst eingeleitet hat, sollte diese niemals bestätigt werden – egal was der Anrufer erklärt.
Wann lohnt sich anwaltliche Beratung bei Postbank Phishing?
Anwaltliche Beratung lohnt sich insbesondere dann, wenn die Postbank eine Erstattung abgelehnt hat oder auf grobe Fahrlässigkeit des Kunden verweist. Diese Ablehnung ist keine bindende Rechtsentscheidung – sie ist die Einschätzung einer Vertragspartei mit eigenem Interesse an der Nichtzahlung. Gerichte sehen das in vielen Fällen anders. Ein Anwalt für Bankrecht prüft den konkreten Phishing-Angriff, beurteilt ob die Geldbüßen-Masche oder eine andere Variante vorliegt, und bewertet, ob die Schwelle zur groben Fahrlässigkeit tatsächlich überschritten wurde.
Die Kanzlei übernimmt die Kommunikation mit der Postbank, begleitet die Strafanzeige und klärt, ob neben dem Erstattungsanspruch nach dem Zahlungsdiensterecht weitere Schadensersatzansprüche bestehen – etwa wegen unzureichender Transaktionsüberwachung oder wegen einer verletzten Warnpflicht. Fristen laufen auch dann, wenn die Postbank noch nicht geantwortet hat.
Einen Überblick über alle relevanten Betrugsformen im Bankenumfeld und die dazugehörigen rechtlichen Wege finden Sie in unserem Beitrag zum Thema Anwalt für Finanzbetrug sowie in unserem allgemeinen Beitrag zum Finanzrecht.
Fazit: Postbank Phishing – die Geldbüße ist keine echte Drohung, aber die Haftungsfrage ist es
Die Geldbüßen-Masche ist ein gezielter Angriff auf das Vertrauen der Kunden in rechtliche Konsequenzen. Die Drohung selbst ist frei erfunden, aber sie ist wirksam genug, um täglich Menschen in ganz Deutschland zu treffen, die schnell handeln und dabei vergessen, die Nachricht auf ihre Echtheit zu prüfen.
Das deutsche Zahlungsdiensterecht stellt Betroffene nicht schutzlos. Die gesetzliche Erstattungspflicht der Bank bei nicht autorisierten Zahlungen ist eine starke Grundlage. Ob die Postbank sie im konkreten Fall umgehen kann, hängt von der Bewertung der Fahrlässigkeit ab – und diese Bewertung ist überprüfbar. Wer schnell handelt, Beweise sichert und anwaltliche Unterstützung in Anspruch nimmt, hat realistische Chancen auf Erstattung.
Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht
Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit der Postbank bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu Postbank Phishing
Was ist Postbank Phishing und wie läuft es ab?
Postbank Phishing bezeichnet Betrugsversuche, bei denen Täter die Kommunikation der Postbank imitieren, um Kunden zur Preisgabe ihrer Online-Banking-Zugangsdaten zu verleiten. Die derzeit verbreitetste Variante droht mit einer Geldbüße für eine angeblich unterbliebene Daten-Verifikation. Wer dem enthaltenen Link folgt, landet auf einer gefälschten Loginseite, auf der Zugangsdaten und TAN-Codes abgegriffen werden.
Ist die Geldbüßen-Drohung in der Postbank-Phishing-Mail echt?
Nein. Die Drohung, eine Geldbüße zu verhängen, wenn Kunden eine Daten-Aktualisierung nicht per E-Mail-Link vornehmen, ist vollständig erfunden. Die echte Postbank kommuniziert solche Prozesse ausschließlich über das gesicherte Online-Banking-Postfach oder per Brief. Geldbüßen für unterbliebene Daten-Aktualisierungen existieren in dieser Form nicht.
Muss die Postbank mir das Geld erstatten, wenn ich auf Phishing hereingefallen bin?
Grundsätzlich ja. Nach § 675u BGB muss die Bank nicht autorisierte Zahlungsvorgänge unverzüglich erstatten. Die Erstattungspflicht entfällt nur, wenn dem Kunden grobe Fahrlässigkeit nachgewiesen werden kann. Ob das im konkreten Fall zutrifft, ist eine Rechtsfrage, die nicht die Bank, sondern letztlich ein Gericht beantwortet.
