Hanseatic Bank Phishing: Gefälschte Mails an Kreditkarten-Kunden

Gefälschte Mails und SMS im Namen der Hanseatic Bank verleiten Kreditkarten-Kunden zur Preisgabe von Zugangsdaten – rechtlich gilt eine erzwungene TAN-Weitergabe nicht als wirksame Autorisierung.

Kreditkarten-Banken gehören zu den beliebtesten Zielen von Phishing-Kampagnen. Die Hanseatic Bank, bekannt als Kreditkartenpartner großer Handelsunternehmen wie Galeria oder Otto, zählt regelmäßig zu den Instituten, in deren Namen Betrüger gefälschte Nachrichten verschicken. Betroffene Kunden berichten von E-Mails und SMS, die täuschend echt wirken und zur Eingabe sensibler Daten auffordern.

Hanseatic Bank Phishing funktioniert nach bewährtem Muster: Eine gefälschte Nachricht suggeriert dringenden Handlungsbedarf – angeblich gesperrtes Konto, ausstehende Verifizierung oder verdächtige Aktivität. Wer dem Link folgt, landet auf einer kopierten Loginseite. Eingegebene Daten wandern direkt zu den Tätern.

Dieser Ratgeber erklärt, wie Hanseatic Bank Phishing erkannt wird, welche Sofortmaßnahmen jetzt zählen und wann die Bank verpflichtet ist, entstandene Schäden zu erstatten – unter Einbeziehung der aktuellen BGH-Rechtsprechung.

Wie der Betrug im Detail funktioniert

Die bekannteste Angriffsform ist die Phishing-E-Mail: Eine Nachricht mit dem Logo der Hanseatic Bank, dem offiziellen Farbschema und einem täuschend echten Absender fordert zur Verifizierung von Kreditkartendaten auf. Der enthaltene Link führt auf eine gefälschte Webseite, die der offiziellen Kundenoberfläche nachgeahmt ist. Dort eingegebene Daten – Kartennummer, Prüfziffer, Geburtsdatum, PIN oder TAN – werden von den Tätern abgegriffen.

Daneben ist SMS-Phishing (Smishing) verbreitet: Kurznachrichten im Namen der Hanseatic Bank enthalten einen Link mit ähnlichem Inhalt oder fordern direkt zur Rückrufung einer gefälschten Hotline auf. Telefonbasiertes Phishing – auch Vishing genannt – läuft über Call-ID-Spoofing: Die Anruferkennung zeigt eine echte Banknummer an, tatsächlich sitzt ein Betrüger am anderen Ende der Leitung.

Diese Methoden sind keine trivialen Tricks. Der BGH hatte sich in seinem Urteil XI ZR 107/24 vom 22. Juli 2025 mit einem Fall auseinanderzusetzen, bei dem eine Kundin durch Call-ID-Spoofing getäuscht und zur TAN-Weitergabe verleitet wurde. Die Kundin verlor vor dem BGH – allerdings wegen grober Fahrlässigkeit, da die TAN-Weitergabe am Folgetag erfolgte. Entscheidend jedoch: Der BGH stellte klar, dass die TAN-Weitergabe als solche keine wirksame Autorisierung der Zahlung darstellt.

Aktuelle Betrugsmaschen: Was Täter derzeit einsetzen

Die Angriffsmethoden haben sich in den vergangenen Jahren professionalisiert. Statt simpler Textmails setzen Täter auf aufwendig gestaltete HTML-Nachrichten mit echten Logos, personalisierten Anreden und gefälschten Transaktionsdetails. Einige bekannte Muster:

• Sicherheitswarnungen: Angebliche verdächtige Transaktionen erfordern sofortige Bestätigung – mit Link zur gefälschten Bankseite.
• Datenaktualisierung: Angeblich veraltete Pflichtangaben müssen durch Eingabe von Kartendaten bestätigt werden.
• Rückerstattungsbenachrichtigung: Eine angebliche Gutschrift kann nur abgerufen werden, wenn Kontodaten verifiziert werden.
• Paketbenachrichtigung mit Kreditkartenaufforderung: Vermeintliche Zollgebühren für eine Lieferung sollen per Kreditkarteneingabe beglichen werden.
• Call-ID-Spoofing mit TAN-Abfrage: Ein angeblicher Bankmitarbeiter ruft an und fragt nach dem TAN zur Absicherung einer Transaktion – die Rufnummer erscheint als echt.

Wer ähnliche Maschen kennt, die bei anderen Kreditkartenbanken verwendet werden, findet vergleichbare Informationen in den Beiträgen zu Advanzia Bank Phishing und zu Comdirect Phishing.

Rechtslage: Wer haftet nach dem Angriff?

