Kontakt
KI-Phishing: Warum gefälschte Bank-Mails 2026 kaum noch erkennbar sind

KI-Phishing: Warum gefälschte Bank-Mails 2026 kaum noch erkennbar sind

Betrüger nutzen künstliche Intelligenz, um Bank-Mails zu erstellen, die sich kaum noch von echten Nachrichten unterscheiden lassen.

Früher verrieten sich gefälschte Bank-Mails durch holprige Grammatik, falsche Logos oder eine Absenderadresse, die offensichtlich nicht zur Bank passte. Diese Zeit ist vorbei. Das Phänomen KI Phishing Bank beschreibt eine neue Generation von Betrugsversuchen, bei denen Kriminelle große Sprachmodelle nutzen, um Nachrichten zu erzeugen, die sprachlich, optisch und inhaltlich kaum noch von echter Bankkommunikation zu unterscheiden sind.

Wo früher ein geübtes Auge Rechtschreibfehler oder unpassende Formulierungen erkannte, liefert künstliche Intelligenz heute druckreife Texte, passgenaue Layouts und sogar personalisierte Anreden auf Basis geleakter Daten. Für Bankkunden bedeutet das: Die klassischen Erkennungsmerkmale funktionieren immer seltener. Wer glaubt, Phishing an schlechtem Deutsch zu erkennen, unterschätzt die neue Qualitätsstufe von KI Phishing Bank erheblich.

Dieser Beitrag zeigt, wie Kriminelle KI heute konkret einsetzen, welche Warnsignale trotzdem bleiben und welche Ansprüche Betroffenen nach einem Schaden aus einer nicht autorisierten Zahlung zustehen.

Wenn Sie eine überzeugend echt wirkende Bank-Mail erhalten und aufgrund dessen Geld verloren haben, sollten Sie schnell und rechtssicher handeln. Jetzt unverbindlich Kontakt aufnehmen.

Kontakt

Die neue Qualitätsstufe: Warum KI Phishing Bank so schwer zu erkennen ist

Klassisches Phishing lebte von Massenversand und geringem Aufwand pro Nachricht. Diese neue Betrugsform funktioniert anders: Generative Sprachmodelle erzeugen in Sekunden individualisierte, grammatikalisch einwandfreie E-Mails im exakten Ton einer bestimmten Bank. Kriminelle füttern die Systeme mit öffentlich zugänglichen oder aus Datenlecks stammenden Informationen und erhalten daraus Nachrichten, die Namen, Kontonummer-Fragmente oder frühere Transaktionen plausibel referenzieren.

Diese Personalisierung ist der entscheidende Unterschied zu früheren Wellen. Eine Mail, die den Empfänger korrekt anspricht, auf eine tatsächlich existierende Kreditkarte verweist und im Corporate Design der jeweiligen Bank erscheint, wirkt auf den ersten Blick seriös. Betroffene berichten in Fällen wie der Hanseatic Bank Phishing-Serie oder bei gefälschten Nachrichten der BW Bank regelmäßig, dass sie die Fälschung erst nach der Eingabe von Zugangsdaten bemerkten.

Wie Kriminelle künstliche Intelligenz für Bank-Mails einsetzen

Technisch nutzen die Täter mehrere KI-Bausteine gleichzeitig. Sprachmodelle formulieren den Fließtext, Bildgeneratoren oder einfache Kopiervorlagen erzeugen originalgetreue Logos und Layouts, und automatisierte Skripte verschicken die Nachrichten in großer Zahl mit individuellen Textbausteinen. Dadurch entstehen keine identischen Massen-Mails mehr, sondern Tausende leicht variierte Fassungen, die klassische Spam-Filter schwerer erkennen.

  • Automatisch generierte, fehlerfreie Betreffzeilen mit angeblichem Sicherheitsbezug
  • Nachgebaute Bank-Layouts inklusive Logo, Fußzeile und Rechtstexten
  • Gefälschte Absenderadressen, die auf den ersten Blick zur echten Domain passen
  • Landingpages mit täuschend echtem Login-Formular für Online-Banking-Zugangsdaten
  • Zeitdruck durch angebliche Kontosperrung oder verdächtige Transaktion

Diese Kombination ist besonders bei Instituten mit großer Kundenzahl beliebt, wie die Fälle rund um Sparda Bank Phishing oder gefälschte Nachrichten der Comdirect zeigen. Auch Förderbanken werden zunehmend imitiert, etwa bei KfW Phishing-Wellen, die angebliche Fördergelder oder Rückzahlungen vortäuschen.

