Wie Sie nach einer gefälschten SMS Ihre Ansprüche gegenüber Bank und Tätern sichern
Eine unauffällige Limousine fährt durch die Innenstadt – im Kofferraum surrt ein Gerät von der Größe eines Schuhkartons. Während der Wagen seine Runden dreht, vibrieren in den Hosentaschen der Passanten reihenweise die Smartphones, weil eine angebliche Mahnung oder eine offene Parkbüße eingegangen ist. Wer auf den Link klickt, verliert oft binnen Minuten Geld vom Bankkonto. Sogenannte SMS-Blaster werden aus fahrenden Autos heraus betrieben und haben in einzelnen Großstädten Schadenssummen in Millionenhöhe verursacht. Wer betroffen ist, sollte schnell handeln, um Erstattungsansprüche und strafrechtliche Maßnahmen zu sichern.
Was ist ein SMS-Blaster und wie funktioniert die neue Betrugsmasche?
Bei einem SMS-Blaster handelt es sich um ein mobiles Gerät von der Größe eines Schuhkartons, das eine legitime Mobilfunkantenne imitiert. Es wird an eine Autobatterie angeschlossen, im Kofferraum verstaut und lässt sich über eine App fernsteuern. Die Täter fahren damit gezielt durch dicht besiedelte Gebiete – Innenstädte, Bahnhöfe oder Stadien. Innerhalb eines Radius von bis zu eintausend Metern verbinden sich alle Smartphones der Passanten automatisch mit dem fahrenden Gerät. Eine einzige Tour erreicht so zehntausende Empfänger, ohne dass die Täter eine einzige Telefonnummer kennen – und das Gerät kann kurze Zeit später bereits in einer anderen Stadt im Einsatz sein.
Sobald die Verbindung steht, zwingt der Blaster die Telefone in das veraltete 2G-Netz. Dort sind die Sicherheitsstandards deutlich niedriger, sodass Nachrichten ungeprüft zugestellt werden können. Die Opfer erhalten dann eine SMS, die wie eine Mitteilung der eigenen Bank, einer Behörde, der Post oder eines bekannten Unternehmens wirkt. Häufig wird mit einer angeblichen Mahnung, einer Parkbüße oder einem ungewöhnlichen Anmeldeversuch gedroht, um die Empfänger zum schnellen Handeln zu bewegen.
Wer dem Link folgt, landet auf einer gefälschten Internetseite, die der Originalplattform optisch nachempfunden ist. Dort werden Zugangsdaten zum Online-Banking, Kreditkarteninformationen oder Bestätigungscodes für TAN-Verfahren abgefragt. Sobald die Daten eingegeben wurden, können die Täter Überweisungen veranlassen oder das Konto leerräumen. In Genf hat die Staatsanwaltschaft mittlerweile 154 Geschädigte mit einem Gesamtschaden von knapp zwei Millionen Franken registriert.
Die Methode ist deshalb besonders gefährlich, weil der SMS-Blaster die offiziellen Spam-Filter der Mobilfunkanbieter umgeht. Die gefälschten Nachrichten kommen direkt vom Gerät der Täter, nicht über das reguläre Netz. Filtertechnologien greifen nicht. Hinzu kommt, dass parallel zum Angriff reguläre Funkverbindungen unterbrochen werden – in Toronto blockierte ein einziger Blaster zeitweise sogar Notrufe.
Bevor Sie einer SMS-Aufforderung zur sofortigen Zahlung oder Datenpreisgabe nachkommen, prüfen Sie den Absender direkt bei der offiziellen Stelle und nutzen Sie nicht den übermittelten Link.
Erstattungsansprüche gegen die Bank: § 675u BGB im Phishing-Fall
Wer durch eine gefälschte SMS Geld verloren hat, hat häufig einen Erstattungsanspruch gegen die eigene Bank. Nach § 675u BGB muss das kontoführende Institut bei einem nicht autorisierten Zahlungsvorgang den Betrag unverzüglich erstatten und das Konto auf den Stand zurückführen, auf dem es ohne die Buchung wäre. Voraussetzung ist, dass der Zahlungsvorgang nicht vom Kontoinhaber selbst freigegeben wurde.
Maßgeblich ist die Frage, ob die Bank dem Kunden grobe Fahrlässigkeit nach § 675v Abs. 3 BGB nachweisen kann. Liegt grobe Fahrlässigkeit vor, kann das Institut den Erstattungsanspruch verweigern oder kürzen. Die Beweislast hierfür trägt allerdings die Bank, nicht der Kunde. Allein die Tatsache, dass jemand auf eine Phishing-SMS reagiert hat, begründet noch keine grobe Fahrlässigkeit. Entscheidend sind die konkreten Umstände – etwa, wie überzeugend die gefälschte Nachricht wirkte, ob Warnzeichen erkennbar waren und welche Informationen tatsächlich preisgegeben wurden.
