Fake Google-Anzeigen von Banken: Betrug durch Malvertising

Betrüger schalten gesponserte Anzeigen bei Google, die täuschend echte Bank-Login-Seiten imitieren – wer dort seine Daten eingibt, gibt Angreifern direkten Zugriff auf sein Konto.

Sie suchen nach dem Online-Banking Ihrer Bank, klicken auf den ersten Treffer bei Google – und landen auf einer Seite, die genauso aussieht wie das echte Portal, aber eine Fälschung ist. Diese Betrugsmasche, bekannt als Malvertising oder Anzeigen-Phishing, hat sich in den letzten Jahren rasant verbreitet. Betrüger zahlen für gesponserte Google-Anzeigen und leiten ahnungslose Nutzer auf täuschend echte Fake-Login-Seiten um.

Der Schaden entsteht schnell: Wer auf einer Fake Google Anzeige Bank-Seite seine Zugangsdaten eingibt, hat diese direkt an die Täter übermittelt. Die greifen dann auf das echte Konto zu und überweisen das Guthaben. Oft bemerken Betroffene den Angriff erst, wenn das Konto leer ist oder die Bank wegen ungewöhnlicher Transaktionen anruft.

Die rechtliche Kernfrage danach lautet: Muss die Bank das Geld erstatten? Die Antwort hängt davon ab, ob ein grob fahrlässiges Verhalten des Kontoinhabers vorlag. Der BGH hat mit Urteil XI ZR 107/24 vom 22. Juli 2025 entschieden, dass die TAN-Weitergabe an sich keine Autorisierung darstellt – das ist die Grundlage für Erstattungsansprüche nach § 675u BGB. Die Einzelheiten sind entscheidend.

Was ist Malvertising? Wie die Fake-Bank-Anzeige-Masche funktioniert

Malvertising – ein Kunstwort aus Malicious und Advertising – bezeichnet den Missbrauch von Online-Werbenetzwerken für betrügerische Zwecke. Bei der Bank-Variante kaufen Betrüger bei Google Ads gesponserte Platzierungen für Suchanfragen wie Sparkasse Online-Banking oder Commerzbank Login. Die Anzeige erscheint dann ganz oben – noch über dem organischen Suchergebnis der echten Bank.

Die Fake-Seite ist oft bis ins Detail der echten Website nachgebaut: Logo, Farbschema, Schriftart, Formulare – alles stimmt. Nur die URL ist minimal abweichend, etwa durch einen Buchstabendreher oder eine andere Top-Level-Domain. Wer nicht genau hinschaut, merkt den Unterschied nicht. Die gestohlenen Zugangsdaten werden in Echtzeit an die Täter übermittelt, die sich sofort einloggen.

Strafrechtlich steht bei dieser Masche der Computerbetrug nach § 263a StGB im Vordergrund: Die Täter verwenden die erbeuteten Zugangsdaten unbefugt im automatisierten Online-Banking-System der Bank und lösen so die Überweisung aus, ohne dass dabei ein Mensch getäuscht wird. Hinzu kommen regelmäßig das Ausspähen von Daten (§ 202a StGB) und die Fälschung beweiserheblicher Daten (§ 269 StGB). Ein vollendeter Betrug nach § 263 StGB gegenüber dem Opfer lässt sich dagegen oft nicht begründen, weil die bloße Eingabe der Daten auf der Fake-Seite noch keine vermögensmindernde Verfügung darstellt.