Voice-Cloning und Deepfake-Anrufe als Ergänzung zur Text-Falle

KI Phishing Bank beschränkt sich längst nicht mehr auf E-Mails. Kriminelle kombinieren gefälschte Nachrichten zunehmend mit Anrufen, bei denen eine geklonte Stimme oder eine manipulierte Anrufer-ID Vertrauen erzeugt. Beim sogenannten Call-ID-Spoofing erscheint auf dem Display die echte Servicenummer der Bank, obwohl der Anruf von Kriminellen stammt.

Der Bundesgerichtshof hat sich mit genau einer solchen Konstellation befasst: Im Urteil vom 22. Juli 2025 (Az. XI ZR 107/24) gab eine Kundin nach einem Anruf mit gefälschter Bank-Nummer TAN-Codes für eine Echtzeitüberweisung über 35.555 Euro heraus. Der BGH stellte klar, dass die Weitergabe der TAN allein keine wirksame Autorisierung der Zahlung darstellt – die Verfügung bleibt grundsätzlich nicht autorisiert im Sinne des § 675u BGB. Im konkreten Fall verlor die Kundin den Prozess dennoch, weil sie die TAN erst am Folgetag nach einer Bedenkzeit erneut preisgab – das werteten die Richter als grobe Fahrlässigkeit und nicht mehr als entschuldbares Augenblicksversagen.

Woran Sie gefälschte Bank-Nachrichten dennoch erkennen können

Auch wenn Sprache und Layout heute kaum noch verlässliche Indizien liefern, bleiben einige Warnsignale bestehen, weil sie sich technisch nur schwer fälschen lassen oder auf strukturellen Eigenheiten seriöser Bankkommunikation beruhen.

  • Zeitdruck und Drohungen: Echte Banken setzen selten enge Fristen von wenigen Stunden
  • Aufforderung, TAN, PIN oder vollständige Zugangsdaten per Mail, SMS oder Telefon preiszugeben
  • Links, die auf eine abweichende Domain führen, auch wenn der angezeigte Linktext echt wirkt
  • Unerwartete Anhänge oder QR-Codes in angeblichen Kontoauszügen
  • Aufforderung zu Software-Installationen für angebliche Sicherheitsupdates

Wer unsicher ist, sollte niemals über einen Link in der Nachricht selbst reagieren, sondern die Bank über die im Vertrag oder auf der Bankkarte hinterlegte Telefonnummer kontaktieren. Auch bei täuschend echten Nachrichten im Namen der Volksbank mit gefälschten VR-SecureGo-Aufforderungen gilt: Eine echte Freigabeanfrage entsteht nur durch eine selbst ausgelöste Transaktion, niemals durch eine eingehende E-Mail.

Als erfahrene Anwälte im Bank- und Kapitalmarktrecht helfen wir Ihnen, die Vorgehensweise der Betrüger rechtlich einzuordnen und konkrete Schritte zur Rückforderung Ihrer Gelder einzuleiten. Kontaktieren Sie uns jederzeit für ein unverbindliches Erstgespräch.

Kontakt

Rechtslage heute: Nicht autorisierte Zahlungen und die Erstattungspflicht der Bank

Wird eine Überweisung durch Phishing oder Voice-Cloning ausgelöst, ohne dass der Kontoinhaber sie tatsächlich autorisiert hat, greift grundsätzlich der Erstattungsanspruch aus § 675u BGB. Die Bank muss den belasteten Betrag dem Grunde nach unverzüglich zurückbuchen, weil eine nicht autorisierte Zahlung rechtlich als nicht ausgeführt gilt. Nach § 675p BGB ist ein einmal ausgeführter Zahlungsauftrag zwar grundsätzlich unwiderruflich, das ändert aber nichts an der Erstattungspflicht bei fehlender Autorisierung.

