Vishing Telefonbetrug Bank: Wenn Betrüger als Bankmitarbeiter anrufen
Caller-ID-Spoofing, gestohlene Kontodaten, erschlichene TAN-Codes – wie Vishing funktioniert, wann die Bank haftet und wie Betroffene vorgehen
Das Telefon klingelt, die angezeigte Nummer gehört tatsächlich der Bank, der Anrufer nennt korrekte Kontonummer und Adresse und berichtet von einer verdächtigen Transaktion, die sofort gestoppt werden müsse. Wer jetzt einen TAN-Code nennt oder eine Überweisung in der App bestätigt, hat in einer Falle getappt, die von echten Bankanrufen kaum zu unterscheiden ist. Vishing – Voice Phishing – ist die telefonische Variante des Kontobetrugs und eine der am schnellsten wachsenden Angriffsformen im deutschen Bankbereich. Die rechtlichen Möglichkeiten der Betroffenen sind dabei stärker als viele nach dem Angriff vermuten.
Wurden durch einen Vishing-Anruf Transaktionen von Ihrem Konto ausgelöst, die Sie nicht autorisiert haben? Unsere Kanzlei prüft, ob Ihre Bank zur Erstattung verpflichtet ist. Nehmen Sie jetzt Kontakt auf.
Was ist Vishing und wie unterscheidet es sich von klassischem Phishing?
Vishing steht für Voice Phishing – eine Betrugsform, bei der Täter per Telefon Vertrauen erschleichen, anstatt über gefälschte Websites oder E-Mails zu agieren. Der Kanal ist ein anderer, das Prinzip ist identisch: Täuschung über die Identität, Erzeugung von Dringlichkeit und Erschleichen von Daten oder Handlungen, die zu einem finanziellen Schaden führen.
Der entscheidende Unterschied zu E-Mail-Phishing ist die psychologische Unmittelbarkeit. Ein Telefongespräch in Echtzeit mit einer Person, die sich als Bankmitarbeiter ausgibt, korrekte Kontodaten nennt und professionell agiert, erzeugt ein Maß an Authentizität, das gefälschte E-Mails selten erreichen. Wer unter Druck steht und in Sekundenschnelle entscheiden muss, prüft weniger kritisch als bei einer E-Mail, die man in Ruhe analysieren könnte.
Täter bereiten Vishing-Angriffe sorgfältig vor. Sie beschaffen zunächst Basisdaten des Opfers – Name, Adresse, Kontonummer, IBAN, manchmal sogar letzte Transaktionen – aus Datenlecks, Phishing-Angriffen oder aus öffentlich einsehbaren Quellen. Diese Daten ermöglichen eine Überzeugungswirkung, die ohne sie nicht erreichbar wäre: Wer schon weiß, welche letzte Transaktion auf dem Konto stattgefunden hat, wird als legitimer Bankmitarbeiter wahrgenommen.
Caller-ID-Spoofing: Warum die angezeigte Nummer echt wirkt
Das technische Herzstück des Vishing-Angriffs ist Caller-ID-Spoofing – die Fälschung der angezeigten Anrufernummer. Mit gängiger und günstiger VoIP-Technologie können Täter jeden beliebigen Nummernstring als Absenderkennung setzen. Das bedeutet: Auf dem Display erscheint die offizielle Nummer der Deutschen Bank, der Sparkasse oder der ING – und diese Anzeige ist gefälscht.
Für das Opfer ist diese Fälschung mit einfachen Mitteln nicht erkennbar. Die Nummer im Display wurde nicht manuell eingegeben – sie erscheint automatisch durch das Telefonnetz. Ein Rückruf auf diese Nummer würde tatsächlich bei der echten Bank landen, was die Glaubwürdigkeit des ursprünglichen Anrufs weiter zu bestätigen scheint. Täter nutzen diesen Effekt gezielt, indem sie das Opfer im Gespräch darauf hinweisen, dass es die Nummer überprüfen könne.
