Es ist einer von tausenden Betrugsfällen, die Jahr für Jahr in Rheinland-Pfalz passieren. Und so einer, der jedem passieren könnte: Ein Betrüger gibt sich als Sparkassenmitarbeiter aus und verleitet Sarah geschickt dazu, in einer SMS einen Bestätigungslink zu drücken, eine TAN herauszugeben - und damit unbewusst den Weg auf ihr Konto frei zu machen. Sie meldet sich beim SWR, um ihre Geschichte zu erzählen.
"Es hat mich sehr erschreckt, dass mir das passiert ist", sagt Sarah (Name von der Red. geändert) aus dem Eifelkreis Bitburg-Prüm. Sie ist 46 Jahre alt. "Eigentlich habe ich mich immer für sehr aufgeklärt gehalten." PINs oder TANs gebe sie eigentlich nie heraus. Ihren Eltern würde sie immer einbläuen, bei seltsamen Anrufen sofort aufzulegen.
Betrugsmasche: Bank-App deinstallieren
Aber dann wurde sie doch zum Betrugsopfer. Nach einer anstrengenden Arbeitswoche im Januar 2024 gönnte sie sich am Freitagnachmittag eine kleine Auszeit auf dem Sofa. In genau diesem Moment klingelte ihr Handy. Ein vermeintlicher Sparkassenmitarbeiter rief an - von der Nummer ihrer örtlichen Sparkasse. "Er hat mich aufgefordert, meine Push-Tan-App zu deinstallieren, weil es damit Probleme gebe", sagt Sarah.
Es würde dann noch einen Brief mit dem Freischaltcode für die neue App geben, hieß es. Zur Verifizierung erhielt sie außerdem eine SMS - darin sollte sie einen Link klicken und dort die Postleitzahl ihrer Sparkasse eingeben. Laut Ermittelnder Generalstaatsanwaltschaft Bamberg hatte sie wohl auch eine TAN angegeben, damit der vermeintliche Bankmitarbeiter ihre Push-Tan-App wieder neu einrichten kann.
Konto gehackt: Betrüger gibt 3.500 Euro aus
Das Gespräch dauerte vier Minuten. "Ausdrucksweise, Sprache - alles war in perfektem Hochdeutsch", berichtet Sarah. "Ich hatte in keinem Moment das Gefühl, dass mich jemand über den Tisch zieht."
Ich hatte in keinem Moment das Gefühl, dass mich jemand über den Tisch zieht.
Der Klick auf den Link und Angabe einer TAN wurde ihr zum Verhängnis. Der Betrüger verschaffte sich dadurch Zugang zu ihrem Konto und gab über das Wochenende rund 3.500 Euro aus - Einkäufe in Berlin und mehrere Überweisungen in die Niederlande, berichtet Sarah. Am Montag darauf meldete sich die echte Sparkasse bei ihr und wies sie auf die ungewöhnlichen Kontoaktivitäten hin.
Sparkasse und Inkasso-Firma fordern Geld
Das betroffene Konto nutzte Sarah zu der Zeit eigentlich gar nicht, deswegen sei es eigentlich so gut wie leer gewesen. Nach dem Betrug war es jedoch um etwa 3.500 Euro überzogen. Nur wenige hundert Euro konnten rückgebucht werden, der Schaden für Sarah lag am Ende bei etwa 2.800 Euro.
"Die Sparkasse hat mir vorgeworfen, grob fahrlässig gehandelt zu haben und mich aufgefordert, den Betrag auszugleichen", sagt Sarah. Dazu kamen immer drängender werdende Forderungen eines Inkasso-Unternehmens über unbeglichene Rechnungen des Betrügers. "Eigentlich fühlte ich mich als Geschädigte, aber wurde immer mehr dahin gestellt, dass ich für den Schaden aufkommen muss", sagt Sarah dem SWR.
Ich habe mich hilflos, unverstanden und allein gelassen gefühlt.
Polizei warnt vor neuen Telefonbetrugsmaschen
Was Sarah erlebt habe, sei eine von vielen so genannten Phishing-Methoden, sagt Eva Koch von der Abteilung Zentrale Prävention des Polizeipräsidiums Mainz. Dabei versuchen die Betrüger sensible Daten abzugreifen, um darüber an Geld zu gelangen.
Dass Sarah den Anruf von der Nummer ihrer örtlichen Sparkasse erhalten habe, sei eine übliche Masche. "Das nennt man Call-ID-Spoofing", so Koch. Betrüger könnten vorgaukeln, von jeder beliebigen Nummer anzurufen. "Viele wissen nicht, dass die Nummer auf dem Telefondisplay nichts mit dem tatsächlichen Anrufer zu tun haben muss."
Schadensumme muss vor Gericht eingeklagt werden
Das perfide an der Phishing-Masche sei: Dinge am Handy zu erledigen, gehöre für die meisten Menschen zum Alltag. Man mache oft viele Dinge gleichzeitig und schnell, sagt Eva Koch von der Polizei Mainz. "Man hat meistens gar nicht die Zeit, sich mit allen Datenschutzbestimmungen oder Verifizierungen auseinanderzusetzen, mit denen man so konfrontiert wird." Da werde schnell mal etwas angeklickt oder bestätigt.
Das Geld sei dann wohl oder übel erstmal weg. "Die Schadensregulierung ist nicht Polizeisache, das muss im Zivilprozess eingeklagt werden."
Internet-Betrüger aus Berlin gefasst - 580.000 Euro Beute
Nach dem Vorfall vor zwei Jahren hatte Sarah direkt Anzeige erstattet und sich einen Anwalt genommen. Sie war offensichtlich nicht das einzige Opfer. Die Ermittlungen sind an die Generalstaatsanwaltschaft Bamberg übergegangen. Und die bayerischen Ermittler konnten den Täter fassen. Wie genau, möchten sie nicht öffentlich machen.
Nach Angaben des Leitenden Oberstaatsanwalts in Bamberg ist der Täter mittlerweile 22 Jahre alt und gebürtiger Berliner. Er wurde im März 2025 vom Landgericht Bamberg zu einer Jugendstrafe von drei Jahren verurteilt - wegen gewerbsmäßigen Computerbetrugs in 143 Fällen. Insgesamt habe der Täter so knapp 580.000 Euro erbeutet.
Betrugs-Opfer: Schadenersatz muss beantragt werden
Obwohl der Täter verurteilt ist bekommen die Opfer ihr Geld nicht so einfach zurück. Sie müssen laut Staatsanwaltschaft einen Antrag vor Gericht stellen, um Schadenersatz zu bekommen.
Eine Sache spukt Sarah immer noch durch den Kopf: "Ich verstehe noch heute nicht, warum ich in keinem Moment des Gesprächs das Gefühl hatte, etwas falsch zu machen."