Die Bank kann diesem Anspruch entgegenhalten, dass der Kunde grob fahrlässig gehandelt hat, etwa durch die Weitergabe von TAN oder PIN. Die Beweislast dafür trägt nach § 675w BGB jedoch die Bank, nicht der Kunde. Wichtig ist zudem die Ausschlussfrist des § 676b Abs. 2 BGB: Nicht autorisierte oder fehlerhaft ausgeführte Zahlungen müssen der Bank innerhalb von 13 Monaten angezeigt werden, sonst erlischt der Anspruch.

Grobe Fahrlässigkeit und Augenblicksversagen – die aktuelle BGH-Linie

Ob ein Betroffener grob fahrlässig gehandelt hat, entscheidet sich im Einzelfall. Der BGH hat im bereits genannten Urteil XI ZR 107/24 herausgearbeitet, dass ein spontanes, überraschendes Fehlverhalten unter Täuschungsdruck – ein sogenanntes Augenblicksversagen – die grobe Fahrlässigkeit im Einzelfall ausschließen kann. Entscheidend ist, ob der Betroffene ohne Reflexionszeitfenster gehandelt hat oder ob ihm, wie in dem entschiedenen Fall, eine Bedenkzeit zur Verfügung stand, die er nicht genutzt hat.

Für die Praxis bedeutet das: Wer im ersten Schock eines täuschend echten Anrufs oder einer täuschend echten Mail reagiert, steht rechtlich besser da als jemand, der nach einer Nacht Bedenkzeit erneut Zugangsdaten preisgibt. Diese Differenzierung ist auch bei Fällen wie Ledger Phishing relevant, bei denen gefälschte Hardware-Wallet-E-Mails Nutzer zur Preisgabe ihrer Seed-Phrase verleiten.

Was sich mit PSD3 und der neuen Zahlungsdiensteverordnung künftig ändert

Auf europäischer Ebene zeichnet sich eine Verschärfung zugunsten der Verbraucher ab. Rat und Parlament haben sich am 27. November 2025 politisch geeinigt, die endgültigen Kompromisstexte zu PSD3 und PSR veröffentlichte der Rat der EU am 23. April 2026. Die Veröffentlichung im Amtsblatt und eine Übergangsfrist stehen noch aus – die neuen Regeln gelten also noch nicht unmittelbar, sind aber vorgezeichnet.

Besonders relevant ist der geplante Art. 59 PSR-E: Er sieht erstmals eine Haftung der Anbieter von Zahlungsdiensten auch für autorisierte, aber betrügerisch veranlasste Zahlungen vor, insbesondere bei Call-ID-Spoofing. Nach heutiger Rechtslage trägt der Kunde bei grober Fahrlässigkeit nach § 675v BGB noch selbst das Risiko. Bis die künftige PSR-Regelung tatsächlich anwendbar ist, bleibt die heutige Rechtslage aus §§ 675u, 675v BGB und der geschilderten BGH-Rechtsprechung maßgeblich.

Verification of Payee und Instant Payments als neue Schutzmechanismen

Bereits geltendes Recht ist dagegen die Verification of Payee (VoP), ein IBAN-Namensabgleich auf Grundlage der EU-Verordnung über Instant Payments (VO (EU) 2024/886). Seit dem 9. Oktober 2025 ist VoP für Euro-Echtzeitüberweisungen verpflichtend: Weicht der eingegebene Empfängername von dem zur IBAN hinterlegten Namen ab, muss die Bank den Zahler warnen. Unterlässt sie diese Warnung und entsteht dadurch ein Schaden, kann dies eine eigene Haftung der Bank begründen.

Gleichzeitig gilt seit dem 9. Oktober 2025 auch die Sendepflicht für Echtzeitüberweisungen, die nicht teurer sein dürfen als klassische SEPA-Überweisungen. Das erhöht zwar den Komfort, verkürzt aber auch das Zeitfenster für eine Rückholung erheblich: Ist Geld einmal per Instant Payment abgeflossen, gibt es keinen gesetzlichen Anspruch auf Rückbuchung, sondern nur ein Kulanzverfahren zwischen den beteiligten Banken. Wer schnell reagiert und die eigene Bank informiert, erhöht die Chance, dass eine solche Rückholung noch gelingt.

