Commerzbank Phishing: Erkennen, melden, Geld zurückfordern
Wie gefälschte Commerzbank-E-Mails aufgebaut sind, warum die Bank in vielen Fällen erstatten muss und was Betroffene sofort tun sollten
Eine E-Mail im vertrauten Commerzbank-Design fordert zur dringenden Bestätigung von Kontodaten auf – andernfalls werde der Online-Banking-Zugang gesperrt. Der Verweis auf gesetzliche Datenschutzanforderungen klingt plausibel, das Layout entspricht dem der echten Bank. Wer auf den Link klickt und seine Zugangsdaten eingibt, übergibt Tätern innerhalb von Minuten Zugriff auf sein Konto. Commerzbank Phishing gehört zu den am häufigsten gemeldeten Betrugsmaschen bei deutschen Großbanken – und die Haftungsfrage gegenüber der Commerzbank ist in vielen Fällen aussichtsreicher, als Betroffene vermuten.
Wurde nach einer gefälschten Commerzbank-Nachricht Geld von Ihrem Konto abgebucht? Unsere Kanzlei prüft, ob die Commerzbank zur Erstattung verpflichtet ist, und setzt Ihre Ansprüche durch. Nehmen Sie jetzt Kontakt auf.
Commerzbank Phishing 2026: Aktuelle Maschen im Überblick
Phishing im Namen der Commerzbank tritt in mehreren Varianten auf. Gemeinsam ist ihnen der Einsatz des Commerzbank-Brandings, eine fingierte Dringlichkeit und das Ziel, Zugangsdaten oder TAN-Codes zu ergaunern.
Datenbestätigungs-E-Mails – Die derzeit aktivste Variante. Täter versenden E-Mails, die behaupten, die Commerzbank sei nach einer gesetzlichen Aktualisierung oder aufgrund der DSGVO verpflichtet, Kundendaten zu bestätigen. Der enthaltene Link führt auf eine täuschend echte Fake-Login-Seite, auf der Zugangsdaten und photoTAN-Codes abgegriffen werden.
Sicherheitswarnungen bei angeblich verdächtiger Transaktion – Kunden werden per E-Mail oder SMS darüber informiert, dass eine unbekannte Transaktion erkannt worden sei. Zur Bestätigung oder zum Stopp der Transaktion sollen sie sich über einen Link einloggen. Wer das tut, bestätigt in Wirklichkeit eine Zahlung der Täter.
Neue-photoTAN-Aktivierung – Eine für Commerzbank-Kunden spezifische Variante: Täter fordern über eine gefälschte Nachricht zur Aktivierung eines neuen photoTAN-Geräts auf. Wer den Prozess durchläuft, erteilt Tätern in Wirklichkeit die Berechtigung, ihr eigenes Gerät als TAN-Generator zu registrieren.
Vishing per Telefon – Täter rufen im Namen des Commerzbank-Sicherheitsteams an, berichten von einer Kontogefährdung und bitten um Bestätigung einer TAN in der photoTAN-App. Die Commerzbank fragt in keinem echten Prozess telefonisch nach TAN-Bestätigungen.
Die Datenbestätigungs-Masche im Detail: Warum sie so überzeugend wirkt
Die Datenbestätigungs-Variante des Commerzbank Phishings ähnelt strukturell der EU-Legitimationsmasche, die auch bei anderen Direktbanken eingesetzt wird. Täter beziehen sich auf echte regulatorische Anforderungen – Banken müssen nach DSGVO und KYC-Vorgaben Kundendaten aktuell halten – und nutzen diesen Rahmen, um gefälschte Aufforderungen glaubwürdig erscheinen zu lassen.
Die Phishing-E-Mails sind in vielen Fällen sprachlich einwandfrei, enthalten das Commerzbank-Logo, eine nachgeahmte Absenderadresse und teilweise sogar personalisierte Anreden, wenn Täter aus früheren Datenlecks Vor- und Nachnamen kennen. Der enthaltene Link führt auf eine Seite, die optisch kaum von der echten Commerzbank-Login-Seite zu unterscheiden ist.
