Phishing-Angriffe zählen seit Jahren zu den gefährlichsten und zugleich erfolgreichsten Angriffsmethoden im Cyberraum – vor allem für Kundinnen und Kunden von Banken. Trotz steigender Investitionen in die IT-Sicherheit bleibt das menschliche Verhalten ein Unsicherheitsfaktor. Doch neue Technologien, mehrstufige Schutzmechanismen und ein Umdenken im Kundenkontakt versprechen Besserung.
Phishing bleibt Top-Bedrohung für Banken – trotz Sicherheitsfortschritten
Phishing ist längst nicht mehr nur ein Problem für unbedarfte Internetnutzer – es betrifft Millionen von Bankkunden weltweit. Laut dem 2024 Phishing Trends Report der Anti-Phishing Working Group (APWG) hat sich die Zahl der weltweit gemeldeten Phishing-Attacken im Vergleich zum Vorjahr um rund 18 % erhöht und erreichte im Jahr 2024 einen neuen Höchststand von über 4,8 Millionen Fällen. Besonders betroffen: Finanzdienstleister, die mit 27 % den höchsten Anteil aller Phishing-Ziele stellen.
In Deutschland zeichnen sich ähnliche Trends ab. Der Digitalverband Bitkom meldete im Cybercrime-Report 2024, dass 65 % aller Banken in Deutschland in den vergangenen 12 Monaten Phishing-Versuche registrierten, rund 40 % davon mit wirtschaftlichem Schaden. Der durchschnittliche Schaden bei erfolgreichen Angriffen belief sich laut Studie auf rund 187.000 Euro pro Vorfall.
Warum traditioneller Schutz nicht mehr ausreicht
Banken haben in den letzten Jahren massiv in Sicherheitsmaßnahmen investiert: Zwei-Faktor-Authentifizierung (2FA), sichere Login-Verfahren und KI-gestützte Fraud-Detection-Systeme sind vielerorts Standard. Doch die Angreifer agieren zunehmend raffinierter. Deepfake-Anrufe, perfekt imitierte E-Mails im Corporate Design der Banken oder kompromittierte Webseiten machen es für Laien nahezu unmöglich, Fälschung von Original zu unterscheiden.
„Phishing ist weniger ein technisches Problem als ein psychologisches“, erklärt Dr. Marcus Köhler, Bereichsleiter IT-Sicherheit bei der Deutschen Kreditwirtschaft, im Gespräch mit unserem Magazin. „Selbst versierte Nutzer klicken unter Stress oder Zeitdruck auf manipulierte Links.“
Technologische Innovationen im Kampf gegen Phishing
Der Schlüssel zur effektiveren Abwehr liegt in einer Kombination technologischer, organisatorischer und kommunikativer Maßnahmen. Einige vielversprechende Ansätze:
- Real-time Phishing Detection mit KI: Systeme, die verdächtige Kommunikationsmuster oder neu auftauchende Phishing-Domains automatisch erkennen und sperren, gewinnen an Bedeutung. Anbieter wie Cofense oder Vade setzen auf neuronale Netze, um E-Mails zu analysieren, bevor sie das Postfach erreichen.
- Brand Protection Tools: Spezialisierte Lösungen scannen das Internet nach Webseiten, die Marken- und Corporate-Design-Elemente von Banken nachahmen. Derartige Plattformen arbeiten oft direkt mit Domain-Registraren zusammen, um gefälschte Seiten binnen Stunden offline zu nehmen.
- Zero Trust Architektur: Banken modernisieren ihre internen Systeme auf Zero-Trust-Modelle, bei denen jede Anfrage, intern wie extern, verifiziert wird. Das schützt auch Mitarbeitende, die gezielt per Business E-Mail Compromise attackiert werden.
Was Banken heute schon tun – und was sie noch tun könnten
Viele Finanzinstitute haben eigene Awareness-Kampagnen etabliert, in denen Kund:innen regelmäßig über neue Maschen und Phishing-Typen informiert werden. Die Postbank etwa informiert per Newsletter und über die eigene App, sobald neue Wellen entdeckt werden. Die Berliner Volksbank geht noch einen Schritt weiter: Dort können Kunden verdächtige Mails direkt an ein internes Phishing-Team weiterleiten, das innerhalb von zwei Stunden eine Rückmeldung gibt, ob es sich um einen Angriff handelt.
Neben diesen reaktiven Maßnahmen werden auch proaktive Modelle diskutiert. Im Gespräch mit Martina Groß, Chief Information Security Officer (CISO) der Commerzbank, betont sie: „Wir setzen künftig stärker auf Behavioral Biometrics. Wenn sich ein Benutzerverhalten am Frontend deutlich vom Normalfall unterscheidet – etwa Tippfrequenz, Klickmuster oder Mausbewegungen –, greifen automatisierte Schutzmechanismen.“
Ein weiteres vielversprechendes Konzept: Verified Notifications. Über Kommunikationsplattformen wie WhatsApp oder Banking-Apps senden Banken benutzerspezifisch signierte Nachrichten, die per Zertifikat verifiziert werden können – ein Gegenmodell zur klassischen E-Mail, die leicht gefälscht werden kann.
