Kriminelle missbrauchen den Namen der Volksbank und Raiffeisenbank, um Millionen zu erbeuten. Wie die Maschen funktionieren, was rechtlich gilt – und wie Sie Ihr Geld zurückbekommen.
Inhaltsverzeichnis
- 🔍 Auf einen Blick – Zusammenfassung
- Ein kurzer Moment der Unachtsamkeit – und das Konto ist leergeräumt
- Was ist Phishing – und warum trifft es gerade die Volksbank so hart?
- Die aktuellen Volksbank-Phishing-Maschen im Detail
- 1. Die klassische Phishing-E-Mail: Druck durch Fristen und Sperrdrohungen
- 2. Phishing-SMS: Das Ablaufdatum Ihrer VR-SecureGo
- 3. Quishing: Phishing per QR-Code im echten Brief
- 4. MFA-Bombing: Zermürbung durch Anfragen-Flut
- 5. Vishing: Der Anruf von der „Volksbank“
- 6. Social-Media-Betrug: Gefälschte Volksbank-Profile
- 7. Digitaler Girocard-Missbrauch
- So erkennen Sie Volksbank-Phishing zuverlässig
- Opfer geworden? Die richtigen Schritte jetzt
- ⚠️ Fristen beachten
- Ihre rechtlichen Ansprüche: Was § 675u BGB wirklich bedeutet
- Warum lehnen Banken die Erstattung ab – und was bedeutet das für Sie?
- 💡 Meine Empfehlung
- Effektiv schützen: So machen Sie Ihr Volksbank-Konto phishing-sicher
- VR-SecureGo: Warum die TAN-App im Fokus der Betrüger steht
- Ihr verlorenes Geld zurückbekommen: Der rechtliche Weg
- Besondere Situationen: Wenn das Volksbank-Konto durch Telefon, Social Media oder Brief geleert wird
- Fazit: Volksbank Phishing – kein Schicksal, sondern ein lösbares Problem
- 📞 Kostenlose Erstberatung – Jetzt Geld zurückfordern
🔍 Auf einen Blick – Zusammenfassung
🎣 Was ist Volksbank Phishing?
Betrüger versenden gefälschte E-Mails, SMSEine SMS (Short Message Service) ist ein Telekommunikationsd... Mehr und Briefe im Namen der Volksbank / Raiffeisenbank, um Zugangsdaten und TANs zu stehlen.
📱 Aktuelle Maschen 2025/2026
VR-SecureGo-Fake-SMS, Quishing (QR-Code-Betrug per Brief), MFA-Bombing, Telefon-Vishing und Social-Media-Fake-Profile.
⚖️ Ihre Rechte gegenüber der Bank
Nach § 675u BGB haftet die Bank grundsätzlich für nicht autorisierte Zahlungen. Die Beweislast liegt bei der Bank – nicht bei Ihnen.
🏛️
Aktuelle Urteile
BGH (März 2024), LG Berlin (Jan. 2025) und KG Berlin (Nov. 2024) stärken Rechte der Phishing-Opfer gegenüber Banken erheblich.
🚨 Sofortmaßnahmen
Konto & Online-Banking sperren (116 116), Anzeige erstatten, Bank schriftlich informieren und rechtliche Beratung suchen.
💰 Geld zurückfordern
Mit anwaltlicher Unterstützung bestehen gute Chancen auf vollständige Erstattung – auch wenn die Bank zunächst ablehnt.
🛡️ Schutzmaßnahmen
Nie Links aus E-Mails/SMS nutzen, immer direkt in die App oder URL eingeben, TANs nur für eigene Transaktionen bestätigen.
📞 Kostenlose Erstberatung
Als Fachanwalt für IT-Recht helfe ich Ihnen effektiv dabei, Ihr verlorenes Geld von der Volksbank zurückzufordern.
Ein kurzer Moment der Unachtsamkeit – und das Konto ist leergeräumt
Es ist ein ganz gewöhnlicher Dienstagmorgen. Sie öffnen Ihr E-Mail-Postfach, sehen eine Nachricht Ihrer Volksbank mit dem bekannten Logo, lesen von einer „dringenden Sicherheitsprüfung“ und klicken – wie die meisten von uns im Alltagsstress – auf den Link. Sekunden später befinden Sie sich auf einer täuschend echten Kopie der Volksbank-Website, geben Ihre Zugangsdaten ein, und damit beginnt ein Alptraum, der Sie möglicherweise mehrere tausend Euro kostet.
Diese Geschichte ist kein Einzelfall. Sie ist Alltag in Deutschland. Die Volksbanken und Raiffeisenbanken gehören zu den am häufigsten im Phishing-Betrug missbrauchten Bankengruppen im deutschsprachigen Raum. Als Fachanwalt für IT-Recht begleite ich tagtäglich Menschen, deren Konten nach einem Phishing-Angriff geleert wurden – und ich erlebe, wie viele Betroffene zuerst alleingelassen werden: von der Bank, die die Haftung ablehnt, und von einem Rechtssystem, das auf den ersten Blick undurchsichtig wirkt.
Dieser Beitrag will Klarheit schaffen. Er erklärt, wie Volksbank-Phishing im Jahr 2026 wirklich funktioniert, welche konkreten Maschen derzeit im Umlauf sind, welche rechtlichen Ansprüche Sie als Betroffener haben – und wie Sie diese durchsetzen. Denn das Wichtigste vorab: In vielen Fällen sind die Chancen, das Geld zurückzubekommen, deutlich besser, als die Bank Ihnen glauben machen möchte.