Banken weisen Erstattungsansprüche in der Praxis häufig pauschal zurück. Sie verweisen auf eine angeblich grobe Fahrlässigkeit, ohne dies im Einzelnen zu begründen. Solche Ablehnungen halten einer rechtlichen Prüfung oft nicht stand. Wer sich frühzeitig wehrt und die Vorgänge dokumentiert, verbessert seine Position erheblich. Bei besonders ausgeklügelten Angriffen wie SMS-Blastern, deren Nachrichten für Verbraucher kaum von echten zu unterscheiden sind, lässt sich der Vorwurf der groben Fahrlässigkeit oft entkräften.
Lassen Sie eine Ablehnung der Bank nicht unbeantwortet stehen, sondern frühzeitig juristisch prüfen – die Erfolgsaussichten hängen wesentlich von der Substanz der Bankargumentation ab.
Strafanzeige und Beweissicherung nach SMS-Blaster-Angriff
Neben der zivilrechtlichen Auseinandersetzung mit der Bank ist die Strafanzeige ein wichtiger Schritt. SMS-Blaster-Betrug erfüllt regelmäßig mehrere Straftatbestände, darunter Computerbetrug nach § 263a StGB, Ausspähen von Daten nach § 202a StGB und Fälschung beweiserheblicher Daten nach § 269 StGB. Hinzu kommen Verstoße gegen das Telekommunikationsgesetz, da der Betrieb einer Pseudoantenne ohne Frequenzzuteilung unzulässig ist.
Die Anzeige eröffnet ermittlungsbehördliche Maßnahmen und kann den Erstattungsanspruch gegenüber der Bank stärken. Für eine wirkungsvolle Beweissicherung sollten Betroffene folgende Schritte beachten:
- Original-SMS aufbewahren: Die gefälschte Nachricht nicht löschen. Screenshots mit sichtbarem Absender, Datum und Uhrzeit anfertigen und gesondert speichern.
- Kontoauszüge sichern: Alle nicht autorisierten Buchungen ausdrucken oder als PDF speichern, mit Wertstellungsdatum und Empfängerangaben.
- Kontaktversuche dokumentieren: Sämtliche Telefonate, E-Mails und Chats mit der Bank schriftlich festhalten – mit Datum, Uhrzeit und Gesprächsinhalt.
- Gerätekontext notieren: Standort, Tageszeit und genauer Ablauf nach Erhalt der SMS – diese Angaben helfen den Ermittlern bei der Lokalisierung des Blasters.
- Konto sofort sperren lassen: Bei Verdacht auf Datenmissbrauch unverzüglich den Sperr-Notruf 116 116 anrufen und alle betroffenen Karten und Zugänge sperren.
Die Strafanzeige kann bei jeder Polizeidienststelle oder online über die Internetwachen der Landeskriminalämter gestellt werden. Zusätzlich ist eine Meldung an die Bundesnetzagentur sinnvoll, da der Betrieb eines SMS-Blasters eine schwere Verletzung des Telekommunikationsrechts darstellt.
Sichern Sie Beweise unmittelbar nach Entdeckung des Schadens, bevor Daten überschrieben oder Verbindungen abgebrochen werden.
Wer haftet für den Schaden? Bank, Täter und Drittanbieter im Vergleich
Bei der Frage der Haftung sind mehrere Akteure zu unterscheiden. Primär verantwortlich sind die Täter, die den SMS-Blaster betreiben und die Daten missbrauchen. Sie sind in der Praxis aber selten greifbar, da sie häufig international vernetzt agieren und ihre Identität verschleiern. Polizei und Staatsanwaltschaften gehen bei der Genfer Welle und vergleichbaren Fällen davon aus, dass organisierte Cybercrime-Netzwerke dahinter stehen. Eine zivilrechtliche Vollstreckung gegen unbekannte oder im Ausland sitzende Täter ist regelmäßig aussichtslos.
Die zweite und in der Praxis wichtigste Anlaufstelle ist die kontoführende Bank. Hier greift das Erstattungsregime nach §§ 675u, 675v BGB. Ob die Bank den vollen Betrag, einen Teilbetrag oder gar nichts erstatten muss, hängt vom Verschuldensgrad des Kunden ab. Auch die Sicherheitsstandards des Online-Bankings spielen eine Rolle – Institute müssen aktuelle Authentifizierungsverfahren bereitstellen und auffällige Zahlungsmuster erkennen.
