Bitpanda Phishing 2026: Eine neue Welle trifft deutschsprachige Nutzer
Seit Wochen rollt eine massive Phishing-Welle durch den deutschsprachigen Raum, die gezielt Kundinnen und Kunden der österreichischen Kryptobörse Bitpanda ins Visier nimmt. Die Watchlist Internet dokumentierte am 11. März 2026 erste Warnmeldungen. Auch das österreichische Computer Emergency Response Team CERT.at sowie Sicherheitsforscher von Cofense haben inzwischen umfangreiche Erkenntnisse zu diesem koordinierten Angriff veröffentlicht. Was diese Kampagne von früheren Angriffen unterscheidet, ist ihre mehrstufige Struktur: Betroffene erhalten zunächst eine täuschend echte SMS, werden anschließend telefonisch bearbeitet und schließlich dazu gebracht, den Kriminellen aktiv Zugang zu ihren Bankkonten zu verschaffen.
Die Schadenssummen pro Opfer bewegen sich im mittleren fünfstelligen Bereich. Wenn Sie Bitpanda-Kundin oder -Kunde sind, sollten Sie die Funktionsweise dieser Masche kennen — denn nur wer die Methoden der Täter versteht, kann sich wirksam schützen. Dieser Artikel erläutert die technischen und psychologischen Mechanismen, zeigt, welche rechtlichen Ansprüche Betroffene haben, und erklärt, welche Schritte jetzt erforderlich sind.
Smishing als Einstieg: Die gefälschte Wallet-Transfer-Warnung
Der erste Kontakt erfolgt in der Regel per SMS. Die Nachricht lautet sinngemäß: „Verdacht auf unautorisierten Wallet-Transfer am 10.03 um 13:35. Bitte kontaktieren Sie zur Klärung umgehend unseren Support: +4312051523.“ Der Text wirkt glaubwürdig, weil er technisches Vokabular verwendet, das echten Bitpanda-Mitteilungen ähnelt. Insbesondere tückisch ist der Umstand, dass Smartphones diese Nachricht häufig im selben Nachrichtenthread anzeigen wie frühere, tatsächlich von Bitpanda stammende SMS. Dieses Phänomen geht auf die technisch manipulierbare Absenderkennung zurück.
Diese Technik wird als Smishing bezeichnet — eine Wortkombination aus SMS und Phishing. Infolgedessen können Sie anhand des Nachrichtenverlaufs allein nicht erkennen, ob es sich um eine Fälschung handelt. Bitpanda selbst hat klargestellt, dass das Unternehmen seine Nutzerinnen und Nutzer niemals per SMS zu einem Rückruf auffordert und niemals zur Durchführung eines Wallet-Transfers anweist. Wer die genannte Nummer anruft, gelangt direkt in das Netz der Täter.
Professionell gefälschte E-Mails mit Bitpanda-Branding
Parallel zur SMS-Kampagne versenden die Täter E-Mails, die optisch nahezu identisch mit echten Bitpanda-Nachrichten gestaltet sind. Laut dem Cofense-Report enthalten diese Mails einen fingierten Auszahlungsversuch-Alarm sowie eine angebliche IP-Adresse aus Polen, die einen nicht autorisierten Zugriffsversuch suggeriert. Außerdem ist ein gefälschter Verifizierungscode beigefügt, der Dringlichkeit erzeugen soll. Wer auf den enthaltenen Link klickt, wird auf eine täuschend echte Nachbildung der Bitpanda-Weboberfläche geleitet.
Dort beginnt laut Cofense nicht nur das Abfischen von Zugangsdaten, sondern ein gestuftes Fake-MFA-Verfahren. Dieses Verfahren ist darauf ausgelegt, umfangreiche persönliche Daten zu sammeln: Name, Telefonnummer, Wohnadresse und Geburtsdatum werden abgefragt. Gleichzeitig werden damit alle Voraussetzungen geschaffen, um Sie als Opfer anschließend telefonisch glaubwürdig anzusprechen — mit persönlichen Details, die echtes Vertrauen vortäuschen. Haben Sie eine solche E-Mail erhalten, ist es geboten, den enthaltenen Link unter keinen Umständen anzuklicken.
Der Telefonanruf: Social Engineering auf hohem Niveau
Nachdem die Täter genügend persönliche Daten gesammelt haben, folgt der entscheidende Schritt: ein Telefonanruf, bei dem sich die Anrufer als Bitpanda-Supportmitarbeiter ausgeben. Sie kennen Ihren vollständigen Namen, Ihre hinterlegte Telefonnummer und oft auch Ihre Kontonummer — Informationen, die aus dem vorangegangenen Fake-Formular stammen. Zunächst wird ein dringendes Sicherheitsproblem geschildert, das sofortiges Handeln erfordere.
Dann folgt die eigentliche Manipulation. Das Opfer wird aufgefordert, eine Fernzugriffssoftware zu installieren — häufig legitime Anwendungen wie AnyDesk oder TeamViewer, die dadurch aber zum Werkzeug des Betrugs werden. Anschließend soll das Opfer sein Online-Banking öffnen. Schließlich werden 2FA-Codes abgefragt, die Sie glauben, zur Verifizierung Ihres eigenen Kontos einzugeben. In Wirklichkeit bestätigen Sie damit Überweisungen, die die Täter im Hintergrund bereits vorbereitet haben. Der gesamte Betrag verlässt das Konto, bevor Sie verstehen, was geschehen ist.
