ING Phishing: SMS-Betrug und rechtliche Hilfe für Betroffene
Gefälschte ING-Nachrichten, gestohlene Zugangsdaten, leergeräumte Konten – und warum die Bank in vielen Fällen erstatten muss
Eine SMS, die das ING-Logo suggeriert, eine dringende Aufforderung zur Kontobestätigung, ein Link, der auf eine täuschend echte Loginseite führt – wer darauf klickt, übergibt Betrügern in wenigen Sekunden die Kontrolle über sein Konto. ING Phishing ist eine der am häufigsten gemeldeten Betrugsmaschen bei deutschen Direktbanken. Anders als bei Filialbanken fehlt der direkte persönliche Kontakt, den viele Kunden als Schutz erleben. Das macht die Kunden der ING zu einem attraktiven Ziel – und die Frage der Bankenhaftung zu einem besonders relevanten Thema.
Wurde nach einer gefälschten ING-Nachricht Geld von Ihrem Konto abgebucht? Unsere Kanzlei prüft, ob die ING zur Erstattung verpflichtet ist, und setzt Ihre Ansprüche durch. Nehmen Sie jetzt Kontakt auf.
ING Phishing 2026: Aktuelle Betrugsmaschen im Überblick
Phishing im Namen der ING tritt in mehreren Varianten auf. Das verbindende Element ist stets die Imitation offizieller Bankenkommunikation, kombiniert mit einer künstlichen Dringlichkeit, die Kunden zu schnellem Handeln verleitet.
Phishing-SMS mit Verifizierungslink – Kunden erhalten eine Kurznachricht, die vorgibt, von der ING zu stammen, und auf eine angeblich blockierte Funktion, eine gesetzlich vorgeschriebene Aktualisierung oder eine unbekannte Transaktion hinweist. Der enthaltene Link führt auf eine gefälschte ING-Loginseite, auf der Zugangsdaten und TAN-Codes abgegriffen werden.
Phishing-E-Mails im ING-Design – Im Gegensatz zu früheren, oft sprachlich unsauberen Phishing-Mails sind aktuelle E-Mails optisch kaum von offiziellen ING-Nachrichten zu unterscheiden. Sie fordern zur Aktualisierung der Zahlungsdaten, zur Bestätigung einer neuen Geräteregistrierung oder zur Verifizierung einer angeblich verdächtigen Transaktion auf.
Vishing per Telefon – Täter rufen im Namen des ING-Sicherheitsteams an und behaupten, eine verdächtige Abbuchung sei aufgefallen. Zur Sicherung des Kontos soll der Angerufene eine TAN nennen oder eine Transaktion in der Banking-App bestätigen. Die ING fragt in keinem ihrer echten Prozesse telefonisch nach TAN-Codes.
Push-TAN-Manipulation über die ING-App – Kunden werden aufgefordert, in der offiziellen ING-App eine Transaktion zu bestätigen, die als Sicherheitsprozess dargestellt wird. In Wirklichkeit autorisieren sie damit eine Zahlung an ein Betrügerkonto. Dieser Angriff ist besonders wirkungsvoll, weil er die vom Kunden bereits als sicher empfundene App instrumentalisiert.
ING Phishing ähnelt strukturell den Maschen, die auch bei Sparkasse und Volksbank eingesetzt werden. Ein allgemeiner Überblick über bankenspezifisches Phishing und die damit verbundenen Erstattungsfragen findet sich in unserem Beitrag zu Sparkasse Phishing sowie zu Volksbank Phishing.
ING Phishing erkennen: Diese Merkmale verraten die Fälschung
Auch professionell gefälschte ING-Nachrichten haben charakteristische Schwachstellen, die bei genauerer Betrachtung erkennbar sind.
Das wichtigste Signal ist die Aufforderung, über einen Link personenbezogene Daten oder Zugangsinformationen einzugeben. Die ING fordert ihre Kunden in keinem echten Prozess per SMS oder E-Mail auf, PIN, TAN oder Passwort über einen Link einzugeben. Diese Regel gilt ausnahmslos. Wer eine solche Aufforderung erhält, kann sicher davon ausgehen, dass es sich um einen Betrugsversuch handelt.