Was soll ich tun, wenn ich auf eine Postbank-Phishing-Seite hereingefallen bin?
Sperren Sie sofort Ihren Online-Banking-Zugang über den Postbank-Kundenservice oder den Sperrnotruf 116 116. Ändern Sie alle Zugangsdaten ausschließlich über die offizielle App oder Website. Prüfen Sie Ihre Kontoauszüge auf nicht autorisierte Buchungen, melden Sie diese schriftlich der Postbank und sichern Sie alle Phishing-Nachrichten als Beweismittel. Erstatten Sie anschließend Strafanzeige bei der Polizei.
Wie erkenne ich eine gefälschte Postbank-E-Mail?
Das wichtigste Merkmal ist die Aufforderung, über einen Link Zugangsdaten einzugeben. Die echte Postbank tut das in keinem legitimen Prozess. Zusätzlich weicht die Absenderadresse bei genauer Prüfung von der offiziellen Domain postbank.de ab, und die Nachricht enthält Dringlichkeitsformulierungen wie Geldbüßendrohungen oder Kontosperrungsandrohungen. Im Zweifelsfall die Postbank-App direkt öffnen und prüfen, ob eine offizielle Meldung vorliegt.
Was ist grobe Fahrlässigkeit und wie wirkt sie sich auf die Erstattung aus?
Grobe Fahrlässigkeit im Sinne des Zahlungsdiensterechts liegt vor, wenn der Kontoinhaber die im Zahlungsverkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat – etwa durch Dateneingabe auf einer offensichtlich gefälschten Seite oder durch Bestätigung einer Transaktion trotz ausdrücklicher Warnmeldung. Wenn die Phishing-Seite professionell gestaltet war und eine Verwechslung für einen durchschnittlichen Nutzer nicht offensichtlich war, erreicht das in vielen Fällen nicht die Schwelle zur groben Fahrlässigkeit.
Kann ich eine Postbank-Überweisung nach Phishing noch stoppen?
Ein Stopp ist nur möglich, solange der Zahlungsauftrag noch nicht final verarbeitet wurde. Kontaktieren Sie die Postbank deshalb sofort telefonisch, sobald Sie den Betrug erkennen. Ist die Überweisung bereits gebucht, stehen zivilrechtliche Erstattungsansprüche gegen die Postbank im Vordergrund.
Wann haftet die Postbank wegen Verletzung der Warnpflicht?
Die Postbank haftet, wenn sie über eine aktiv betriebene Phishing-Masche – wie die Geldbüßen-Variante – informiert war und dennoch keine Warnhinweise an ihre Kunden ausgegeben hat. Zusätzlich kann eine Haftung entstehen, wenn auffällige Transaktionsmuster – untypische Beträge, erstmalige Empfängerkonten, ungewöhnliche Auslandsüberweisungen – nicht erkannt und ohne Rückfrage ausgeführt wurden.
Was unterscheidet Postbank Phishing von Phishing gegen andere Banken?
Strukturell sind alle Phishing-Maschen identisch aufgebaut – gefälschte Nachrichten im Design der jeweiligen Bank, Fake-Loginseiten, gestohlene Zugangsdaten. Die Geldbüßen-Variante ist für die Postbank besonders charakteristisch und nutzt den Umstand, dass viele Kunden mit der Deutschen Post als Ursprungskonzern die Vorstellung verbinden, behördliche oder halboffizielle Schreiben zu erhalten. Die rechtliche Ausgangslage bei der Haftungsfrage ist bei allen Banken identisch.
Wann lohnt sich ein Anwalt bei Postbank Phishing?
Ein Anwalt lohnt sich insbesondere dann, wenn die Postbank die Erstattung abgelehnt hat oder auf grobe Fahrlässigkeit verweist. Diese Einschätzung ist rechtlich überprüfbar und wird von Gerichten in vielen Fällen nicht bestätigt. Ein auf Bankrecht spezialisierter Anwalt bewertet den Fall, wahrt alle relevanten Fristen und koordiniert die Kommunikation mit der Bank.