Für die rechtliche Bewertung des Vishing-Angriffs ist Caller-ID-Spoofing bedeutsam: Es zeigt, dass die Täuschung professionell und mit technischen Mitteln durchgeführt wurde, die für einen durchschnittlichen Nutzer nicht erkennbar waren. Das ist ein starkes Argument dafür, dass grobe Fahrlässigkeit des Opfers nicht vorliegt.
Der typische Ablauf eines Vishing-Angriffs auf Bankkunden
Vishing-Angriffe auf Bankkunden folgen einem strukturierten Drehbuch, das in der Praxis immer ähnlich abläuft und für das Ablaufmuster besonders charakteristisch ist: je mehr Stress, desto schneller handeln Opfer ohne kritische Reflexion.
Schritt 1 – Erstanruf mit Dringlichkeitsszenario: Der angebliche Bankmitarbeiter teilt mit, dass verdächtige Transaktionen auf dem Konto festgestellt wurden – häufig konkret: eine Auslandsüberweisung in hoher Höhe oder ein unbekannter Login-Versuch. Um das Konto zu schützen, sei sofortiges Handeln erforderlich. Die Nennung korrekt erscheinender Kontodaten stärkt den Eindruck der Legitimität.
Schritt 2 – Anforderung von TAN-Code oder Bestätigung: Das Opfer wird gebeten, einen soeben über SMS oder Banking-App empfangenen TAN-Code zu nennen – angeblich zur Verifizierung der Identität oder zur Sperrung der verdächtigen Transaktion. In Wirklichkeit nutzen Täter den Code, um selbst eine Transaktion auszulösen oder die Zwei-Faktor-Authentifizierung zu umgehen. Eine Variante bittet das Opfer direkt, in seiner Banking-App eine Transaktion zu bestätigen, die angeblich der Sicherung des Kontos dient.
Schritt 3 – Weiterer Datenzugriff oder Folgeanrufe: Wenn das Opfer kooperiert, nutzen Täter die gewonnene Zeit für weitere Transaktionen oder Datenänderungen im Online-Banking. Manchmal folgt ein zweiter Anruf eines angeblichen „Sicherheitsspezialisten“, der die Situation vertieft und weiteres Handeln veranlasst. Ziel ist es, den Schaden zu maximieren, bevor das Opfer Verdacht schöpft.
Die Grenze zwischen Vishing und klassischem Phishing ist flüssig: Viele Vishing-Angriffe sind mit einem vorgelagerten Phishing-Angriff kombiniert, über den die Basisdaten beschafft wurden. Informationen dazu, was nach einem Phishing-Angriff zu tun ist, finden Sie in unserem Beitrag Auf Phishing reingefallen: Was tun?.
Haftung der Bank nach einem Vishing-Angriff
Die zentrale Erstattungsgrundlage nach einem Vishing-Angriff ist § 675u BGB. Die Bank ist verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten. Die entscheidende Frage ist, ob eine durch einen Vishing-Anruf erschlichene TAN-Eingabe oder App-Bestätigung eine wirksame Autorisierung der Zahlung darstellt.
Die Rechtsprechung hat sich in dieser Frage überwiegend zugunsten der Kunden positioniert: Eine Autorisierung ist nur wirksam, wenn sie auf dem freien Willen des Kontoinhabers beruht und dieser über den tatsächlichen Inhalt der Transaktion im Bilde war. Wer glaubt, eine Sicherungsmaßnahme zu bestätigen, und in Wirklichkeit eine Auslandsüberweisung freigibt, hat über den wesentlichen Inhalt der Transaktion getäuscht worden. Eine solche Täuschung macht die Autorisierung anfechtbar – und die Transaktion gilt als nicht autorisiert.
Grobe Fahrlässigkeit, die nach § 675v BGB die Erstattungspflicht ausschließen oder kürzen kann, ist bei professionell ausgeführtem Vishing mit Caller-ID-Spoofing und korrekten Kontodaten besonders schwer nachzuweisen. Gerichte haben in mehreren Entscheidungen festgestellt, dass ein durchschnittlicher Bankkunde nicht grob fahrlässig handelt, wenn er einem Anruf von scheinbar der echten Banknummer mit korrekten Kontodaten vertraut. Der Maßstab ist der typische, nicht der besonders vorsichtige Bankkunde.