Warnsignale: So erkennen Sie eine gefälschte Bank-Login-Seite bei Google

Die beste Schutzmaßnahme ist Erkennung. Wer weiß, wie Malvertising-Anzeigen aufgebaut sind, kann sich davor schützen. Folgende Merkmale sollten Sie bei jedem Bank-Login im Browser prüfen:

• Gesponserte Kennzeichnung: Echte Banken brauchen keine Google-Anzeigen für ihr eigenes Online-Banking. Jeder Treffer mit dem Label Gesponsert über einem Bank-Login sollte Sie misstrauisch machen.
• URL genau prüfen: Schauen Sie in die Adressleiste. Sparkasse.de ist echt – spk-online.de oder sparkassee.de sind Fälschungen. Tippfehler und ungewohnte Endungen wie .net oder .info sind Warnsignale.
• Kein HTTPS oder ungültiges Zertifikat: Jede echte Bank nutzt HTTPS. Fehlt das Schloss-Symbol oder zeigt der Browser eine Warnung, sofort abbrechen.
• Ungewöhnliche Login-Felder: Wenn die Seite nach TAN, PIN und Passwort gleichzeitig fragt – bei der Erstanmeldung – ist das verdächtig.
• Fehlende 2FA-Bestätigung: Echte Banken verlangen nach dem Login oft eine zweite Bestätigung über App oder SMS – nicht vorab.
• Anfragen nach Kontodaten beim Login: Kein seriöses Banking-Portal fragt beim ersten Einloggen nach vollständigen Kontodaten oder Kreditkartennummern.

BGH XI ZR 107/24: Was das Urteil für Phishing-Opfer bedeutet

Der Bundesgerichtshof hat mit Urteil vom 22. Juli 2025 (Az. XI ZR 107/24) eine wichtige Entscheidung zu Phishing-Fällen getroffen. Im konkreten Fall hatte eine Kundin ihre TAN am Folgetag an vermeintliche Bankmitarbeiter weitergegeben, nachdem sie einen gefälschten Anruf erhalten hatte. Das Gericht stellte klar: Die Weitergabe einer TAN stellt keine wirksame Autorisierung im Sinne des Zahlungsdienstrechts dar.

Das bedeutet für Betroffene einer Fake Google Anzeige Bank: Auch hier liegt in der Regel keine wirksame Autorisierung vor, wenn die Zugangsdaten durch Täuschung erschlichen wurden. Der Erstattungsanspruch aus § 675u BGB setzt voraus, dass der Zahlungsvorgang nicht autorisiert war. Darauf berufen können sich Betroffene, die die Täuschung nicht grob fahrlässig ermöglicht haben.

Achtung: Im BGH-Fall verlor die Klägerin dennoch – wegen grober Fahrlässigkeit. Sie hatte die TAN zu einem ungewöhnlichen Zeitpunkt weitergegeben und den Kontext nicht ausreichend hinterfragt. Das zeigt: Zwischen dem Anspruchsgrund (§ 675u BGB) und der Haftungsverteilung nach § 675v BGB liegt ein entscheidender Unterschied. Ob grobe Fahrlässigkeit vorliegt, ist immer eine Einzelfallfrage. Zur Einordnung des EuGH-Urteils zu Phishing gibt es weitergehende Informationen auf dieser Website.

EuGH C-70/25: Schlussanträge zur Bankenpflicht bei Phishing

Am 5. März 2026 hat der Generalanwalt des Europäischen Gerichtshofs seine Schlussanträge in der Sache C-70/25 vorgelegt. Er kommt zu dem Ergebnis, dass Banken bei nicht autorisierten Zahlungsvorgängen grundsätzlich zunächst erstatten müssen – ohne den Nachweis grober Fahrlässigkeit des Kunden abzuwarten. Wichtig: Das sind bislang nur Schlussanträge des Generalanwalts, kein verbindliches Urteil des EuGH.

Folgt der EuGH den Schlussanträgen – was er häufig, aber nicht immer tut – würde das die Rechtslage für Phishing-Opfer in Deutschland deutlich verbessern. Banken wären dann in der Pflicht, zunächst zu erstatten und erst danach einen etwaigen Regressanspruch zu prüfen. Das würde den Weg für Betroffene erheblich vereinfachen. Die Kanzlei Dr. Araujo Kurth verfolgt diese Entwicklung und berät Mandanten entsprechend.