Der einzige zuverlässige Schutz ist das Wissen um einen Grundsatz, der ausnahmslos gilt: Die Commerzbank fordert ihre Kunden niemals per E-Mail oder SMS auf, über einen externen Link Zugangsdaten, TAN-Codes oder Passwörter einzugeben. Jede solche Aufforderung ist eine Fälschung.
Commerzbank Phishing erkennen: Merkmale der Fälschung
Auch professionell gestaltete Commerzbank-Phishing-Nachrichten lassen sich identifizieren, wenn man auf die richtigen Stellen schaut.
Das wichtigste Merkmal ist die Dateneingabe-Aufforderung über einen Link. Die Commerzbank kommuniziert sicherheitsrelevante Prozesse ausschließlich über das gesicherte Online-Banking-Postfach. E-Mails oder SMS mit externen Links zu Login-Seiten entsprechen nicht dem offiziellen Kommunikationsstandard der Bank.
Die Absenderadresse weicht bei genauer Prüfung von der offiziellen Domain commerzbank.de ab. Was auf den ersten Blick wie eine Commerzbank-Adresse aussieht, enthält häufig zusätzliche Subdomains, Tippfehler oder eine gänzlich andere Domain. Ein Klick auf die Absenderadresse zeigt die vollständige Adresse – dieser Schritt dauert Sekunden und schützt zuverlässig.
Die URL des enthaltenen Links ist ein weiteres Erkennungsmerkmal. Im Mouseover über den Link zeigt der Browser die Zieladresse. Wenn diese nicht mit commerzbank.de übereinstimmt, handelt es sich um eine Phishing-Seite. Auf mobilen Geräten kann die URL durch einen langen Druck auf den Link angezeigt werden.
Dringlichkeitsformulierungen wie „Ihr Konto wird innerhalb von 24 Stunden eingeschränkt“ oder „Handeln Sie sofort zur Vermeidung einer Kontosperrung“ sind zusätzliche Indikatoren. Echte Banken setzen keine Ultimaten per E-Mail mit solchen Zeitfenstern.
Im Zweifelsfall: Kein Link anklicken, stattdessen die Commerzbank-App oder das bekannte Online-Banking-Portal direkt aufrufen. Wenn tatsächlich eine Aktion erforderlich ist, erscheint sie dort als offizielle Meldung.
Sofortmaßnahmen nach Commerzbank Phishing
Wer erkennt, dass er auf eine gefälschte Commerzbank-Nachricht hereingefallen ist oder nicht autorisierte Buchungen entdeckt, muss schnell und strukturiert vorgehen.
Der erste Schritt ist die sofortige Sperrung des Online-Banking-Zugangs. Die Commerzbank ist über die App und per Telefon erreichbar. Über den bundesweiten Sperrnotruf 116 116 kann zusätzlich eine Kartensperre veranlasst werden. Wenn eine Überweisung noch nicht abschließend gebucht ist, besteht in einem engen Zeitfenster die Möglichkeit eines Stopps.
Informationen zum Ablauf und den Möglichkeiten bei bereits ausgeführten Überweisungen finden Sie in unserem Beitrag zu Überweisungen zurückfordern.
Im zweiten Schritt müssen alle Zugangsdaten geändert werden – PIN, Passwort und photoTAN-Gerät. Diese Änderung darf ausschließlich über die offizielle Commerzbank-App oder -Website erfolgen, niemals über einen Link aus der Phishing-Nachricht. Wenn Täter bereits ein eigenes TAN-Gerät registriert haben, muss dieses in den Kontoeinstellungen gesperrt werden.
Alle Beweismittel sollten gesichert werden, bevor Nachrichten gelöscht werden: Screenshots der Phishing-E-Mail oder -SMS mit sichtbarem Absender und Link, Kontoauszüge mit allen nicht autorisierten Buchungen sowie Notizen über den Zeitpunkt, zu dem der Betrug erkannt wurde. Diese Unterlagen sind für die Strafanzeige und für Erstattungsansprüche gegen die Commerzbank unentbehrlich.
