Immer raffinierter werden die Methoden von Cyberkriminellen – und diesmal trifft es gezielt Sparkassen-Kunden: Eine neue Phishing-Kampagne gibt sich als Bundesbehörde aus und fordert sensible Daten unter einem perfiden Vorwand. Wir haben die Masche untersucht, Experten befragt und zeigen, wie sich Betroffene wirksam schützen können.
Gefälschte E-Mails im Namen des Bundeszentralamts für Steuern
Seit Ende 2025 rollt eine neue Phishing-Welle durch Deutschland, die sich vor allem an Kunden der Sparkasse richtet. Im Zentrum der Masche stehen täuschend echt wirkende E-Mails, die vermeintlich vom „Bundeszentralamt für Steuern“ (BZSt) stammen. Die Schreiben bedienen sich offiziöser Sprache, echten Logo-Varianten und einem Anstrich staatlicher Dringlichkeit. Ihr Ziel: die Abgreifung persönlicher Daten wie Steuernummer, Kontodaten und Login-Credentials zum Online-Banking.
Die perfiden Mails suggerieren, dass es Unregelmäßigkeiten bei der Steuer-ID oder Rückforderungsmöglichkeiten aufgrund überzahlter Lohnsteuer gebe. Um diese rasch zu klären, würden verbindliche Angaben über ein Onlineformular benötigt – der mitgeschickte Link führt jedoch auf eine betrügerische, täuschend echte Nachbildung des BZSt-Portals.
Prominent im Fokus der Kampagne: Kunden der Sparkassengruppe. Die gefälschten Seiten leiten weiter zu einer Login-Maske, die sich gezielt als Sparkassen-Onlinebanking tarnt und damit den zweiten Teil des Datendiebstahls einleitet: Benutzername, PIN und TAN-Codes.
Warum gerade Sparkassen-Kunden ins Visier geraten
Der deutsche Bankenmarkt ist breit aufgestellt, doch mit rund 40 Millionen Kunden – ein Drittel der Gesamtbevölkerung – stellt die Sparkassengruppe ein ergiebiges Ziel für Cyberbetrüger dar. Laut Deutschem Sparkassen- und Giroverband (DSGV) nutzten im Jahr 2024 über 60 % der Sparkassenkundschaft das Onlinebanking-Angebot regelmäßig (Quelle: DSGV Jahresbericht 2024).
Cyberkriminelle erkennen in dieser Nutzungsdichte eine hohe Erfolgschance für große, breit angelegte Angriffswellen. Zumal viele Sparkassenkunden zwischen unterschiedlichen Kommunikationskanälen der Sparkasse, lokalen Filialen und staatlichen Instituten weniger strikt unterscheiden – eine Lücke, die Täter gezielt ausnutzen.
Zudem sind Phishing-Baukästen im Darknet mittlerweile auf Sparkassen-Layout optimiert erhältlich, inklusive SSL-gesicherten Fake-Websites, Wordings im Corporate Design und CAPTCHA-Masken als vermeintlicher Sicherheitsindiz.
Technologische Raffinesse: So täuschen die Phishing-Seiten Nutzer
Die gefälschten Websites operieren mit aktuellen Webtechnologien: TLS-Zertifikate lassen echte HTTPS-Adressen vermuten, Browser-Icons zeigen das vermeintlich sichere Schloss-Symbol. Modernes Responsive Design und gut kopiertes UI der Sparkassen-Oberflächen liefern kaum visuelle Hinweise auf die Fälschung.
Erschwerend kommt hinzu: Viele der Domains verwenden Unicode-Zeichen, die echten Webadressen täuschend ähnlich sehen („homograph attacks“). Der Unterschied liegt oft nur in einem vertauschten Buchstaben oder einem kyrillischen Zeichen, das in lateinischer Schrift identisch aussieht.
Öffentliche Warnungen: Wie die Sparkassen gegensteuern
Die Sparkassen haben zügig auf die Bedrohung reagiert. Bereits im Dezember 2025 wurde auf den Webseiten zahlreicher regionaler Sparkassen eine Sicherheitswarnung geschaltet. Auch über Push-Nachrichten in den Mobile-Banking-Apps und durch E-Mail-Newsletter wurden Kunden sensibilisiert.