Darüber hinaus weicht die Absenderadresse bei genauerer Prüfung von der offiziellen ING-Domain ab. Bei SMS kann die Absendernummer gefälscht oder unbekannt sein – ein Merkmal, das viele Nutzer übersehen, weil Smartphones manchmal gefälschte Nachrichten in denselben Thread einsortieren wie echte Bank-SMS. Die im Link enthaltene URL sollte deshalb immer per Mouseover oder durch manuelles Überprüfen kontrolliert werden, bevor man klickt.
Dringlichkeitsformulierungen sind ein weiteres verlässliches Merkmal. Phrasen wie „Ihr Konto wird in 24 Stunden gesperrt“ oder „Sofortiger Handlungsbedarf“ sind darauf ausgelegt, den Empfänger unter Druck zu setzen und kritisches Denken auszuschalten. Echte Banken kommunizieren keine Kontoschließungen per SMS mit einem Zeitfenster von 24 Stunden.
Im Zweifelsfall ist die sicherste Reaktion, den enthaltenen Link nicht zu öffnen und stattdessen direkt über die offizielle ING-App oder die bekannte Website zu prüfen, ob tatsächlich eine Mitteilung vorliegt.
Was nach einem ING-Phishing-Angriff sofort zu tun ist
Wer erkennt, dass er auf eine gefälschte ING-Nachricht hereingefallen ist oder dass unberechtigte Buchungen stattgefunden haben, sollte sofort und strukturiert handeln.
Der erste Schritt ist die telefonische Kontaktaufnahme mit der ING. Das Konto muss umgehend gesperrt werden, um weitere Abflüsse zu verhindern. Der ING-Kundenservice ist rund um die Uhr erreichbar. Parallel kann über den bundesweiten Sperrnotruf 116 116 eine Kartensperre veranlasst werden. Wenn eine Überweisung noch nicht final gebucht ist, besteht in einem engen Zeitfenster die Möglichkeit eines Stopps – näheres dazu in unserem Beitrag zu Überweisungen zurückfordern.
Im zweiten Schritt müssen alle Zugangsdaten geändert werden. Das gilt für PIN, Passwort und die Zwei-Faktor-Authentifizierung. Diese Änderung sollte ausschließlich über die offizielle ING-App oder -Website erfolgen, niemals über Links aus der Phishing-Nachricht.
Alle Beweismittel sollten gesichert werden, bevor Nachrichten gelöscht oder Nummern blockiert werden. Dazu gehören Screenshots der Phishing-SMS oder -E-Mail mit sichtbarem Absender und Link, Kontoauszüge mit den nicht autorisierten Buchungen sowie Notizen über den genauen Ablauf. Diese Unterlagen sind die Grundlage für die Strafanzeige und für eventuelle Erstattungsansprüche gegen die Bank.
Anschließend sollte eine Strafanzeige bei der örtlichen Polizei oder über die Online-Wache des Landeskriminalamts erstattet werden. Das Aktenzeichen wird für alle weiteren Schritte benötigt. Gegenüber der ING sollte schriftlich festgehalten werden, welche Transaktionen nicht autorisiert wurden und wann der Betrug erkannt wurde.
ING Phishing und Bankenhaftung: Wann muss die ING erstatten?
Die rechtlich entscheidende Frage nach einem Phishing-Angriff lautet, ob die ING verpflichtet ist, den entstandenen Schaden zu ersetzen. Die Antwort hängt davon ab, wie der Zahlungsvorgang rechtlich einzuordnen ist.
Nach § 675u BGB ist ein Kreditinstitut verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten. Ein Zahlungsvorgang gilt als nicht autorisiert, wenn der Kontoinhaber keine wirksame Zustimmung erteilt hat. Wer durch eine gefälschte ING-Website oder eine manipulierte TAN-Abfrage getäuscht wurde und dabei Zugangsdaten preisgegeben hat, hat keine wirksame Autorisierung der späteren Transaktionen erteilt – selbst wenn er technisch auf der gefälschten Seite etwas bestätigt hat.