Was ist Phishing – und warum trifft es gerade die Volksbank so hart?
Der Begriff „Phishing“ ist eine bewusste Fehlschreibung des englischen Wortes „fishing“ – also Angeln. Das Bild trifft den Kern der Sache: Kriminelle werfen einen Köder aus – eine gefälschte E-Mail, eine SMS oder einen Anruf – und warten, bis jemand anbeißt. Ziel ist es, vertrauliche Daten wie Passwörter, PIN-Nummern, TANs oder Kreditkartendaten zu erbeuten, um anschließend auf fremde Kosten Geld zu transferieren oder einzukaufen.
Phishing ist dabei keine neuartige Erscheinung, sondern hat sich über zwei Jahrzehnte zu einer hochprofessionellen Industrie entwickelt. Was früher plump formulierte E-Mails mit offensichtlichen Rechtschreibfehlern waren, ist heute oft nicht mehr ohne Weiteres von echter Bankkommunikation zu unterscheiden. Die Betrüger nutzen identische Logos, kopieren offizielle Textstile und erstellen Fake-Websites, die pixel-genau wie das Original wirken.
Warum trifft es die Volksbank besonders? Der Grund liegt in der schieren Größe und Bekanntheit des genossenschaftlichen Bankensektors. Mit über 700 Volksbanken und Raiffeisenbanken, rund 26 Millionen Mitgliedern und mehr als 30 Millionen Kundinnen und Kunden ist der VR-Verbund eine der größten Bankengruppen Deutschlands. Für Cyberkriminelle ist das ein attraktives Ziel: Je mehr potenzielle Opfer eine gesendete Phishing-Mail treffen kann, desto höher die Erfolgsquote. Und da Phishing-Mails massenhaft und ohne Wissen über die konkreten Bankverbindungen der Empfänger verschickt werden, reicht die statistische Wahrscheinlichkeit, tatsächlich einen echten Volksbankkunden zu erreichen, vollkommen aus.
💡 Wichtig zu wissen
Die Volksbank verschickt niemals unaufgefordert E-Mails oder SMS mit der Aufforderung, Zugangsdaten zu bestätigen, Limits anzupassen oder TANs einzugeben. Jede solche Nachricht ist ein Betrugsversuch.
Ein weiterer Faktor ist die VR-SecureGo-App, die als TAN-Verfahren für das Online-Banking der meisten Volksbank-Kunden genutzt wird. Diese App ist für die Betrüger ein zentrales Angriffsziel, weil ihre Kompromittierung direkten Zugriff auf Überweisungsvorgänge ermöglicht. Entsprechend viele Phishing-Nachrichten drehen sich um angebliche Sperren, Updates oder Fehler bei VR-SecureGo – eine Masche, die seit Jahren kontinuierlich eingesetzt wird.
Die aktuellen Volksbank-Phishing-Maschen im Detail
Die Kreativität der Cyberkriminellen kennt keine Grenzen. In den vergangenen Monaten wurden gegenüber Volksbank-Kunden zahlreiche unterschiedliche Angriffsmuster beobachtet, die in ihrer technischen und psychologischen Raffinesse immer ausgefeilter werden. Im Folgenden stelle ich die wichtigsten Varianten vor, die derzeit aktiv genutzt werden.
1. Die klassische Phishing-E-Mail: Druck durch Fristen und Sperrdrohungen
Das Grundprinzip aller Phishing-Mails ist psychologisch ausgeklügelt: Sie setzen Druck auf. Eine E-Mail behauptet, Ihr Konto sei „aus Sicherheitsgründen deaktiviert“, ein Update müsse „bis zum [konkretes Datum]“ durchgeführt werden, andernfalls werde der Zugang gesperrt. Die Dringlichkeit soll dazu verleiten, reflexartig zu handeln – ohne nachzudenken.
Von: Volksbank Kundenservice <kontakt@vr.de>Betreff: Wichtig – Servicekommunikation (REF-ID: 426305670901)
Sehr geehrte Kundin, sehr geehrter Kunde, mit dieser Mitteilung teilen wir Ihnen mit, dass Ihr Online-Banking-Profil aus Sicherheitsgründen deaktiviert wurde. Um unsere Dienste weiterhin wie gewohnt nutzen zu können und eine drohende Schließung Ihres Kontos zu vermeiden, tun Sie dies bitte umgehend. [ Jetzt prüfen → ] Wenn Sie diese E-Mail ignorieren, haben Sie nur eingeschränkten Zugriff auf Funktionen. Mit freundlichen Grüßen Ihre Volksbank ⚠️ ACHTUNG: Dies ist eine Phishing-Mail – NICHT anklicken!
Was diese Mails so gefährlich macht: Sie tragen das Volksbank-Logo, oft ein vollständiges Impressum und manchmal sogar korrekte Kontaktdaten. Nur wer die Absenderadresse genau überprüft oder versucht, den Link zu analysieren, erkennt, dass die Weiterleitung auf eine betrügerische Domain führt – nicht auf die offizielle Volksbank-Website.