Die Beweislast liegt bei der Bank. Sie muss nachweisen, dass die Zahlung korrekt authentifiziert wurde und dass grobe Fahrlässigkeit des Kunden vorliegt. Eine pauschale Ablehnung mit Verweis auf eine angebliche Fahrlässigkeit ohne konkrete Begründung genügt dieser Anforderung nicht.
Warnpflicht der Bank: Was die Bank hätte tun müssen
Neben der Erstattungspflicht für nicht autorisierte Zahlungen gibt es eine eigenständige Haftungsgrundlage: die Verletzung der bankvertraglichen Warnpflicht. Banken sind nach der Rechtsprechung verpflichtet, ihre Kunden aktiv vor bekannten Betrugsmaschen zu warnen, wenn sie Kenntnis von einer konkret betriebenen Angriffsform haben.
Wenn eine Bank weiß, dass Vishing-Angriffe mit Caller-ID-Spoofing aktiv gegen ihre Kunden eingesetzt werden – was Banken durch interne Schadensmeldungen und Behördenberichte regelmäßig wissen –, hätte sie ihre Kunden proaktiv informieren müssen. Eine Bank, die keine Warnmeldungen über eine aktiv betriebene Vishing-Variante ausgegeben hat, verletzt diese Schutzpflicht. Darüber hinaus muss eine Bank Transaktionsmuster überwachen: Eine plötzliche hohe Auslandsüberweisung von einem Konto, das solche Transaktionen bisher nicht getätigt hat, hätte eine Rückfrage oder einen Stopp auslösen müssen.
Zu der Frage, wann Banken wegen unzureichender Prävention und Warnpflichtverletzung haften, finden Sie einen Überblick in unserem Beitrag zu Internetbetrug und Bankenhaftung. Wenn das Konto nach dem Vishing-Angriff leer war, informiert unser Beitrag Konto leergeräumt – wer haftet? über alle Haftungsansätze.
Sofortmaßnahmen nach einem Vishing-Angriff
Wer erkennt, Opfer eines Vishing-Angriffs geworden zu sein, muss sofort und geordnet handeln. Die Reihenfolge ist dabei entscheidend.
- Der erste Schritt ist die sofortige Sperrung des Kontos und aller verbundenen Zahlungsmittel. Der bundesweite Sperrnotruf 116 116 gilt für alle deutschen Banken. Zusätzlich sollte der Kundenservice der Bank direkt angerufen werden – aber über die offizielle Nummer, die auf der Bankwebsite steht oder auf der Rückseite der Karte aufgedruckt ist, niemals durch Rückruf auf die im Vishing-Anruf angezeigte Nummer.
- Der zweite Schritt ist der sofortige Antrag auf Transaktionsstopp. Wenn die Zahlung noch nicht endgültig gebucht ist, besteht ein enges Zeitfenster für einen Rückruf. Details zu diesem Verfahren finden Sie in unserem Beitrag zu Überweisungen zurückfordern.
- Der dritte Schritt ist die vollständige Beweissicherung: Anrufprotokoll mit Datum, Uhrzeit und angezeigter Nummer; Kontoauszüge mit den nicht autorisierten Transaktionen; alle geänderten Kontaktdaten im Online-Banking-Portal falls Täter Datenänderungen vorgenommen haben; sowie eine schriftliche Schilderung des Gesprächsablaufs mit möglichst konkreten Details über die genannten Kontonamen, Nummern und Begründungen. Diese Dokumentation ist die Grundlage für alle rechtlichen Schritte.
- Der vierte Schritt ist die Strafanzeige bei der Polizei oder über die Online-Wache des zuständigen Landeskriminalamts. Das Aktenzeichen belegt den Betrug gegenüber der Bank und stärkt den Erstattungsanspruch.
Vishing und § 675u BGB: Wie Betroffene ihre Ansprüche durchsetzen
Die konkrete Durchsetzung des Erstattungsanspruchs nach einem Vishing-Angriff erfordert eine präzise schriftliche Geltendmachung gegenüber der Bank. Ein formloses „Ich wurde betrogen“ genügt nicht; die Bank braucht eine rechtlich fundierte Darstellung, die den Anspruch schlüssig darlegt.