Bis zur endgültigen EuGH-Entscheidung gilt deutsches Recht: § 675u BGB für den Erstattungsanspruch, § 675v BGB für die Haftungsverteilung nach grober Fahrlässigkeit. Die 13-Monats-Ausschlussfrist für die Meldung nicht autorisierter Zahlungen ergibt sich aus § 676b Abs. 2 BGB, nicht aus § 675u BGB, wie häufig fälschlich angenommen wird.

Sofortmaßnahmen nach einer Fake-Login-Seite

Wenn Sie bemerken, dass Sie auf einer gefälschten Bank-Website Ihre Daten eingegeben haben, handeln Sie sofort. Jede Minute zählt.

• Bank sofort anrufen: Lassen Sie Ihr Konto und Ihre Karte sperren. Nutzen Sie dafür die echte Rufnummer der Bank – nie eine Nummer aus einer E-Mail oder von der Fake-Seite.
• Passwort sofort ändern: Loggen Sie sich direkt über die echte Website Ihrer Bank ein (URL manuell eintippen) und ändern Sie alle Zugangsdaten.
• Alle Transaktionen prüfen: Kontrollieren Sie Ihre Kontoauszüge der letzten 24 bis 48 Stunden auf unbekannte Abbuchungen.
• Strafanzeige erstatten: Erstatten Sie Anzeige bei der Polizei. Das Aktenzeichen benötigen Sie für die Auseinandersetzung mit der Bank.
• Vorgänge schriftlich dokumentieren: Screenshot der Fake-URL, Zeitpunkt des Logins, Art und Höhe der abgebuchten Beträge.
• Bank schriftlich informieren: Melden Sie den Vorfall innerhalb der 13-Monats-Frist (§ 676b Abs. 2 BGB) schriftlich an Ihre Bank.

Erstattungsanspruch gegen die Bank: § 675u BGB

Der zentrale Anspruch nach einem Betrug über eine Fake Google Anzeige Bank ist der Erstattungsanspruch aus § 675u BGB. Danach muss das Zahlungsdienstinstitut den Betrag unverzüglich erstatten, wenn ein Zahlungsvorgang nicht autorisiert war. Die Beweislast für die Autorisierung liegt nach § 675w BGB grundsätzlich beim Institut.

Die Bank kann die Erstattung verweigern, wenn sie nachweist, dass der Nutzer grob fahrlässig gehandelt hat. Grobe Fahrlässigkeit liegt vor, wenn jemand die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt. Das BGH-Urteil XI ZR 107/24 zeigt: Gerichte beurteilen das streng. Ein kurzes Augenblicksversagen – etwa das Klicken auf einen glaubwürdigen Google-Treffer – reicht oft nicht für grobe Fahrlässigkeit aus.

Wenn die Bank eine Erstattung ablehnt, sollten Sie nicht klein beigeben. Die Ablehnung muss schriftlich mit Begründung kommen. Liegt keine plausible Begründung vor oder fehlt der Nachweis grober Fahrlässigkeit, ist eine Klage vor dem zuständigen Gericht der nächste Schritt. Viele Banken zahlen nach anwaltlicher Intervention, ohne dass es zur Klage kommt. Zu den Grundlagen des Bankbetrugs und der Bankenhaftung nach BGH finden Sie auf dieser Website weitere Informationen.

Grobe Fahrlässigkeit: Wann verliert man den Erstattungsanspruch?

Grobe Fahrlässigkeit ist der entscheidende Einwand der Banken in Phishing-Fällen. Ob sie vorliegt, hängt von den konkreten Umständen des Einzelfalls ab. Das Klicken auf eine gesponserte Google-Anzeige ist für sich genommen kein grob fahrlässiges Verhalten – solche Anzeigen werden täglich von Millionen Nutzern für legitime Dienste genutzt.