Die Haftungsverteilung nach einem derartigen Angriff richtet sich nach dem Zahlungsdiensterecht. Zentrale Normen sind § 675u BGB (Erstattungsanspruch bei nicht autorisierter Zahlung) und § 675v BGB (Haftung des Zahlers bei Fahrlässigkeit).

Grundregel: Zahlt die Bank aufgrund einer nicht autorisierten Transaktion, muss sie den Betrag nach § 675u S. 2 BGB unverzüglich erstatten. Eine Zahlung gilt nur dann als autorisiert, wenn der Kontoinhaber ihr wirksam zugestimmt hat. Die bloße Weitergabe eines Passworts oder einer TAN an einen Betrüger – selbst auf eine täuschend echte Aufforderung hin – stellt nach der BGH-Rechtsprechung (XI ZR 107/24, 22.07.2025) keine wirksame Autorisierung dar. Der Anspruch dem Grunde nach bleibt bestehen.

Die Bank kann sich jedoch auf grobe Fahrlässigkeit des Kunden berufen, um die Haftung auf § 675v BGB umzustellen. Dann trägt der Kunde den Schaden selbst. Was als grobe Fahrlässigkeit gilt, ist eine Einzelfallfrage: Das schnelle Reagieren auf eine täuschend echte Nachricht kann anders zu bewerten sein als die Weitergabe von Daten am nächsten Tag, nachdem Bedenkzeit bestand.

BGH XI ZR 107/24 und EuGH C-70/25: Aktuelle Rechtsprechung

Der BGH hat in seinem Urteil vom 22. Juli 2025 (XI ZR 107/24) wichtige Grundsätze zur Bankhaftung bei Phishing aufgestellt. Zwar verlor die betroffene Kundin den konkreten Fall – wegen grober Fahrlässigkeit, da sie die TAN erst am Folgetag weitergab und damit ausreichend Zeit für kritisches Nachdenken gehabt hätte. Aber das Gericht stellte fest: Die TAN-Weitergabe begründet keinen Autorisierungstatbestand. Der Anspruch nach § 675u S. 2 BGB besteht dem Grunde nach.

Zudem lässt der BGH ausdrücklich zu, dass Augenblicksversagen – also eine Fehlreaktion im Moment der täuschungsbedingten Panik – grobe Fahrlässigkeit ausschließen kann. Das ist für Phishing-Opfer bedeutsam: Wer in einem unmittelbaren Druckszenario gehandelt hat, ohne Zeit zum Nachdenken zu haben, hat möglicherweise gute Aussichten.

Parallel dazu hat der Generalanwalt des EuGH in seinen Schlussanträgen zu EuGH C-70/25 (05.03.2026) eine anlegerschützende Position eingenommen: Banken sollen bei nicht autorisierter Zahlung zunächst unverzüglich erstatten – grobe Fahrlässigkeit des Kunden wäre erst nachgelagert zu prüfen und vom Geldinstitut zu beweisen. Ein bindendes Endurteil des EuGH liegt jedoch noch nicht vor. Diese Schlussanträge des Generalanwalts sind kein Endurteil und spiegeln lediglich die Meinung des Generalanwalts wider.

Warnsignale: So erkennen Sie Hanseatic Bank Phishing

Folgende Merkmale weisen auf Hanseatic Bank Phishing hin – selbst wenn die Nachricht auf den ersten Blick echt wirkt:

• Druck und Dringlichkeit: Angebliche Kontosperrungen innerhalb von 24 Stunden – seriöse Banken kommunizieren niemals so.
• Ungewöhnlicher Absender: Die E-Mail-Adresse enthält kryptische Zusätze oder kommt von einer Fremddomäne.
• Link zur fremden Domain: Beim Hovern über den Link zeigt sich eine Adresse, die nicht hanseatic-bank.de ist.
• Aufforderung zur TAN-Eingabe per E-Mail: Banken fordern TANs niemals per Mail oder auf nicht gesicherten Seiten an.
• Anruf mit Fragen zu Kartennummer oder PIN: Kein echter Bankmitarbeiter fragt am Telefon nach der vollständigen PIN oder Kartenprüfziffer.
• Schlechte Grammatik oder seltsame Formulierungen: Viele Phishing-Mails weisen sprachliche Mängel auf – aber nicht alle.

Vergleichbare Methoden werden auch bei anderen Instituten eingesetzt, wie der Beitrag zu APO Bank Phishing oder zur BW Bank Phishing-Masche zeigt.