Das Schreiben sollte den genauen Ablauf des Anrufangriffs beschreiben – Zeitpunkt, angezeigte Nummer, Inhalt des Gesprächs, was genau mitgeteilt wurde und weshalb das nicht erkennbar war –, die konkret ausgelösten Transaktionen bezeichnen, erklären, warum keine wirksame Autorisierung vorlag, und eine klare Frist für die Erstattung setzen. Wenn die Bank nicht innerhalb der gesetzten Frist antwortet oder eine pauschale Ablehnung liefert, sind anwaltliche Schritte der nächste sinnvolle Schritt.
In der Erfahrung der Praxis reagieren Banken auf qualifizierte anwaltliche Schreiben mit konkreten rechtlichen Argumenten häufig anders als auf Kundenbeschwerdeschreiben. Eine pauschale Ablehnung, die einer detaillierten rechtlichen Stellungnahme gegenübersteht, hält einer gerichtlichen Prüfung in vielen Fällen nicht stand.
Wann lohnt sich anwaltliche Beratung nach einem Vishing-Angriff?
Anwaltliche Beratung lohnt sich nach einem Vishing-Angriff in nahezu jedem Fall, in dem die Bank eine Erstattung verweigert oder hinauszögert. Ein Anwalt für Bank- und Kapitalmarktrecht bewertet die Autorisierungsfrage anhand des konkreten Gesprächsablaufs, prüft die Beweislastverteilung und beurteilt, ob zusätzlich eine Warnpflichtverletzung oder eine versagte Transaktionsüberwachung der Bank vorliegt.
Besonders wichtig ist die frühzeitige Einleitung: Verjährungsfristen für Erstattungsansprüche laufen auch dann, wenn die Bank noch keine Entscheidung mitgeteilt hat. Wer wartet, riskiert das Verstreichen einer Frist, die einen begründeten Anspruch endgültig ausschließt.
Einen allgemeinen Überblick über unsere Leistungen bei Betrug im Online-Banking-Bereich bietet unsere Seite zur umfassenden Beratung bei Online-Banking-Betrug. Informationen über die Rechtslage bei gehackten Konten finden Sie zusätzlich in unserem Beitrag Online Banking gehackt: Was tun?.
Fazit: Vishing Betrug Bank – professionelle Täuschung, starke Erstattungsrechte
Vishing ist deshalb so gefährlich, weil es die Sicherheitsintuition des Opfers gegen sich verwendet: Der Anruf wirkt, als ob die Bank selbst Schutz bietet. Caller-ID-Spoofing und korrekte Kontodaten machen die Täuschung für durchschnittliche Bankkunden nicht erkennbar. Das ist rechtlich relevant – denn grobe Fahrlässigkeit setzt voraus, dass die Täuschung offensichtlich hätte erkannt werden müssen.
Wer die richtigen Schritte einleitet, Beweise sichert und anwaltliche Unterstützung in Anspruch nimmt, hat realistische Chancen auf vollständige Erstattung. Die Entscheidung der Bank ist kein Urteil.
Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht
Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit der Bank bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu Vishing Betrug Bank
Was ist Vishing und wie unterscheidet es sich von Phishing?
Vishing – Voice Phishing – bezeichnet Telefonbetrug, bei dem Täter per Anruf Vertrauen erschleichen und zur Preisgabe von Daten oder zur Freigabe von Transaktionen verleiten. Im Unterschied zu E-Mail-Phishing agieren Täter in Echtzeit, was den Druck erhöht und kritisches Nachdenken erschwert. Technisch wird häufig Caller-ID-Spoofing eingesetzt, sodass auf dem Display die echte Banknummer erscheint.
Was ist Caller-ID-Spoofing?
Caller-ID-Spoofing bezeichnet das Fälschen der angezeigten Anrufernummer. Mit gängiger VoIP-Technologie können Täter jeden beliebigen Nummernstring als Absenderkennung setzen – einschließlich der offiziellen Nummer einer Bank. Für das Opfer ist die Fälschung nicht erkennbar. Das ist ein wichtiges Argument gegen den Vorwurf grober Fahrlässigkeit.