2. Phishing-SMS: Das Ablaufdatum Ihrer VR-SecureGo
Neben E-Mails werden seit Jahren massenhaft gefälschte SMS im Namen der Volksbank verschickt. Die Textnachrichten folgen einem immer ähnlichen Muster: Die VR-SecureGo-App laufe angeblich ab, das TAN-Verfahren müsse verlängert oder aktualisiert werden. Ein Link führt dabei zu einer Phishing-Seite. Diese SMS kommen von normalen deutschen Handynummern – was die Erkennung erheblich erschwert.
Typische aktuelle SMS-Texte (Stand März 2025) lauten beispielsweise: „Volksbank: Ihr SecureGo-Plus Verfahren läuft am 15.03.2025 ab. Jetzt erneuern unter: https://vr-sync-anmelden.com/“ oder „Volksbank: Hinweis: Ihre SecureGo App läuft ab. Jetzt verlängern! https://vr-sync…“
🚨 Warnung
Die VR-SecureGo-App läuft nie „ab“ und muss nie über einen SMS-Link verlängert werden. Jede SMS mit diesem Inhalt ist ein Betrugsversuch. Löschen Sie sie sofort und klicken Sie keinen Link an.
3. Quishing: Phishing per QR-Code im echten Brief
Eine besonders perfide und vergleichsweise neue Variante ist das sogenannte Quishing – eine Kombination aus QR-Code und Phishing. Dabei verschicken die Kriminellen tatsächliche Papierbriefe, die wie offizielle Volksbank-Schreiben aussehen. Im Brief wird auf vermeintliche Änderungen im Zahlungsverkehr oder auf eine notwendige SecureGO-Synchronisation hingewiesen. Der beigefügte QR-Code führt beim Einscannen jedoch auf eine Phishing-Seite.
Diese Methode ist deshalb so effektiv, weil viele Menschen bei einem echten Papierbrief mit Volksbank-Logo weniger kritisch sind als bei einer E-Mail. Zudem ist auf dem Smartphone nur schwer zu erkennen, wohin ein gescannter QR-Code tatsächlich führt. Die Volksbank selbst warnte im Dezember 2025 und September 2025 explizit vor solchen Quishing-Briefen.
4. MFA-Bombing: Zermürbung durch Anfragen-Flut
Beim sogenannten MFA-Bombing (Multi-Faktor-Authentifizierungs-Bombing) haben die Betrüger bereits im Vorfeld – etwa durch eine frühere Phishing-Aktion – Ihre Login-Daten gestohlen. Mit diesen Daten lösen sie wiederholt Authentifizierungsanfragen in der Banking-App aus. Das Opfer erhält in kurzer Zeit zahlreiche Push-Benachrichtigungen mit der Bitte, Transaktionen zu bestätigen. Irgendwann, aus Erschöpfung oder Verwirrung, tippt jemand auf „Bestätigen“ – und gibt damit unwissentlich eine nicht von ihm initiierte Überweisung frei. Die Volksbank warnte im Januar 2026 ausdrücklich vor dieser Methode.
5. Vishing: Der Anruf von der „Volksbank“
Beim Vishing (Voice Phishing) rufen die Betrüger direkt an und geben sich als Mitarbeitende der Volksbank aus. Sie behaupten, verdächtige Aktivitäten auf dem Konto festgestellt zu haben, eine Überweisung stehe unmittelbar bevor und müsse sofort gestoppt werden. Um den Betrug zu stoppen, solle das Opfer eine Überweisungsvorlage ausfüllen – was in Wirklichkeit das Geld direkt an die Kriminellen überweist. Zur Untermauerung ihrer Geschichte senden die Täter während des Gesprächs sogar SMS mit dem Volksbank-Absender. Diese Masche ist im Februar 2025 offiziell von der Volksbank gewarnt worden.
6. Social-Media-Betrug: Gefälschte Volksbank-Profile
Die Volksbank warnte im März 2026 ausdrücklich vor gefälschten Volksbank-Profilen in sozialen Netzwerken wie Facebook. Betrüger erstellen täuschend echte Profile, senden Freundschaftsanfragen und laden Betroffene in WhatsApp-Gruppen zum Thema Kryptoanlagen ein. Dort werden sie auf betrügerische Webseiten gelockt, auf denen Bankdaten abgegriffen werden. Die Kombination aus Social Engineering und gezielter persönlicher Ansprache macht diese Methode besonders wirkungsvoll.
7. Digitaler Girocard-Missbrauch
Eine weitere, hochaktuelle Betrugsform: Betrüger verschaffen sich zunächst über Phishing die Online-Banking-Zugangsdaten und beantragen dann eine digitale Girocard auf ihrem eigenen Gerät. Das Opfer erhält eine TAN-Anfrage für die Aktivierung dieser Karte. Werden die Opfer zusätzlich dazu gebracht, eine sogenannte Superproxy-App zu installieren, können die Täter sogar Gerätesicherheitschecks der Bank umgehen. Mit der digital aktivierten Karte auf dem eigenen Smartphone können die Täter anschließend kontaktlos bezahlen und Geld abheben.