Sofortmaßnahmen nach dem Angriff

Wer auf eine solche Täuschung hereingefallen ist oder den Verdacht hat, dass Daten abgegriffen wurden, sollte unverzüglich handeln:

• Kreditkarte sperren: Über den Sperr-Notruf 116 116 (deutschlandweit) oder direkt bei der Hanseatic Bank lässt sich die Karte sofort sperren.
• Bank schriftlich informieren: Den Vorfall der Hanseatic Bank unverzüglich schriftlich melden und die Erstattung nach § 675u BGB fordern.
• Passwörter ändern: Alle Online-Banking-Zugänge und damit verbundene E-Mail-Konten sofort absichern.
• Strafanzeige erstatten: Bei der nächsten Polizeidienststelle oder online über das jeweilige Landesportal Anzeige wegen Betrugs nach § 263 StGB (ggf. ergänzend Computerbetrug § 263a StGB) erstatten.
• Belege sichern: Screenshots der Phishing-Mail, SMS oder Anrufprotokolle für spätere Beweisführung aufbewahren.
• 13-Monats-Frist beachten: Der Erstattungsanspruch muss innerhalb von 13 Monaten nach der nicht autorisierten Transaktion geltend gemacht werden – geregelt in § 676b Abs. 2 BGB.

Geld zurück: Ansprüche und die 13-Monats-Frist

Wurde durch einen solchen Angriff eine nicht autorisierte Zahlung ausgelöst, haben Betroffene grundsätzlich einen Erstattungsanspruch nach § 675u S. 2 BGB. Die Bank muss den abgebuchten Betrag plus Zinsen zurückbuchen. Voraussetzung: Die Zahlung war nicht wirksam autorisiert – was bei Phishing in aller Regel der Fall ist.

Die Bank kann dem Anspruch entgegnen, indem sie dem Kunden grobe Fahrlässigkeit nach § 675v BGB nachweist. Die Beweislast für die grobe Fahrlässigkeit liegt dabei nach aktueller Rechtslage bei der Bank. Kunden sollten alle Umstände – Täuschungsqualität der Phishing-Nachricht, Zeitdruck, emotionaler Zustand – dokumentieren und anwaltlich aufbereiten lassen.

Kritisch ist die Ausschlussfrist des § 676b Abs. 2 BGB: 13 Monate nach dem Zeitpunkt der nicht autorisierten Transaktion erlischt das Erstattungsrecht. Die Frist beginnt mit dem Zeitpunkt der Belastungsbuchung. Wer zu lange wartet, verliert seinen Anspruch unwiderruflich. Ähnliche Fristen gelten auch bei anderen Phishing-Fällen, wie der Beitrag zu BGH-Rechtsprechung zur Bankhaftung zeigt.

Wann ein Anwalt für Bankrecht unverzichtbar ist

Ein Anwalt für Bankrecht sollte spätestens dann mandatiert werden, wenn die Hanseatic Bank die Erstattung verweigert oder auf grobe Fahrlässigkeit besteht. Denn die Abgrenzung zwischen einfacher und grober Fahrlässigkeit ist eine rechtlich komplexe Frage, die fallspezifisch bewertet werden muss.

Darüber hinaus ist anwaltliche Hilfe empfehlenswert, wenn:

• Die Bank auf die Erstattungsforderung nicht oder ablehnend reagiert.
• Mehrere Transaktionen betroffen sind oder der Schaden fünfstellig ist.
• Ein Identitätsdiebstahl vorliegt und weitere Konten oder Dienste kompromittiert wurden – Informationen dazu im Beitrag zu Bankdaten-Diebstahl und Identitätsmissbrauch.
• Die Phishing-Seite täuschend echt war und der Kunde keinen Anlass zur Skepsis haben konnte.
• Sie Akteneinsicht in das Strafverfahren gegen die Täter benötigen – möglich nach § 406e StPO.

Fazit: Nicht vorschnell aufgeben – Erstattungsrecht konsequent nutzen

Hanseatic Bank Phishing ist kein Kavaliersdelikt – weder für die Täter noch für die Bank. Das Zahlungsdiensterecht schützt Verbraucher vor nicht autorisierten Transaktionen. Die Erstattungspflicht der Bank ist gesetzlich geregelt. Wer schnell handelt, Belege sichert und anwaltliche Hilfe in Anspruch nimmt, hat realistische Chancen auf Rückerstattung.

Die 13-Monats-Frist des § 676b Abs. 2 BGB ist dabei das wichtigste Datum. Wer diese verpasst, verliert seinen Anspruch. Betroffene sollten sich daher unmittelbar nach einem Phishing-Angriff um rechtliche Unterstützung bemühen – und nicht auf die freiwillige Kooperation der Bank warten. Weiterführende Hinweise bietet der Überblick zu Account-Takeover im Banking sowie der Beitrag zur BaFin-Warnung und Bankenhaftung.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu Hanseatic Bank Phishing