Zahlungsdienstleister und Drittanbieter, etwa Anbieter von Sofortüberweisungen, haften nur in seltenen Konstellationen – etwa bei verletzten Sicherheitspflichten oder übersehenen verdächtigen Zahlungsmustern. Eine Haftung des Mobilfunkanbieters scheidet meist aus, weil die Filterstrukturen den SMS-Blaster technisch nicht erfassen können.
Lassen Sie alle in Betracht kommenden Anspruchsgegner prüfen, bevor Sie sich auf eine einzige Anlaufstelle konzentrieren.
So schützen Sie Ihr Smartphone vor SMS-Blastern und Smishing
Technische Schutzmaßnahmen sind die wirksamste Vorsorge. Bei vielen Android-Geräten lässt sich in den Netzwerkeinstellungen die Verbindung zum 2G-Netz vollständig deaktivieren. Da der SMS-Blaster ausschließlich über dieses veraltete Netz arbeitet, läuft der Angriff bei deaktiviertem 2G ins Leere. Den Pfad zur Einstellung finden Sie meist unter „Mobilfunk“ oder „Netzwerkeinstellungen“ und „Erlaubte Netztypen“.
Beim iPhone ist eine direkte Abschaltung des 2G-Netzes nicht möglich. Apple bietet aber den sogenannten Blockierungsmodus (Lockdown Mode) in den Datenschutzeinstellungen an. Dieser Modus unterbindet die Verbindung zu 2G ebenfalls, schränkt allerdings andere Funktionen ein und sollte deshalb gezielt bei erhöhter Bedrohungslage aktiviert werden.
Wer regelmäßig im Ausland unterwegs ist, muss berücksichtigen, dass das 2G-Netz in vielen Staaten weiterhin in Betrieb ist. Die Einstellung muss dann temporär aufgehoben werden, um Erreichbarkeit zu gewährleisten. Auch in Deutschland sind 2G-Restbestände noch aktiv, sodass die Deaktivierung im Einzelfall zu Empfangsproblemen führen kann.
Unabhängig von technischen Maßnahmen empfiehlt sich grundsätzliches Misstrauen gegenüber jeder SMS, die zur sofortigen Zahlung oder Datenpreisgabe auffordert. Behörden und seriöse Unternehmen versenden Mahnungen oder Zahlungsaufforderungen nicht über SMS mit anklickbaren Links. Im Zweifel sollten Sie die Forderung direkt bei der offiziellen Stelle prüfen, ohne den Link in der Nachricht zu nutzen.
Geben Sie Bankzugangsdaten, TANs oder Kreditkarteninformationen niemals nach Aufforderung in einer SMS preis.
Wann lohnt sich anwaltliche Beratung bei SMS-Blaster-Betrug?
Anwaltliche Beratung ist immer dann sinnvoll, wenn die Bank den Erstattungsanspruch ablehnt, kürzt oder zögerlich behandelt. Gerade in der Auseinandersetzung um den Vorwurf der groben Fahrlässigkeit nach § 675v Abs. 3 BGB unterschätzen viele Betroffene ihre rechtliche Position. Banken nutzen die Komplexität der Rechtslage, um pauschale Ablehnungen durchzusetzen, die einer juristischen Prüfung nicht standhalten.
Auch bei höheren Schadenssummen oder mehreren Buchungen lohnt sich eine frühzeitige Beratung. Anwälte prüfen die Anspruchsgegner, sichern Beweise und wahren Fristen – die Verjährung für Erstattungsansprüche aus nicht autorisierten Zahlungsvorgängen folgt eigenen Regeln, die eine schnelle Reaktion erfordern. Im Strafverfahren kann der Anwalt zugleich als Vertretung der Geschädigten auftreten, Akteneinsicht nehmen und die zivilrechtliche Anschlusshandlung vorbereiten.
Fazit: SMS-Blaster-Betrug erfordert schnelles und strukturiertes Handeln
Die Masche mit dem SMS-Blaster wird sich weiter ausbreiten, weil sie technisch einfach umzusetzen und für die Täter hoch profitabel ist. Fälle aus Genf, Basel, Toronto und mittlerweile auch aus deutschen Großstädten zeigen, dass kein Netzbetreiber und kein Spam-Filter die Pseudoantennen zuverlässig erfassen kann. Wer Opfer geworden ist, sollte nicht resignieren.
Erstattungsansprüche gegen die Bank sind in vielen Fällen durchsetzbar, vor allem dann, wenn der Vorwurf der groben Fahrlässigkeit substantiiert bestritten werden kann. Wichtig sind die schnelle und vollständige Beweissicherung, eine fristgerechte Reaktion auf Ablehnungen der Bank und die Einbindung anwaltlicher Beratung in komplexen Fällen. Wer strukturiert vorgeht, hat realistische Chancen, einen Großteil des Schadens zurückzuerhalten und die strafrechtliche Verfolgung der Täter zu unterstützen.