So erkennen Sie Volksbank-Phishing zuverlässig
Trotz der steigenden Professionalität der Betrüger gibt es verlässliche Merkmale, anhand derer sich Phishing-Versuche erkennen lassen – wenn man weiß, worauf zu achten ist. Die folgende Tabelle fasst die wichtigsten Warnsignale zusammen:
| Warnsignal | Was Sie erkennen sollten |
|---|---|
| Absenderadresse | Echte Volksbank-Mails kommen von @volksbank-[ort].de oder @vr.de. Fake-Mails oft von obskuren Domains wie @vr-sicherheit.net oder @volksbank-service.info |
| Anrede | Phishing-Mails sprechen oft mit „Sehr geehrte/r Kundin/Kunde“ an – ohne Namen. Echte Bank-E-Mails kennen Ihren Namen. |
| Druck & Fristen | Künstliche Dringlichkeit mit konkreten Fristen ist ein klassisches Phishing-Signal. Banken setzen keine 24-Stunden-Fristen per E-Mail. |
| Link-Ziel | Fahren Sie mit der Maus über den Link (ohne zu klicken). Führt er auf eine unbekannte Domain, ist es Phishing. |
| Sprache & Stil | Ungewöhnliche Formulierungen, seltsame Satzzeichen oder minimale Rechtschreibfehler sind häufige Hinweise. |
| SMS-Absender | Echte Volksbank-SMS kommen von einem einheitlichen Kurzwähler, nicht von wechselnden 01X-Handynummern. |
| QR-Codes in Briefen | Die Volksbank versendet keine Briefe mit QR-Codes zur Datenverifikation. Solche Schreiben sind Betrug. |
Besonders wichtig: Die Volksbank weist selbst ausdrücklich darauf hin, dass sie ihre Kunden niemals über unaufgeforderte E-Mails, SMS oder Briefe zur Eingabe sensibler Daten auffordert. Das Online-Banking sollte immer direkt über die offizielle Banking-App oder durch manuelle Eingabe der URL im Browser aufgerufen werden – nie über Links in Nachrichten.
✅ Goldene Regel
Wenn Sie unsicher sind, ob eine Nachricht echt ist: Rufen Sie Ihre Volksbank direkt an – über die Nummer auf Ihrer Bankkarte oder der offiziellen Website. Klicken Sie niemals auf Links aus unaufgefordert zugesandten Nachrichten.
Opfer geworden? Die richtigen Schritte jetzt
Wenn Sie realisieren, dass Sie Opfer eines Phishing-Angriffs auf Ihr Volksbank-Konto geworden sind, zählt jede Minute. Das Ziel in den ersten Stunden ist es, weiteren Schaden zu verhindern und gleichzeitig die Grundlage für Ihre rechtliche Gegenwehr zu legen. Handeln Sie zügig, aber besonnen – panisches Agieren kostet wertvolle Zeit.
1 Konto und Online-Banking sofort sperren lassen
Rufen Sie umgehend den Sperrnotruf 116 116 an. Dieser ist rund um die Uhr erreichbar und sperrt sowohl Ihre Karte als auch den Online-Banking-Zugang. Alternativ: direkt bei Ihrer Volksbank-Filiale anrufen oder über das gesicherte Online-Banking (sofern noch zugänglich) die Sperre selbst veranlassen.
2 Kontoauszüge prüfen und Schaden dokumentieren
Laden Sie alle Kontoauszüge der letzten Tage herunter und notieren Sie alle nicht von Ihnen initiierten Transaktionen mit Datum, Betrag und Empfänger. Diese Dokumentation ist essenziell für die spätere Rechtsverfolgung.
3 Phishing-Nachricht aufbewahren
Löschen Sie die Phishing-E-Mail oder -SMS nicht. Screenshot machen, Originalmail sichern. Diese Beweise sind wichtig für die Strafanzeige und für das Verfahren gegen die Bank.
4 Strafanzeige bei der Polizei erstatten
Erstatten Sie Anzeige bei der Polizei – am besten online über das jeweilige Landesportal oder direkt bei einer Dienststelle. Die Anzeigenummer ist oft Voraussetzung für weitere Schritte gegenüber der Bank oder einer Versicherung.
5 Bank schriftlich auf Erstattung hinweisen
Informieren Sie Ihre Volksbank schriftlich (per Einschreiben oder E-Mail mit Lesebestätigung) über den Vorfall und fordern Sie die Erstattung der nicht autorisierten Zahlungen gemäß § 675u BGB. Setzen Sie eine angemessene Frist (z. B. 14 Tage).
6 Fachanwalt für IT-Recht kontaktieren
Lehnt die Bank die Erstattung ab oder reagiert gar nicht, sollten Sie schnellstmöglich rechtliche Unterstützung suchen. Ein Fachanwalt für IT-Recht kennt die aktuellen Urteile und kann Ihre Ansprüche effektiv durchsetzen – auch gegen eine zunächst unnachgiebige Bank.
⚠️ Fristen beachten
Der Erstattungsanspruch nach § 675u BGB muss innerhalb von 13 Monaten nach der nicht autorisierten Transaktion geltend gemacht werden. Handeln Sie daher nicht zu lange und warten Sie nicht ab, ob die Bank von sich aus reagiert.
Ihre rechtlichen Ansprüche: Was § 675u BGB wirklich bedeutet
Das Herzstück des rechtlichen Schutzes von Phishing-Opfern ist § 675u des Bürgerlichen Gesetzbuches (BGB). Die Norm ist kurz, aber kraftvoll: Hat ein Zahlungsdienstleister – also eine Bank wie die Volksbank – einen Zahlungsauftrag ausgeführt, der nicht vom Kontoinhaber autorisiert wurde, so ist er verpflichtet, den belasteten Betrag unverzüglich zu erstatten und den Kontostand wieder auf den Stand vor dem Vorfall zu bringen.