Menschlicher Faktor: Kundenaufklärung bleibt zentral
Bei aller Technologieliebe bleibt der Faktor Mensch das größte Risiko und zugleich die stärkste Verteidigungslinie. Banken sind daher gut beraten, nicht nur Sicherheits-Features auszubauen, sondern die Medienkompetenz ihrer Kundschaft gezielt zu stärken.
- Erstellung eines zentralen Sicherheitsportals: Ein interaktives Portal innerhalb der Banking-App, das Angriffsformen erklärt, Warnungen aktuell hält und Handlungsempfehlungen gibt, kann helfen, Aufmerksamkeit zu erhöhen.
- Gamifizierte Schulungen: In Kooperation mit EdTechs entwickeln einige Banken lernbasierte Kurzspiele, die typische Phishing-Szenarien simulieren und Benutzer direkt aufklären. Erste Pilotprojekte zeigen eine höhere Verweildauer und bessere Erinnerungseffekte.
- Verpflichtende Push-Warnungen bei verdächtigen Transaktionen: Wenn ein ungewöhnlicher Zahlungsempfänger oder hoher Betrag auftaucht, erfolgt nicht nur eine TAN-Anfrage, sondern ein erklärender Sicherheitshinweis inklusive Link zu weiterführenden Infos.
Praxisblick: Was erfolgreiche Banken anders machen
Ein Blick nach Skandinavien zeigt, wie digitalaffine Banken beim Thema Phishing präventiv vorgehen. Die schwedische Bank SEB setzt seit 2023 auf eine vollständig verschlüsselte Kommunikation mit ihren Kunden über eigene Messaging-Protokolle. Zudem identifiziert ein KI-Modul auffällige Login-Muster über Endgeräte und blockiert Zugriffe automatisch, wenn bestimmte Schwellenwerte überschritten werden.
Auch Start-ups rücken stärker in den Fokus. Die Berliner Cybersecurity-Firma Build38 entwickelt App-Schutzsysteme, die auf dem Prinzip „Runtime Application Protection“ (RASP) basieren. Damit wird die Integrität der App zur Laufzeit überwacht, inklusive Schutz vor In-App-Phishing. Erste Großbanken testen die Integration für mobile Zugänge.
Regulatorische Dynamik und internationale Standards
Seit Inkrafttreten der europäischen PSD2-Richtlinie sind Banken verpflichtet, starke Kundenauthentifizierung (SCA) umzusetzen. Das hat Phishing nicht eliminiert, aber Hürden erhöht. Die nächste Regulierungsstufe – PSD3 – wird voraussichtlich 2026 in Kraft treten und könnte strengere Vorgaben zur Echtzeit-Kommunikation, API-Sicherheit und Verbraucherschutz enthalten.
Darüber hinaus arbeitet die Europäische Bankenaufsicht (EBA) seit Mitte 2025 an einem Zertifikatsstandard für sichere Banknachrichten, ähnlich der DKIM-Signaturen für E-Mails. Dieser „Bank Message Authenticity Standard (BMAS)“ befindet sich aktuell in der Pilotphase mit vier Großbanken und soll 2026 breiter ausgerollt werden.
Fazit: Ein mehrschichtiger Ansatz schützt besser
Die Verteidigung gegen Phishing ist ein Wettlauf zwischen Technikentwicklung und krimineller Kreativität. Banken stehen unter Zugzwang, denn Vertrauen ist ihr wichtigstes Kapital. Erfolgreicher Schutz entsteht daher nicht durch einzelne Maßnahmen, sondern durch integrierte Sicherheitsstrategien, die Technik, Prozesskontrolle und Nutzerverantwortung kombinieren.
Der technologische Fortschritt eröffnet viele Möglichkeiten – von Advanced Threat Detection über KI-gestützte Nutzerverhaltensanalyse bis hin zu sicheren Kommunikationsprotokollen. Doch letztlich bleibt Prävention eine gesamtgesellschaftliche Aufgabe, die auch staatliche Aufklärungskampagnen, Standards und Bildungseinrichtungen einbeziehen muss.
Diskutieren Sie mit: Welche Strategien setzen Sie in Ihrem Unternehmen um, um Phishing-Angriffe zu bekämpfen? Nutzen Sie das Kommentarfeld oder schreiben Sie uns eine Nachricht. Ihre Erfahrungen helfen der Community weiter.