Abschließend sollte eine Strafanzeige bei der örtlichen Polizei oder über die Online-Wache des Landeskriminalamts erstattet werden. Das Aktenzeichen ist Grundlage für alle weiteren rechtlichen Schritte.
Commerzbank Phishing und Bankenhaftung: Die rechtliche Ausgangslage
Die zentrale Frage nach einem Phishing-Angriff ist, ob die Commerzbank das abgebuchte Geld erstatten muss. Die Antwort hängt davon ab, wie der Zahlungsvorgang rechtlich einzuordnen ist.
Nach § 675u BGB ist ein Kreditinstitut verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten. Ein Zahlungsvorgang gilt als nicht autorisiert, wenn der Kontoinhaber keine wirksame Zustimmung erteilt hat. Wer durch eine gefälschte Commerzbank-Website über eine Datenbestätigungsaufforderung getäuscht wurde und seine Zugangsdaten preisgegeben hat, hat den anschließenden Transaktionen keine wirksame Zustimmung erteilt – auch wenn er technisch auf einer Fake-Seite etwas ausgefüllt hat.
Die Commerzbank kann die Erstattung nur dann einschränken oder verweigern, wenn sie dem Kunden grobe Fahrlässigkeit nach § 675v BGB nachweist. Grob fahrlässig handelt, wer Zugangsdaten auf einer offensichtlich gefälschten Seite eingibt oder trotz ausdrücklicher Warnmeldung in der App eine verdächtige Transaktion bestätigt. Professionell gestaltetes Phishing, das regulatorische Aufforderungen imitiert, überschreitet diese Schwelle in vielen Fällen nicht. Gerichte haben die Fahrlässigkeitsschwelle regelmäßig höher angesetzt als die Banken selbst.
Zusätzlich zur Haftungsfrage bei nicht autorisierten Zahlungen kann die Commerzbank haften, wenn sie Warnpflichten gegenüber Kunden verletzt hat oder wenn ihr Transaktionsüberwachungssystem auffällige Muster nicht erkannt hat, obwohl es das hätte müssen. Diese Dimension ist besonders relevant bei großen Schadenssummen oder bei Transaktionen, die vom normalen Kontoprofil des Kunden deutlich abweichen.
Damit sind Sie nicht allein. Als erfahrene Anwälte im Bank- und Kapitalmarktrecht prüfen wir, ob die Commerzbank zur Erstattung verpflichtet ist. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
photoTAN-Manipulation: Eine Besonderheit beim Commerzbank Phishing
Das photoTAN-Verfahren der Commerzbank ist ein zweistufiger Authentifizierungsprozess, bei dem für jede Transaktion ein individueller TAN-Code über die photoTAN-App generiert wird. Täter haben spezifische Angriffsmethoden entwickelt, um dieses Verfahren auszuhebeln.
In einer verbreiteten Variante bringen Täter Kunden dazu, in der App eine Transaktion zu bestätigen, die als Sicherheitstest oder Geräteregistrierung dargestellt wird. In Wirklichkeit bestätigt der Kunde damit eine echte Zahlungstransaktion oder erteilt Tätern die Berechtigung, ihr eigenes Gerät als TAN-Generator zu registrieren. Eine einmal erteilte Geräteregistrierung ermöglicht es den Tätern, später eigenständig TAN-Codes zu generieren, ohne dass der Kontoinhaber davon etwas bemerkt.
Aus rechtlicher Perspektive ist auch in dieser Konstellation eine wirksame Autorisierung zweifelhaft, wenn das Opfer über den tatsächlichen Inhalt der Bestätigung getäuscht wurde. Wer glaubt, einen Sicherheitstest zu bestätigen, hat keine Zahlungstransaktion autorisiert – selbst wenn er technisch auf den Bestätigungsbutton gedrückt hat. Diese Argumentation ist in der Rechtsprechung anerkannt und hat in mehreren Verfahren zur Bankenhaftung geführt.