Was bedeutet das im Kontext von Phishing? Wenn Betrüger Ihre Zugangsdaten gestohlen haben und damit Überweisungen von Ihrem Konto getätigt haben, ohne dass Sie diesen Überweisungen zugestimmt haben, handelt es sich rechtlich um nicht autorisierte Zahlungsvorgänge. Die Bank ist dann grundsätzlich zur Rückerstattung verpflichtet.
Die entscheidende Frage: Grobe Fahrlässigkeit
Wo hakt es dann in der Praxis? Die Bank kann sich nur dann von der Erstattungspflicht befreien, wenn sie dem Kunden nachweist, dass dieser entweder vorsätzlich oder grob fahrlässig gehandelt hat (§ 675v BGB). Grobe Fahrlässigkeit liegt vor, wenn jemand die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat – also wenn das Verhalten so unvorsichtig war, dass es als schlechthin unentschuldbar gilt.
In der Praxis behaupten Banken nach einem Phishing-Vorfall häufig reflexartig: „Der Kunde hat grob fahrlässig gehandelt.“ Doch genau hier liegt ein entscheidender rechtlicher Punkt, den viele Betroffene nicht kennen: Die Beweislast liegt bei der Bank, nicht beim Kunden. Das hat der BundesgerichtshofDer Bundesgerichtshof (BGH) ist das höchste deutsche Gerich... Mehr (BGH) mit seinem wegweisenden Urteil vom 5. März 2024 (Az. XI ZR 107/22) noch einmal ausdrücklich klargestellt.
„Bei Phishing und anderen Betrugsversuchen beim Online-Banking haftet der Kontoinhaber nur, wenn er sich grob fahrlässig verhalten hat. Die Bank muss ihm die grobe Fahrlässigkeit nachweisen.“ – BGH, Urteil vom 5. März 2024, Az. XI ZR 107/22
Das bedeutet: Die Bank muss Ihnen aktiv beweisen, dass Sie sich grob fahrlässig verhalten haben. Allein die Tatsache, dass Sie auf einen Phishing-Link geklickt oder eine TAN eingegeben haben, reicht dafür nicht automatisch aus. Denn Phishing-Angriffe sind heute so raffiniert, dass selbst technisch versierte Personen darauf hereinfallen können. Wenn die Täuschung professionell war – täuschend echtes Logo, identischer Sprachstil, gefälschte Absenderadresse – lässt sich dem Opfer kaum vorwerfen, es hätte offensichtlich erkennen müssen, dass es sich um einen Betrug handelt.
Aktuelle Urteile zugunsten von Volksbank-Phishing-Opfern
Die Rechtsprechung der letzten Jahre und Monate hat die Position der Phishing-Opfer gegenüber Banken erheblich gestärkt. Die folgenden Entscheidungen sind besonders relevant:
| Gericht / Datum | Aktenzeichen | Kernaussage |
|---|---|---|
| BGH, 05.03.2024 | XI ZR 107/22 | Beweislast für grobe Fahrlässigkeit liegt bei der Bank. Alleiniges Klicken auf einen Phishing-Link begründet noch keine grobe Fahrlässigkeit. |
| KG Berlin, 12.11.2024 | 4 U 122/24 | Bank haftet für Phishing-Schaden von 118.000 Euro, da sie nicht ausreichend beweisen konnte, dass der Kunde grob fahrlässig handelte. |
| LG Berlin, 15.01.2025 | 10 O 353/23 | Berliner Volksbank muss dem Kunden Phishing-Schaden ersetzen. Bank konnte Autorisierung der Zahlungen nicht beweisen. |
| OLG Dresden, 2024/2025 | – | Mithaftung der Bank trotz grob fahrlässigen Verhaltens des Kunden. Mitverschulden der Bank wegen mangelhafter Sicherheitssysteme. |
Besonders beachtenswert ist das Urteil des Landgerichts Berlin vom 15. Januar 2025 (Az. 10 O 353/23): Das Gericht entschied in einem Phishing-Fall zu Lasten der Berliner Volksbank. Der Bankkunde hatte sein Girokonto bei der Volksbank und war Opfer eines Phishing-Angriffs geworden. Die Bank weigerte sich zunächst zu erstatten. Das LandgerichtEin Landgericht ist ein Gericht der ordentlichen Gerichtsbar... Mehr stellte jedoch fest, dass die Bank die Autorisierung der abgebuchten Zahlungen nicht nachweisen konnte – und verurteilte sie zur Erstattung.
Ebenso bedeutend ist das Urteil des Kammergerichts Berlin (Az. 4 U 122/24) vom November 2024, in dem ein Schaden von 118.000 Euro durch Phishing der Bank zur Last gelegt wurde. Das Gericht machte deutlich: Wer als Bank im Online-Banking-Verkehr tätig ist, trägt auch die Risiken des damit verbundenen Betrugsgeschehens – sofern nicht grobe Fahrlässigkeit des Kunden nachgewiesen wird.
Wann scheitert der Erstattungsanspruch?
Es wäre unehrlich, zu verschweigen, dass es auch Fälle gibt, in denen Gerichte grobe Fahrlässigkeit bejaht und den Erstattungsanspruch abgelehnt haben. Das OLG Oldenburg entschied 2025 in einem Fall (Az. 8 U 10/23), dass ein Ehepaar keinen Anspruch auf Erstattung von 41.000 Euro hatte, weil es trotz mehrfacher Warnhinweise TANs bestätigt hatte, die von Betrügern telefonisch erbeten wurden. Hier sahen die Richter grobe Fahrlässigkeit als gegeben an, weil die Opfer aktiv auf telefonische Aufforderungen hin Transaktionen freigegeben hatten, die sie selbst als verdächtig hätten einordnen müssen.