Die ING kann die Erstattung verweigern oder kürzen, wenn sie dem Kunden grobe Fahrlässigkeit nachweist (§ 675v BGB). Grob fahrlässig handelt, wer offensichtlich gefälschte Seiten nutzt, ausdrückliche Warnmeldungen der Banking-App ignoriert oder Zugangsdaten telefonisch an Dritte weitergibt. Was konkret als grob fahrlässig gilt, entscheiden jedoch Gerichte – nicht die Bank selbst. In der Praxis haben Landgerichte die Fahrlässigkeitsschwelle regelmäßig höher angesetzt als die Banken, was bedeutet, dass viele Ablehnungen durch die ING rechtlich überprüfbar sind.
Bankenseitig wird in Phishing-Fällen häufig pauschal auf Fahrlässigkeit des Kunden verwiesen, ohne den konkreten Sachverhalt zu würdigen. Diese Praxis ist rechtlich angreifbar. Wer auf eine täuschend echt gestaltete Phishing-Seite hereingefällt ist, handelt typischerweise nicht grob fahrlässig. Professionell ausgeführtes Phishing ist auf genau diesen Irrtum ausgelegt.
Damit sind Sie nicht allein. Als erfahrene Anwälte im Bank- und Kapitalmarktrecht prüfen wir, ob die ING zur Erstattung verpflichtet ist, und setzen Ihre Ansprüche durch. Ausführliche Informationen zu Erstattungsansprüchen bei Internetbetrug und Bankenhaftung finden Sie in einem eigenen Beitrag.
Besonderheiten bei der ING als Direktbank: Warum das Online-Banking-Modell die Rechtslage beeinflusst
Die ING ist eine reine Direktbank – sämtliche Bankgeschäfte werden online abgewickelt. Das hat rechtliche Konsequenzen für die Haftungsfrage, die häufig übersehen werden.
Da die ING keinerlei Filialstruktur betreibt und sämtliche Prozesse ausschließlich über digitale Kanäle laufen, ist das Risiko, dass Kunden auf Phishing-Angriffe hereinfallen, strukturell höher als bei Banken mit Filialberatung. Die ING ist sich dieses Risikos bewusst und hat entsprechende Sicherheitssysteme implementiert – darunter Transaktionsüberwachung, automatische Betrugserkennungssysteme und Echtzeitwarnungen. Wenn diese Systeme versagen oder Warnungen nicht ausgelöst werden, die bei einem auffälligen Transaktionsmuster hätten erfolgen müssen, kann das die Haftungsposition der Bank verschlechtern.
Zusätzlich gilt: Die ING kommuniziert offiziell ausschließlich über gesicherte Kanäle in der App und über das Online-Banking-Postfach. SMS-Nachrichten mit Links entsprechen nicht dem offiziellen Kommunikationsstandard der ING. Dieser Umstand kann im Streitfall relevant werden, wenn die Bank argumentiert, der Kunde hätte die SMS als Fälschung erkennen müssen – denn eine solche Argumentation verkennt, dass gefälschte SMS optisch kaum von echten zu unterscheiden sind.
ING Phishing und Kryptowährungen: Eine zunehmend relevante Kombination
In einem wachsenden Anteil der Fälle wird das über ING-Phishing erbeutete Geld nicht auf klassische Bankkonten transferiert, sondern unmittelbar in Kryptowährungen umgewandelt. Täter nutzen die gestohlenen Bankzugangsdaten, um Soforttransaktionen auf Kryptobörsen oder über Kryptoautomaten auszulösen. Das macht die Rückverfolgung deutlich schwieriger – schließt sie aber nicht aus. Spezialisierte IT-Forensiker können über sogenanntes Blockchain-Tracing Transaktionswege nachverfolgen. Falls Empfänger-Wallets bei regulierten Börsen identifiziert werden, können Sperranträge gestellt werden. Mehr zu diesem Ansatz finden Sie in unserem Beitrag zu Krypto-Betrug und rechtlichen Maßnahmen.