Muss meine Bank das Geld nach einem Vishing-Angriff erstatten?
Grundsätzlich ja. Nach § 675u BGB muss die Bank nicht autorisierte Zahlungsvorgänge erstatten. Eine Zahlung gilt als nicht autorisiert, wenn die Zustimmung durch Täuschung erschlichen wurde. Die Erstattung kann nur bei grober Fahrlässigkeit des Kunden verweigert werden – und die Beweislast für grobe Fahrlässigkeit liegt bei der Bank.
Wann liegt grobe Fahrlässigkeit bei Vishing vor?
Grobe Fahrlässigkeit liegt vor, wenn der Kontoinhaber die gebotene Sorgfalt in besonders schwerem Maße verletzt hat. Bei Vishing-Angriffen mit Caller-ID-Spoofing und korrekten Kontodaten ist diese Schwelle für den durchschnittlichen Bankkunden in der Regel nicht erreicht. Gerichte haben in mehreren Entscheidungen festgestellt, dass professionell ausgeführte Vishing-Angriffe für Normalkunden nicht offensichtlich erkennbar sind.
Was ist, wenn ich in der Banking-App eine Transaktion bestätigt habe?
Auch in diesem Fall fehlt möglicherweise die wirksame Autorisierung. Wenn Sie überzeugt waren, eine Sicherungsmaßnahme zu bestätigen, und in Wirklichkeit eine Überweisung freigegeben haben, wurden Sie über den wesentlichen Inhalt der Transaktion getäuscht. Diese Täuschung macht die Autorisierung unwirksam und begründet den Erstattungsanspruch.
Wie erkenne ich, dass ich von einem Vishing-Angriff betroffen bin?
Typische Merkmale sind: Ein Anrufer nennt korrekte Kontodaten und berichtet von einer dringenden Sicherheitsbedrohung. Es wird ein TAN-Code oder eine App-Bestätigung angefordert. Nach dem Gespräch fehlen Beträge auf dem Konto oder Kontaktdaten wurden geändert. Keine Bank verlangt in einem echten Sicherheitsgespräch TAN-Codes telefonisch.
Was soll ich auf keinen Fall tun, wenn ein angeblicher Bankmitarbeiter anruft?
Niemals TAN-Codes telefonisch nennen, niemals eine Transaktion auf Aufforderung eines Anrufers hin bestätigen und niemals Zugangsdaten am Telefon mitteilen. Wenn Unsicherheit besteht: Gespräch beenden und die Bank über die offizielle Nummer auf der Bankkarte oder der Website zurückrufen.
Wie schnell muss ich nach dem Angriff handeln?
So schnell wie möglich. Wenn die Zahlung noch nicht endgültig gebucht ist, besteht ein enges Zeitfenster für einen Transaktionsstopp. Die Kontosperrung sollte innerhalb von Minuten erfolgen. Strafanzeige und Erstattungsantrag bei der Bank sollten am selben oder spätestens am nächsten Tag eingeleitet werden.
Kann ich Schadensersatz verlangen, wenn die Bank ihre Warnpflicht verletzt hat?
Ja. Wenn die Bank von Vishing-Angriffen auf ihre Kunden wusste und keine Warnmeldungen ausgegeben hat, verletzt sie eine eigenständige Schutzpflicht. Aus dieser Pflichtverletzung können zusätzliche Schadensersatzansprüche entstehen, die über den einfachen Erstattungsanspruch hinausgehen.
Wann lohnt sich ein Anwalt nach einem Vishing-Angriff?
Anwaltliche Beratung lohnt sich, sobald die Bank die Erstattung verweigert oder nicht zeitnah reagiert. Ein Anwalt bewertet die Autorisierungsfrage, prüft Warnpflichtverletzungen und Transaktionsüberwachungsversagen und formuliert eine rechtlich präzise Forderung. Verjährungsfristen laufen unabhängig vom Verhalten der Bank.