Das zeigt: Der Ausgang hängt von den konkreten Umständen des Einzelfalls ab. Genau deshalb ist eine frühzeitige anwaltliche Prüfung so wichtig – um einschätzen zu können, ob und wie ein Erstattungsanspruch erfolgreich durchgesetzt werden kann.
Warum lehnen Banken die Erstattung ab – und was bedeutet das für Sie?
Ein Muster begegnet mir in der Praxis immer wieder: Das Konto wird nach einem Phishing-Vorfall geplündert, der Kunde meldet sich bei seiner Volksbank, und die Bank antwortet mit einem standardisierten Ablehnungsschreiben. Darin heißt es, der Kunde habe „grob fahrlässig gehandelt“, indem er seine Zugangsdaten auf einer fremden Website eingegeben habe. Eine Erstattung werde deshalb abgelehnt.
Diese Reaktion ist verständlich aus Sicht der Bank – sie versucht, Kosten zu minimieren. Sie ist aber rechtlich in vielen Fällen nicht haltbar. Das Problem dabei: Viele Betroffene nehmen diese Ablehnung als endgültig hin und geben auf. Dabei ist es oft erst der Beginn einer rechtlichen Auseinandersetzung, die durchaus gewonnen werden kann.
Banken haben beim Thema Phishing-Erstattung ein klares institutionelles Interesse, Schäden auf die Kunden abzuwälzen. Doch wie der BGH 2024 klargestellt hat: Die Bank muss die grobe Fahrlässigkeit beweisen – und das ist in vielen Fällen gar nicht so einfach. Wenn die Phishing-Seite täuschend echt war, wenn das Opfer die gefälschten E-Mails vernünftigerweise für echt halten durfte, wenn das Sicherheitssystem der Bank selbst Lücken aufwies – dann fehlt es am Nachweis grober Fahrlässigkeit.
💡 Meine Empfehlung
Akzeptieren Sie die erste Ablehnung der Bank nicht als letztes Wort. Lassen Sie die Situation rechtlich prüfen. In vielen Fällen – gerade wenn die Täuschung professionell war – lässt sich ein Erstattungsanspruch durchsetzen. Ich unterstütze Sie dabei effektiv und zielgerichtet.
Effektiv schützen: So machen Sie Ihr Volksbank-Konto phishing-sicher
Auch wenn rechtliche Mittel im Schadensfall helfen können, ist Prävention der beste Schutz. Es gibt eine Reihe konkreter und wirksamer Maßnahmen, mit denen Sie das Risiko, Opfer eines Volksbank-Phishing-Angriffs zu werden, erheblich reduzieren können.
Immer die offizielle App oder direkte URL nutzen
Der wichtigste Grundsatz: Rufen Sie Ihr Volksbank-Online-Banking ausschließlich über die offizielle VR Banking App auf oder geben Sie die URL Ihrer Volksbank direkt in die Adresszeile Ihres Browsers ein. Klicken Sie niemals auf Links, die Ihnen per E-Mail, SMS oder Messenger-Nachricht zugeschickt werden – egal wie echt die Nachricht wirkt. Diese eine Regel schützt Sie vor dem Großteil aller Phishing-Angriffe.
TANs nur für eigene, bewusst initiierte Transaktionen bestätigen
Ihre TAN – also die Transaktionsnummer in der SecureGo-App – dient ausschließlich zur Bestätigung von Transaktionen, die Sie selbst gerade durchgeführt haben. Wenn Sie eine TAN-Anfrage erhalten, ohne gerade selbst eine Überweisung oder eine andere Aktion durchgeführt zu haben: Niemals bestätigen. Sofort Konto sperren und Volksbank informieren. Das gilt auch dann, wenn sich jemand telefonisch als Volksbank-Mitarbeiter ausgibt und Sie zur Bestätigung auffordert.
Software und Betriebssystem aktuell halten
Viele Phishing-Angriffe nutzen bekannte Sicherheitslücken in Betriebssystemen und Apps aus. Halten Sie Ihr Smartphone und Ihren Computer stets auf dem aktuellen Stand. Installieren Sie alle verfügbaren Updates, denn diese schließen oft gezielt Sicherheitslücken. Nutzen Sie zusätzlich ein aktuelles Antivirenprogramm, das auch Phishing-Seiten erkennen kann.
Starke, einzigartige Passwörter verwenden
Nutzen Sie für Ihr Online-Banking ein starkes, einzigartiges Passwort, das Sie nirgendwo sonst verwenden. Ein Passwort-Manager kann dabei helfen, komplexe Passwörter sicher zu verwalten. Wechseln Sie Ihr Online-Banking-Passwort regelmäßig und sofort, wenn Sie den Verdacht haben, dass es kompromittiert sein könnte.
Kontoauszüge regelmäßig kontrollieren
Prüfen Sie Ihre Kontoauszüge regelmäßig – am besten täglich oder zumindest mehrmals pro Woche. Je früher Sie eine nicht autorisierte Transaktion bemerken, desto größer ist die Chance, das Geld noch zurückzuholen. Manche Banken bieten Push-Benachrichtigungen für jede Kontobewegung an – eine sinnvolle Funktion, die Sie aktivieren sollten.