Was Betroffene nach einem Schaden durch KI Phishing Bank konkret tun sollten

Nach einem festgestellten Betrugsfall zählt jede Stunde. Folgende Schritte haben sich in der Praxis bewährt, unabhängig davon, ob die Fälschung als E-Mail, SMS oder Anruf auftrat.

  • Sofortige telefonische Sperrung von Karten und Online-Banking-Zugang über die offizielle Bank-Hotline
  • Schriftliche Anzeige der nicht autorisierten Zahlung bei der Bank innerhalb der 13-Monats-Frist
  • Sicherung von Beweismitteln: Original-Mail mit Kopfzeilen, Screenshots, Anrufprotokolle
  • Strafanzeige bei der Polizei wegen Betrugs nach § 263 StGB
  • Frühzeitige anwaltliche Prüfung der Erstattungsansprüche gegenüber der eigenen Bank

Auch bei vermeintlich harmlosen Folgeschäden lohnt eine genaue Prüfung. Wer im Zuge eines KI Phishing Bank Angriffs zusätzlich persönliche Daten preisgegeben hat, kann unter Umständen einen eigenständigen Anspruch aus Art. 82 DSGVO haben, wenn dabei personenbezogene Daten unrechtmäßig verarbeitet wurden. Der Bundesgerichtshof hat für den bloßen Kontrollverlust über Daten bereits einen Richtwert von rund 100 Euro als ersatzfähigen immateriellen Schaden anerkannt.

Strafrechtliche Verfolgung: Anzeige, Akteneinsicht und Vermögenssicherung

Parallel zur zivilrechtlichen Erstattung lohnt sich die strafrechtliche Verfolgung, auch wenn die Täter oft im Ausland sitzen. Ein KI Phishing Bank Angriff erfüllt in aller Regel den Tatbestand des Betrugs nach § 263 StGB, weil ein Mensch über Tatsachen getäuscht und dadurch zu einer vermögensschädigenden Handlung veranlasst wird. Wurde der Anruf über eine gefälschte Rufnummer geführt, kommt zusätzlich ein Verstoß gegen § 120 TKG in Betracht, den die Bundesnetzagentur verfolgt.

Als Geschädigter haben Sie über einen Rechtsanwalt Anspruch auf Akteneinsicht nach § 406e StPO, um den Ermittlungsstand einzusehen und mögliche Kontobewegungen der Täter nachzuverfolgen. Gelingt es den Ermittlungsbehörden, Vermögenswerte der Täter zu identifizieren, kann ein Vermögensarrest nach § 111e StPO die Rückgewinnung erleichtern. Ähnliche Konstellationen finden sich bei gefälschten Bestellbestätigungen, wie sie im Beitrag zu Amazon Phishing Betrug beschrieben werden, oder bei manipulierten Geräten, wie im Beitrag über gefälschte Hardware-Wallets.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu KI Phishing Bank

Was bedeutet der Begriff KI Phishing Bank genau?

Der Begriff bezeichnet Betrugsversuche, bei denen Kriminelle künstliche Intelligenz nutzen, um täuschend echte Bank-Mails, Webseiten oder Anrufe zu erstellen. Die Nachrichten sind sprachlich fehlerfrei, optisch originalgetreu und häufig personalisiert, wodurch klassische Erkennungsmerkmale weitgehend wegfallen.

Woran erkenne ich eine mit KI erstellte Phishing-Mail noch, wenn die Sprache perfekt ist?

Achten Sie auf Zeitdruck, ungewöhnliche Aufforderungen zur Preisgabe von TAN oder PIN und auf die tatsächliche Ziel-URL hinter Links. Kontaktieren Sie die Bank im Zweifel über die auf der Bankkarte hinterlegte Telefonnummer, nicht über die Nachricht selbst.

Muss meine Bank mir das Geld zurückzahlen, wenn ich durch eine gefälschte Bank-Mail getäuscht wurde?

Wenn Sie die Zahlung nicht wirksam autorisiert haben, besteht dem Grunde nach ein Erstattungsanspruch aus § 675u BGB. Die Bank kann dem nur entgegenhalten, dass Sie grob fahrlässig gehandelt haben, wofür sie die Beweislast trägt.