Gerade in diesen Fällen ist frühzeitiges anwaltliches Handeln entscheidend. Je schneller Sperranträge bei den betreffenden Börsen gestellt werden, desto höher ist die Wahrscheinlichkeit, dass Vermögenswerte noch vorhanden und blockierbar sind.
Wann lohnt sich anwaltliche Beratung bei ING Phishing?
Anwaltliche Beratung lohnt sich in nahezu jedem Fall – vor allem dann, wenn die ING eine Erstattung abgelehnt hat oder auf grobe Fahrlässigkeit des Kunden verweist. Diese Ablehnung ist kein rechtskräftiger Bescheid, sondern die Einschätzung einer Vertragspartei, die ein eigenes Interesse an der Nichtzahlung hat. Gerichte urteilen häufig anders. Ein Anwalt für Bankrecht prüft den konkreten Phishing-Angriff, bewertet, ob die ING Sicherheitspflichten verletzt hat, und beurteilt, ob der Tatbestand der groben Fahrlässigkeit im jeweiligen Fall überhaupt erfüllt ist.
Die Kanzlei übernimmt die Kommunikation mit der ING, begleitet die Strafanzeige und klärt, ob neben dem Erstattungsanspruch weitere Schadensersatzansprüche bestehen – etwa wegen unzureichender Transaktionsüberwachung. Handeln Sie zeitnah: Die relevanten Fristen laufen auch dann, wenn Sie noch auf eine Reaktion der Bank warten.
Einen Überblick über alle Formen von Online-Betrug mit Bankbezug finden Sie in unserem Beitrag zum Thema Anwalt für Finanzbetrug.
Fazit: ING Phishing – Bankenhaftung ist häufiger durchsetzbar als Betroffene vermuten
ING Phishing ist keine neue Erscheinung, aber sie entwickelt sich technisch und taktisch kontinuierlich weiter. Gefälschte SMS, manipulierte TAN-Abfragen und professionell gestaltete Fake-Loginseiten machen es auch technisch versierten Nutzern schwer, die Täuschung rechtzeitig zu erkennen.
Das deutsche Zahlungsdiensterecht stellt Betroffene dabei nicht schutzlos: Die gesetzliche Erstattungspflicht der Bank bei nicht autorisierten Zahlungen ist eine starke rechtliche Grundlage. Ob die ING sie im konkreten Fall umgehen kann, hängt von der Beurteilung der groben Fahrlässigkeit ab – und diese Beurteilung liegt letztlich nicht bei der Bank, sondern bei einem Gericht. Wer schnell handelt, Beweise sichert und anwaltliche Unterstützung in Anspruch nimmt, hat reale Chancen auf vollständige Erstattung.
Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht
Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit der Bank bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu ING Phishing
Was ist ING Phishing und wie läuft es ab?
ING Phishing bezeichnet Betrugsversuche, bei denen Täter die Kommunikation der ING imitieren, um Kunden zur Preisgabe ihrer Online-Banking-Zugangsdaten zu verleiten. Das geschieht über gefälschte SMS, E-Mails oder Telefonanrufe. Mit den erbeuteten Daten verschaffen sich die Täter Zugriff auf das Konto und lösen Transaktionen aus, die der Kontoinhaber nicht autorisiert hat.
Muss die ING mir das Geld erstatten, wenn ich Opfer von Phishing geworden bin?
Grundsätzlich ja. Nach § 675u BGB muss die Bank nicht autorisierte Zahlungsvorgänge unverzüglich erstatten. Die Erstattungspflicht entfällt nur, wenn dem Kunden grobe Fahrlässigkeit nachgewiesen werden kann. Ob das im konkreten Fall zutrifft, ist eine Rechtsfrage, die nicht die Bank, sondern letztlich ein Gericht beantwortet.
Was gilt bei der ING als grobe Fahrlässigkeit?