✅ Checkliste Sicherheit
Online-Banking nur über App oder direkte URL aufrufen · TANs nur für eigene Aktionen bestätigen · Starkes, einzigartiges Passwort · Regelmäßige Kontoübersicht · Fremde Links in E-Mails/SMS nie anklicken · Bei Verdacht sofort 116 116 anrufen
VR-SecureGo: Warum die TAN-App im Fokus der Betrüger steht
Das VR-SecureGo-Plus-Verfahren ist das zentrale Sicherheitselement im Online-Banking der Volksbanken und Raiffeisenbanken. Über die App auf dem Smartphone werden alle sicherheitskritischen Transaktionen mit einer Push-TAN bestätigt. Genau deshalb ist die App so attraktiv für Angreifer – wer Kontrolle über die SecureGo-App oder zumindest über die damit verbundenen Bestätigungen erlangt, hat freie Hand auf dem Konto.
Die Taktik der Betrüger ist dabei mehrstufig. Zunächst werden mit Phishing-E-Mails oder SMS die VR-NetKey und PIN des Opfers gestohlen. Im zweiten Schritt versuchen die Täter, die SecureGo-App auf einem von ihnen kontrollierten Gerät zu aktivieren oder das Opfer dazu zu bringen, eine betrügerische Transaktion in der eigenen App zu bestätigen. Das gelingt ihnen entweder durch direkten Betrug (Telefon-Vishing, bei dem das Opfer die TAN durchgibt) oder durch MFA-Bombing.
Es ist wichtig zu verstehen: Die SecureGo-App selbst ist ein sicheres Instrument – solange sie auf Ihrem eigenen Gerät läuft und Sie nur Transaktionen bestätigen, die Sie selbst initiiert haben. Das Sicherheitsproblem entsteht nicht durch technische Schwächen der App, sondern durch soziales Engineering – also die psychologische Manipulation der Nutzer.
Wer also eine TAN-Bestätigung in seiner SecureGo-App sieht, die er nicht selbst ausgelöst hat – sei es durch eine Phishing-Mail, einen Anruf oder eine SMS –, sollte diese Transaktion keinesfalls bestätigen. Stattdessen gilt: App schließen, Volksbank anrufen, Konto sperren lassen.
Ihr verlorenes Geld zurückbekommen: Der rechtliche Weg
Sie sind Opfer eines Volksbank-Phishing-Angriffs geworden und die Bank hat Ihre Erstattungsforderung abgelehnt? Dann ist das nicht das Ende des Weges – es ist der Beginn einer rechtlichen Auseinandersetzung, die Sie mit der richtigen Unterstützung gewinnen können. Als Fachanwalt für IT-Recht mit über 25 Jahren Erfahrung auf diesem Gebiet kenne ich die Strategien, die in solchen Verfahren funktionieren.
Schritt 1: Außergerichtliche Geltendmachung
Zunächst wird die Erstattungsforderung schriftlich und rechtssicher gegenüber der Bank geltend gemacht. Das Schreiben bezieht sich auf § 675u BGB, weist auf die Beweislastverteilung nach der BGH-Rechtsprechung hin und setzt eine konkrete Frist zur Zahlung. Viele Banken lenken bereits in dieser Phase ein, sobald sie merken, dass der Betroffene rechtlich vertreten ist und die Rechtslage kennt.
Schritt 2: Ombudsmannverfahren
Reagiert die Bank nicht oder lehnt weiterhin ab, kann ein Schlichtungsverfahren beim Ombudsmann der privaten Banken oder beim Ombudsmann der Volksbanken und Raiffeisenbanken eingeleitet werden. Dieses Verfahren ist für den Beschwerdeführer kostenlos, relativ schnell und kann für Streitbeträge bis 10.000 Euro zu bindenden Entscheidungen führen. Es ist ein effektives Druckmittel, das vor einem Gerichtsverfahren eingesetzt werden kann.
Schritt 3: Klage vor dem Zivilgericht
Wenn alle außergerichtlichen Mittel ausgeschöpft sind und die Bank weiterhin zahlt, bleibt der Klageweg. Angesichts der aktuellen Rechtsprechung – BGH, KG Berlin, LG Berlin, OLG Dresden – stehen die Chancen für gut begründete Klagen besser als je zuvor. Gerichte sind zunehmend bereit, die Argumentation der Banken zu hinterfragen und fordern diese auf, den Nachweis grober Fahrlässigkeit tatsächlich zu erbringen.
💡 Praxistipp
Sichern Sie alle Beweise von Anfang an: die originale Phishing-Nachricht, Screenshots der Phishing-Website (sofern vorhanden), Kontoauszüge mit den strittigen Transaktionen, den Schriftverkehr mit der Bank und die Polizeianzeigenummer. Dieser Dokumentation kommt im späteren Verfahren entscheidende Bedeutung zu.
Wie realistisch ist eine Erstattung?
Eine pauschale Aussage ist seriöserweise nicht möglich – jeder Fall ist anders. Was ich aus meiner Praxis sagen kann: Die Erfolgsaussichten hängen wesentlich davon ab, wie professionell die Täuschung war, wie der Betroffene konkret reagiert hat und ob die Bank ihren Beweis der groben Fahrlässigkeit wirklich führen kann. Bei gut gemachten Phishing-Angriffen, bei denen die Opfer die Täuschung vernünftigerweise nicht erkennen konnten, sind die Chancen auf Erstattung deutlich gestiegen – nicht zuletzt wegen der wegweisenden BGH-Entscheidung von 2024.