Laut DSGV erfolgte der interne Warnhinweis am 4. Dezember 2025, am 5. Dezember erschienen die ersten offiziellen Pressemitteilungen. Damit agierte die Gruppe in vergleichsweise kurzer Reaktionszeit. Zudem läuft eine enge Zusammenarbeit mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik), das betroffene Domains gemeinsam mit Providern sperrt und auch über das Projekt „BSI warnt“ E-Mail-Adressen überprüfbarer Phishing-Angriffe meldet.
Allerdings kritisieren Experten, darunter auch der IT-Sicherheitsexperte Linus Neumann vom Chaos Computer Club, dass viele Warnmechanismen zu unauffällig oder technisch vermittelt seien: „Eine App-Benachrichtigung ist nur dann wirksam, wenn sie gut erklärt und präsent integriert ist.“ Eine zentrale Plattform zur bankübergreifenden Bedrohungskommunikation fehle weiterhin.
Phishing bleibt Wachstumsfeld im Cybercrime
Ein Blick auf übergreifende Zahlen zeigt: Phishing wird zunehmend das Einfallstor für digitalisierte Wirtschaftsspionage, Identitätsdiebstahl und Onlinebetrug. Laut dem BKA „Bundeslagebild Cybercrime 2025“ stieg die Zahl der erfassten Phishing-Vorfälle um 23 % gegenüber dem Vorjahr (Quelle: BKA, Bundeslagebild Cybercrime 2025). Dabei lag die durchschnittliche Schadenshöhe je Einzelfall bei rund 4.800 Euro – ein dramatischer Anstieg gegenüber den 3.200 Euro im Jahr 2023.
Besonders beunruhigend: An rund 35 % der registrierten Phishing-Angriffe waren gefälschte Behördenadressen beteiligt – ein klarer Trend, den Sicherheitsbehörden der sogenannten „Social Engineering 2.0“-Generation zuschreiben. Statt breit gestreuter Massenmails setzen Angreifer auf psychologisch raffinierte Szenarien, die gezielt Vertrauen erzeugen.
So können sich Verbraucher schützen
Die beste Verteidigung gegen Phishing bleibt die Wachsamkeit der Nutzer. Doch technische Schutzmaßnahmen und digitales Grundverständnis sind ebenso unverzichtbar. Die folgenden Handlungsempfehlungen helfen, Angriffe zu erkennen und Schäden zu vermeiden:
- Absender genau prüfen: Behördliche Schreiben kommen niemals ungefragt per E-Mail. Kunden sollten stets auf die genaue Domain achten – echte Mails des BZSt enden auf @bzst.bund.de.
- Niemals auf Links in verdächtigen Mails klicken: Stattdessen lieber die Website der Behörde oder Bank direkt im Browser aufrufen und dort gezielt nach Informationen oder Logins suchen.
- Zwei-Faktor-Authentifizierung aktivieren: Besonders bei Bank- und E-Mail-Accounts sollte 2FA Standard sein. Viele Sparkassen bieten TAN-Generatoren oder App-basierte Authentifizierungen an.
- Antiphishing-Funktionen im Mailprogramm nutzen: Moderne E-Mail-Clients wie Outlook oder Gmail erkennen viele bekannte Phishing-Muster automatisch und markieren sie als gefährlich.
- Verdächtige Inhalte melden: Phishing-Mails können über portale wie phishing@sparkasse.de oder beim BSI gemeldet werden und helfen so, Betrugswellen schneller einzudämmen.
Fazit: Digitale Wachsamkeit ist der beste Schutz
Die aktuelle Phishing-Welle zeigt einmal mehr: Auch geübte Nutzer können Opfer raffinierter Täuschung werden. Der zunehmende Missbrauch vertrauenswürdiger staatlicher Instanzen wie dem Bundeszentralamt für Steuern deutet auf eine neue Professionalität organisierter Cyberkriminalität hin.
Doch mit präziser Kommunikation der Banken, technischer Weiterbildung der Nutzer und gemeinsamen Anstrengungen gegen Phishing lässt sich der Trend umkehren. Kunden sind gut beraten, regelmäßige Sicherheitschecks durchzuführen, Informationen nicht blindlings preiszugeben und bei Zweifeln professionelle Beratung zu suchen.
Ihre Meinung zählt: Haben Sie bereits ähnliche Phishing-E-Mails erhalten? Wie gehen Sie privat oder beruflich mit solchen Risiken um? Schreiben Sie uns in den Kommentaren oder teilen Sie Ihre Erfahrungen mit der Community. So machen wir das Netz gemeinsam sicherer.