Grobe Fahrlässigkeit liegt vor, wenn der Kontoinhaber die im Zahlungsverkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat – etwa indem er PIN oder TAN auf einer offensichtlich gefälschten Seite eingegeben oder trotz ausdrücklicher Warnmeldung in der App eine verdächtige Transaktion bestätigt hat. Professionell ausgeführtes Phishing überschreitet diese Schwelle in vielen Fällen nicht. Gerichte urteilen hier regelmäßig differenzierter als die Bank selbst.
Wie erkenne ich eine gefälschte ING-SMS?
Gefälschte ING-SMS enthalten typischerweise einen Link, der nicht auf die offizielle ING-Domain führt, eine Dringlichkeitsformulierung und eine Aufforderung, personenbezogene Daten einzugeben. Die echte ING sendet keine SMS mit der Aufforderung, über einen Link PIN, TAN oder Passwort einzugeben. Wenn eine solche Nachricht eingeht, sollte kein Link geöffnet und direkt die ING-App genutzt werden, um zu prüfen, ob tatsächlich eine Meldung vorliegt.
Was soll ich tun, wenn ich bereits auf einen Phishing-Link geklickt habe?
Sperren Sie sofort Ihr Online-Banking über den ING-Kundenservice oder den Sperrnotruf 116 116. Ändern Sie alle Zugangsdaten ausschließlich über die offizielle App oder Website. Prüfen Sie Ihre Kontoauszüge auf nicht autorisierte Buchungen und melden Sie diese der ING schriftlich. Sichern Sie alle Phishing-Nachrichten als Beweismittel und erstatten Sie Strafanzeige bei der Polizei.
Kann ich eine Überweisung nach einem ING-Phishing-Angriff noch stoppen?
Ein Stopp ist nur in einem engen Zeitfenster möglich, bevor die Bank den Zahlungsauftrag final verarbeitet hat. Kontaktieren Sie die ING deshalb sofort telefonisch, wenn Sie den Betrug erkennen. Ist die Überweisung bereits gebucht, stehen zivilrechtliche Erstattungsansprüche gegen die ING im Vordergrund.
Was passiert, wenn das Geld in Kryptowährungen umgewandelt wurde?
Kryptotransaktionen sind auf der Blockchain öffentlich nachvollziehbar. Spezialisierte IT-Forensiker können die Transaktionswege verfolgen und – wenn Empfänger-Wallets bei regulierten Börsen identifiziert werden – Sperranträge stellen. Die Erfolgschancen hängen davon ab, wie schnell die Masche erkannt und gehandelt wird.
Haftet die ING auch, wenn ich selbst auf eine gefälschte Website geklickt habe?
Ja, unter Umständen. Wenn die Phishing-Seite professionell gestaltet war und eine Verwechslung mit der echten ING-Website für einen durchschnittlichen Nutzer nicht offensichtlich war, fehlt es an grober Fahrlässigkeit. Zusätzlich kann relevant sein, ob die ING ihre Transaktionsüberwachungspflichten erfüllt hat. Ob eine Haftung im konkreten Fall besteht, muss anwaltlich geprüft werden.
Was ist der Unterschied zwischen ING Phishing und herkömmlichem Phishing?
ING Phishing nutzt gezielt das Vertrauen der Kunden in die bekannte Marke der ING und passt Inhalte, Design und Absender an die spezifische Kommunikation dieser Bank an. Struktur und Ziele sind bei Phishing gegen alle Banken identisch: Zugangsdaten stehlen, Konto plündern. Die bankspezifische Aufmachung macht ING-Phishing für ING-Kunden besonders glaubwürdig und damit gefährlich.
Wann lohnt sich ein Anwalt bei ING Phishing?
Ein Anwalt lohnt sich insbesondere dann, wenn die ING die Erstattung abgelehnt hat oder auf grobe Fahrlässigkeit verweist. Diese Einschätzung der Bank ist rechtlich überprüfbar und wird von Gerichten in vielen Fällen nicht bestätigt. Ein auf Bankrecht spezialisierter Anwalt bewertet den Fall, wahrt Fristen und koordiniert die Kommunikation mit der Bank.