Wann lohnt sich anwaltliche Beratung bei Commerzbank Phishing?
Anwaltliche Beratung lohnt sich insbesondere dann, wenn die Commerzbank eine Erstattung abgelehnt hat oder pauschal auf grobe Fahrlässigkeit verweist. Diese Einschätzung ist keine verbindliche Rechtsentscheidung, sondern die Beurteilung einer Vertragspartei mit eigenem Interesse an der Nichtzahlung. Gerichte sehen das in einer Vielzahl von Fällen anders. Ein Anwalt für Bankrecht prüft den konkreten Phishing-Angriff, beurteilt ob die Datenbestätigungs-Masche oder eine andere Variante vorliegt, und bewertet, ob grobe Fahrlässigkeit im jeweiligen Fall rechtlich überhaupt begründbar ist.
Die Kanzlei übernimmt die gesamte Kommunikation mit der Commerzbank, begleitet die Strafanzeige und prüft, ob neben dem Erstattungsanspruch Schadensersatzansprüche wegen unzureichender Transaktionsüberwachung oder Verletzung der Warnpflicht bestehen. Fristen laufen auch dann, wenn die Bank auf Anfragen verzögert oder gar nicht reagiert.
Einen Überblick über alle Betrugsformen mit Bankbezug und die damit verbundenen Erstattungsfragen finden Sie in unserem Beitrag zu Internetbetrug und Erstattungsansprüchen sowie in der allgemeinen Übersicht zum Finanzrecht.
Fazit: Commerzbank Phishing – Wer die Muster kennt, ist geschützt; wer Opfer wird, ist nicht rechtlos
Commerzbank Phishing nutzt das Vertrauen in eine bekannte Marke und den Respekt vor behördlichen Anforderungen, um Kunden zu täuschen. Die Datenbestätigungs-Masche ist deshalb besonders wirksam, weil sie auf echte regulatorische Rahmenbedingungen verweist. Der Schutz dagegen ist einfach: Die Commerzbank fordert niemals per E-Mail oder SMS zur Dateneingabe über einen externen Link auf.
Wer trotzdem Opfer wird, hat nach deutschem Zahlungsdiensterecht starke Rechte. Die gesetzliche Erstattungspflicht der Bank bei nicht autorisierten Zahlungen ist eine belastbare Grundlage. Eine Ablehnung durch die Commerzbank ist nicht das Ende, sondern der Beginn einer rechtlichen Auseinandersetzung, die in vielen Fällen zugunsten des Kunden ausgeht.
Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht
Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit der Commerzbank bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu Commerzbank Phishing
Was ist Commerzbank Phishing und wie läuft es ab?
Commerzbank Phishing bezeichnet Betrugsversuche, bei denen Täter die Kommunikation der Commerzbank imitieren, um Kunden zur Preisgabe ihrer Zugangsdaten zu verleiten. Die aktuell häufigste Variante sind Datenbestätigungs-E-Mails, die einen gesetzlichen Aktualisierungsbedarf vortäuschen. Mit den ergaunerten Zugangsdaten lösen Täter nicht autorisierte Transaktionen aus.
Muss die Commerzbank mir das Geld erstatten?
Grundsätzlich ja. Nach § 675u BGB muss die Bank nicht autorisierte Zahlungsvorgänge unverzüglich erstatten. Die Erstattungspflicht entfällt nur, wenn dem Kunden grobe Fahrlässigkeit nachgewiesen werden kann. Bei professionell ausgeführtem Phishing ist diese Schwelle rechtlich oft nicht erreicht. Gerichte urteilen hier häufig anders als die Bank selbst.
Was ist die photoTAN und wie können Täter sie missbrauchen?
Die photoTAN ist das TAN-Verfahren der Commerzbank: Für jede Transaktion wird über die photoTAN-App ein individueller Code generiert. Täter versuchen, Kunden dazu zu bringen, in der App eine scheinbare Sicherheitsbestätigung durchzuführen, die in Wirklichkeit eine Zahlung autorisiert oder ein Täter-Gerät als TAN-Generator registriert. Eine solche durch Täuschung erschlichene Bestätigung ist rechtlich keine wirksame Autorisierung.