Besonders wenn die Bank reflexartig und ohne konkrete Auseinandersetzung mit dem Einzelfall ablehnt, lohnt sich eine rechtliche Überprüfung. Sehr oft zeigt sich dabei, dass die Ablehnung auf schwachem Fundament steht.
Besondere Situationen: Wenn das Volksbank-Konto durch Telefon, Social Media oder Brief geleert wird
Die rechtliche Beurteilung von Phishing-Fällen wird komplexer, wenn es sich um sogenannte Social-Engineering-Angriffe handelt – also Fälle, in denen das Opfer nicht durch eine gefälschte Website, sondern durch persönliche Manipulation zur Freigabe von Transaktionen gebracht wurde. Das Paradebeispiel ist der Telefonbetrug (Vishing): Das Opfer wird von einem angeblichen Volksbank-Mitarbeiter angerufen, glaubt, sein Konto schützen zu müssen, und bestätigt in gutem Glauben Überweisungen.
Hier argumentieren Banken oft besonders aggressiv mit grober Fahrlässigkeit – schließlich hat das Opfer aktiv eine TAN bestätigt und dabei auf Anweisung eines Dritten gehandelt. Doch auch hier ist die Rechtslage nicht eindeutig zugunsten der Bank. Das OLG Dresden hat in einer bemerkenswerten Entscheidung festgestellt, dass selbst bei grob fahrlässigem Verhalten des Kunden die Bank ein Mitverschulden treffen kann, wenn ihr Sicherheitssystem keine ausreichenden Schutzmechanismen gegen solche Angriffe bietet.
Im Fall von Quishing-Briefen – also den echten Papierbriefen mit gefälschtem Volksbank-Briefkopf und QR-Code – stellt sich eine weitere interessante Rechtsfrage: Kann es dem Kunden vorgeworfen werden, einem Brief zu vertrauen, der optisch von einem echten Schreiben seiner Bank nicht zu unterscheiden ist? In vielen Fällen wird das nicht der Fall sein – was bedeutet, dass auch hier Erstattungsansprüche bestehen können.
Und beim MFA-Bombing schließlich: Wenn ein Nutzer durch schiere Erschöpfung nach dutzenden unaufgeforderter Authentifizierungsanfragen auf „Bestätigen“ tippt – ist das grobe Fahrlässigkeit? Die Frage ist offen, und die Antwort hängt von den konkreten Umständen ab. Es wäre jedenfalls zu kurz gedacht, in solchen Fällen automatisch grobe Fahrlässigkeit anzunehmen.
Fazit: Volksbank Phishing – kein Schicksal, sondern ein lösbares Problem
Volksbank-Phishing ist eine ernste Bedrohung, die Tausende von Menschen in Deutschland jährlich trifft. Die Maschen sind professionell, die emotionalen und finanziellen Schäden für die Betroffenen erheblich. Und doch ist die Situation nicht hoffnungslos – weder beim Schutz vor Angriffen noch bei der Gegenwehr im Schadensfall.
Auf der einen Seite schützt konsequentes digitales Verhalten – kein Klick auf unverlangte Links, TANs nur für eigene Transaktionen, regelmäßige Kontoübersicht – vor dem Großteil aller Angriffe. Das Bewusstsein für die aktuelle Vielfalt der Maschen, von der klassischen Phishing-Mail bis hin zum Quishing-Brief und dem MFA-Bombing, ist dabei das wichtigste Instrument.
Auf der anderen Seite haben Phishing-Opfer deutlich mehr rechtliche Möglichkeiten, als viele denken. Die Gesetzeslage, gestützt durch aktuelle Urteile des BGH, des KG Berlin und des LG Berlin, ist klar: Die Bank trägt die Beweislast. Die reflexartige Ablehnung durch die Volksbank ist kein rechtsgültiges Urteil, sondern der Beginn einer Auseinandersetzung – die mit der richtigen strategischen und juristischen Unterstützung in vielen Fällen gewonnen werden kann.
Wenn Sie Opfer eines Volksbank-Phishing-Angriffs geworden sind und Ihr Geld zurückfordern möchten: Geben Sie nicht auf. Lassen Sie die Situation professionell einschätzen. Als Fachanwalt für IT-Recht mit langjähriger Erfahrung im Bereich Phishing und Internetbetrug unterstütze ich Sie effektiv dabei, Ihr verlorenes Geld zurückzuholen – schnell, strategisch und ohne juristische Umwege.
⚖️ Die Bank lehnt ab? Das ist nicht das letzte Wort.
Nach § 675u BGB und der aktuellen BGH-Rechtsprechung liegt die Beweislast für Ihre grobe Fahrlässigkeit bei der Bank – nicht bei Ihnen. Lassen Sie Ihren Fall professionell prüfen, bevor Sie aufgeben.
📞 Kostenlose Erstberatung – Jetzt Geld zurückfordern
Ihr Volksbank-Konto wurde durch Phishing geleert und die Bank weigert sich zu erstatten? Ich helfe Ihnen, Ihr verlorenes Geld zurückzuholen. Als Fachanwalt für IT-Recht mit über 25 Jahren Erfahrung kenne ich die effektiven Wege, um Ihren Erstattungsanspruch durchzusetzen.