Was ist grobe Fahrlässigkeit im Zusammenhang mit Phishing?

Grobe Fahrlässigkeit liegt vor, wenn Sie naheliegende und einfache Sorgfaltspflichten in besonders schwerem Maß verletzt haben, etwa die wiederholte Preisgabe von TAN-Codes nach ausreichender Bedenkzeit. Ein spontanes Fehlverhalten unter Täuschungsdruck kann dagegen als Augenblicksversagen gewertet werden.

Wie hat der BGH im Fall XI ZR 107/24 entschieden?

Der BGH entschied am 22. Juli 2025, dass die TAN-Weitergabe nach Call-ID-Spoofing keine wirksame Autorisierung darstellt, die Kundin im konkreten Fall aber grob fahrlässig handelte, weil sie erst am Folgetag nach Bedenkzeit erneut TANs herausgab.

Ändert sich die Rechtslage durch PSD3 und die neue Zahlungsdiensteverordnung?

Ja, künftig soll nach Art. 59 PSR-E auch für autorisierte, aber betrügerisch veranlasste Zahlungen eine Bankhaftung greifen, insbesondere bei Call-ID-Spoofing. Die endgültige Anwendbarkeit steht auch nach Veröffentlichung der endgültigen Kompromisstexte am 23. April 2026 noch aus, sodass derzeit weiterhin die heutige Rechtslage gilt.

Was ist Verification of Payee und wie schützt sie mich vor Betrug?

Verification of Payee ist ein seit 9. Oktober 2025 verpflichtender IBAN-Namensabgleich bei Euro-Echtzeitüberweisungen. Weicht der Empfängername ab, muss die Bank warnen. Unterbleibt diese Warnung und entsteht dadurch ein Schaden, kann das eine Haftung der Bank begründen.

Wie viel Zeit habe ich, um eine nicht autorisierte Zahlung bei der Bank zu melden?

Sie müssen die nicht autorisierte oder fehlerhafte Zahlung innerhalb von 13 Monaten nach § 676b Abs. 2 BGB gegenüber der Bank anzeigen, sonst erlischt der Erstattungsanspruch grundsätzlich.

Sollte ich nach einem solchen Vorfall zusätzlich Strafanzeige stellen?

Ja, eine Strafanzeige wegen Betrugs nach § 263 StGB ist sinnvoll, auch wenn eine Verurteilung der oft im Ausland sitzenden Täter unsicher ist. Als Geschädigter erhalten Sie über einen Anwalt Akteneinsicht nach § 406e StPO und können Ermittlungsergebnisse für zivilrechtliche Ansprüche nutzen.

Was kann eine spezialisierte Kanzlei nach einem Schaden durch gefälschte Bank-Mails konkret tun?

Eine Kanzlei prüft die Erfolgsaussichten des Erstattungsanspruchs, kommuniziert mit der Bank, wahrt die 13-Monats-Frist, begleitet die Strafanzeige und setzt Ansprüche notfalls gerichtlich durch, um Ihre Chancen auf Rückerstattung zu maximieren.

Jetzt Anfrage stellen
Wir beraten Sie gerne umfassend und persönlich bei Ihrem Anliegen.
Kontakt
Dr. Michel de Araujo Kurth
Dr. Michel de Araujo Kurth ist Geschäftsführender Gesellschafter der AK LAW Rechtsanwaltsgesellschaft mbH und Rechtsanwalt mit Schwerpunkt im Bank- und Kapitalmarktrecht. Promoviert Summa Cum Laude an der Goethe-Universität Frankfurt, zuvor Legal Counsel bei Société Générale und Hauck Aufhäuser Lampe Privatbank AG.
Vita
Lesen Sie mehr...
Kontakt
Ihre AK LAW Rechtsanwaltsgesellschaft mbH. Immer für Sie da
Jederzeit für Sie erreichbar
Dr. Michel de Araujo Kurth
Kontakt








    Saalburgstraße 11
    60385 Frankfurt am Main
    +49 6151 7076982
    kontakt@ra-araujo-kurth.de
    Mo. – Fr. 08:00–18:00 Uhr
    envelopephone-handsetmap-markercrossmenuchevron-down