Anders beurteilen Gerichte die Situation, wenn Warnhinweise ignoriert wurden. Wenn der Browser eine HTTPS-Warnung anzeigte, oder wenn die Login-Seite nach ungewöhnlich vielen Daten fragte und der Nutzer trotzdem fortfuhr, kann das als grob fahrlässig gewertet werden. Auch die Weitergabe einer TAN an Dritte – wie im BGH-Fall XI ZR 107/24 – ist ein starkes Indiz für grobe Fahrlässigkeit. Zu den Rechten bei Online-Banking-Betrug und PSD2-Haftung gibt es weitergehende Informationen auf diesen Seiten.

Wenn Ihr Fall rechtlich unklar erscheint, lohnt eine anwaltliche Einzelfallprüfung. Die Grenze zwischen einfacher und grober Fahrlässigkeit ist fließend. Was für eine normale Person noch als Irrtum gilt, kann für einen IT-erfahrenen Nutzer anders bewertet werden. Die konkreten Umstände – Uhrzeit, Anzeigengestaltung, Browserwarnung, eigenes Verhalten danach – sind alle relevant.

Verjährung: 13-Monats-Frist und reguläre Verjährung

Die 13-Monats-Frist aus § 676b Abs. 2 BGB ist eine Ausschlussfrist für die Meldung nicht autorisierter Zahlungsvorgänge gegenüber der Bank. Wer einen unautorisierten Abzug nicht innerhalb von 13 Monaten nach dem Kontoauszugsdatum schriftlich meldet, verliert seinen Erstattungsanspruch. Das ist ein harter Rechtsverlust, kein bloßes Verjährungsproblem.

Für Schadensersatzansprüche nach § 823 BGB gegen Dritte, also die Täter selbst oder Betreiber der Fake-Seite, gilt die dreijährige Regelverjährung nach § 195 BGB. Sie beginnt nach § 199 Abs. 1 BGB mit dem Schluss des Jahres, in dem Sie Kenntnis von Schaden und Schädiger erlangt haben. Da die Täter oft unbekannt sind, läuft die absolute Frist von zehn Jahren.

Handeln Sie also immer zuerst gegenüber Ihrer Bank – innerhalb der 13-Monats-Frist – und dann gegenüber den Tätern. Zu den Verjährungsregeln bei Bankbetrug finden Sie Informationen bei BaFin-Warnungen und Bankenhaftung. Die Kanzlei Dr. Araujo Kurth hilft Ihnen, die Fristen im Blick zu behalten. Zu den spezifischen Phishing-Maschen bei Banken gibt es auf dieser Website weitere Beispiele.

Wann Sie jetzt einen Anwalt einschalten sollten

Wenn Ihre Bank die Erstattung nach einem Phishing-Angriff über eine Fake Google Anzeige Bank ablehnt, ist anwaltliche Unterstützung der nächste logische Schritt. Banken berufen sich standardmäßig auf grobe Fahrlässigkeit, ohne die Umstände genau zu prüfen. Ein Anwalt kann die Ablehnung analysieren, Gegengründe formulieren und die Bank zur ernsthaften Auseinandersetzung zwingen.

Die Kanzlei Dr. Araujo Kurth ist auf Bank- und Kapitalmarktrecht spezialisiert und kennt die Argumentationslinien der Banken in Phishing-Fällen aus der Praxis. Wir analysieren Ihren Fall, prüfen, ob grobe Fahrlässigkeit tatsächlich vorlag, und setzen Ihren Erstattungsanspruch durch – außergerichtlich oder vor Gericht. Informationen zu den Rechten bei Account Takeover im Banking finden Sie auf diesen Seiten.

Warten Sie nicht, bis die 13-Monats-Frist abgelaufen ist. Melden Sie den Vorfall zuerst der Bank und schalten Sie dann parallel anwaltliche Unterstützung ein. Je früher Sie handeln, desto besser sind Ihre Chancen auf Erstattung. Kontaktieren Sie uns für eine erste kostenlose Einschätzung Ihrer Situation. Zu den grundlegenden Rechten bei gestohlenen Bankdaten gibt es auf dieser Website vertiefende Informationen.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu Fake Google Anzeige Bank