Wie erkenne ich eine gefälschte Commerzbank-E-Mail?
Das wichtigste Merkmal ist jede Aufforderung, über einen externen Link Zugangsdaten einzugeben – die Commerzbank tut das niemals. Zusätzlich weicht die Absenderadresse bei genauer Prüfung von commerzbank.de ab, und die Nachricht enthält Dringlichkeitsformulierungen mit kurzen Fristen. Im Zweifel die Commerzbank-App direkt öffnen und prüfen, ob eine offizielle Meldung vorliegt.
Was soll ich tun, wenn ich bereits auf einen Phishing-Link geklickt habe?
Sperren Sie sofort Ihren Online-Banking-Zugang über den Commerzbank-Kundenservice oder den Sperrnotruf 116 116. Ändern Sie alle Zugangsdaten und überprüfen Sie die registrierten TAN-Geräte in den Kontoeinstellungen. Prüfen Sie Ihre Kontoauszüge auf nicht autorisierte Buchungen und melden Sie diese schriftlich der Commerzbank. Sichern Sie alle Phishing-Nachrichten als Beweismittel und erstatten Sie Strafanzeige.
Was gilt als grobe Fahrlässigkeit beim Commerzbank Phishing?
Grobe Fahrlässigkeit liegt vor, wenn der Kontoinhaber in besonders schwerem Maße gegen die gebotene Sorgfalt verstoßen hat – etwa durch Eingabe von Daten auf einer offensichtlich gefälschten Seite oder durch Bestätigung einer Transaktion trotz ausdrücklicher Warnmeldung der App. Professionell gestaltetes Phishing, das regulatorische Aufforderungen imitiert, erreicht diese Schwelle in vielen Fällen nicht.
Kann ich eine bereits ausgeführte Commerzbank-Überweisung noch stoppen?
Ein Stopp ist nur möglich, solange der Zahlungsauftrag noch nicht final verarbeitet wurde. Kontaktieren Sie die Commerzbank deshalb sofort telefonisch, sobald Sie den Betrug erkennen. Ist die Überweisung bereits gebucht, stehen zivilrechtliche Erstattungsansprüche gegen die Commerzbank im Vordergrund.
Haftet die Commerzbank auch, wenn ich die Geräteregistrierung eines Täter-Geräts versehentlich bestätigt habe?
Unter Umständen ja. Wenn die Bestätigung durch Täuschung über den tatsächlichen Inhalt des Vorgangs erschlichen wurde, ist eine wirksame Autorisierung nicht gegeben. Ob die Commerzbank in diesem Fall haftet, hängt von den konkreten Umständen ab und muss anwaltlich geprüft werden.
Was ist der Unterschied zwischen Commerzbank Phishing und dem Phishing anderer Banken?
Strukturell sind alle Phishing-Maschen ähnlich: gefälschte Nachrichten im Design der jeweiligen Bank, Fake-Login-Seiten, abgegriffene Zugangsdaten. Beim Commerzbank Phishing nutzen Täter bankspezifische Eigenheiten wie die photoTAN und die DSGVO-Datenbestätigungspflicht als Einstieg. Die rechtliche Ausgangslage – insbesondere die Erstattungspflicht der Bank – ist bei allen Banken identisch.
Wann lohnt sich ein Anwalt bei Commerzbank Phishing?
Ein Anwalt lohnt sich insbesondere dann, wenn die Commerzbank eine Erstattung abgelehnt hat oder auf grobe Fahrlässigkeit verweist. Diese Einschätzung ist überprüfbar und wird von Gerichten in vielen Fällen nicht bestätigt. Ein auf Bankrecht spezialisierter Anwalt bewertet den Fall, wahrt alle relevanten Fristen und koordiniert die Kommunikation mit der Bank.