Strafrechtliche Einordnung: Betrug und Computerbetrug
Das geschilderte Vorgehen erfüllt den Tatbestand des Betrugs gemäß § 263 StGB in seiner klassischen Form: Die Täter erregen durch Vorspiegelung falscher Tatsachen einen Irrtum, der zu einer Vermögensverfügung — hier der Freigabe von Überweisungen — führt. Darüber hinaus kommt der Tatbestand des Computerbetrugs nach § 263a StGB in Betracht, da die Täter Datenverarbeitungsvorgänge unbefugt manipulieren. Beide Normen sehen empfindliche Freiheitsstrafen vor. Bei gewerbsmäßiger Begehung im Rahmen einer Bande erhöhen sich die Strafrahmen erheblich.
Außerdem ist zu prüfen, ob die Täter durch die systematische Sammlung und Verwertung persönlicher Daten den Tatbestand der Geldwäsche nach § 261 StGB verwirklichen — insbesondere wenn die erbeuteten Beträge über Krypto-Wallets weitergeleitet werden. Insbesondere bei grenzüberschreitenden Täterstrukturen, wie sie bei dieser Kampagne zu vermuten sind, kommen internationale Rechtshilfeabkommen und die Befugnisse von Europol zum Tragen.
Zivilrechtliche Ansprüche: Wer haftet für den Schaden?
Aus zivilrechtlicher Perspektive stehen Ihnen als Betroffenem mehrere Anspruchsgrundlagen zur Verfügung. Gegenüber den Tätern selbst ergibt sich ein Schadensersatzanspruch aus § 823 Abs. 2 BGB in Verbindung mit § 263 StGB sowie aus § 826 BGB wegen vorsätzlicher sittenwidriger Schädigung. Allerdings scheitern diese Ansprüche in der Praxis häufig an der fehlenden Greifbarkeit der Täter — weshalb Blockchain-Forensik eine zentrale Rolle spielt. Über spezialisiertes Krypto-Tracing und Blockchain-Forensik lassen sich Transaktionswege auf der Chain nachverfolgen und Täterkonten identifizieren, was die Grundlage für eine Sicherungsanordnung nach § 73 StGB i.V.m. § 111e StPO bildet.
Daneben rückt die Frage der Bankhaftung in den Vordergrund. Nach § 675u BGB ist ein Zahlungsdienstleister grundsätzlich zur Erstattung nicht autorisierter Zahlungsvorgänge verpflichtet. Die Bank kann jedoch einwenden, dass Sie durch grob fahrlässige Weitergabe von 2FA-Codes zur Ausführung der Transaktion beigetragen haben — was die Haftung nach § 675v BGB einschränken würde. Ob tatsächlich grobe Fahrlässigkeit vorliegt, ist eine Frage des Einzelfalls. Gerade bei psychologisch ausgefeiltem Social Engineering, das selbst aufmerksamen Menschen begegnet, sprechen gute Gründe gegen eine grob fahrlässige Mitwirkung. Mehr zur Bankhaftung bei Kryptobetrug finden Sie auf unserer Übersichtsseite.
Schließlich ist zu prüfen, ob Bitpanda selbst Pflichten verletzt hat — etwa im Bereich der Nutzerwarnung oder der Plattformsicherheit. Ansprüche aus § 280 BGB i.V.m. § 286 BGB wegen Verletzung vertraglicher Schutzpflichten sind denkbar, setzen jedoch eine konkrete Pflichtverletzung voraus, die im Einzelfall darzulegen ist.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Regulatorischer Rahmen: MiCAR und KWG als Schutzinstrumente
Seit dem vollständigen Inkrafttreten der europäischen Kryptomärkte-Verordnung MiCAR sind Anbieter von Krypto-Dienstleistungen in der EU strengeren Transparenz- und Sicherheitsanforderungen unterworfen. Wer ohne die erforderliche Zulassung nach § 32 KWG tätig wird oder Kundenvermögen ohne behördliche Erlaubnis verwaltet, macht sich nach § 54 KWG strafbar. Insbesondere Plattformen, die im Rahmen von Phishing-Kampagnen als Vehikel zur Geldwäsche eingesetzt werden, riskieren eine behördliche Abwicklungsverfügung.
Gleichzeitig verpflichtet MiCAR legale Anbieter wie Bitpanda zu proaktiver Kommunikation über Sicherheitsvorfälle. Wenn Sie sich fragen, ob die Plattform ihrer Informationspflicht rechtzeitig nachgekommen ist, sollten Sie dies anwaltlich prüfen lassen. Ähnliche Muster wurden bereits bei der Trade Republic Phishing-SMS-Welle beobachtet, die zeigt, wie breit diese Angriffe inzwischen aufgestellt sind. Außerdem verdeutlichen Fälle wie der Ledger-Wallet-Phishing-Betrug, dass Kriminelle systematisch auch bei vertrauenswürdigen Marken ansetzen.
Beweissicherung und erste Schritte nach dem Angriff
Wenn Sie Opfer dieser Masche geworden sind, ist unverzügliches Handeln geboten. Zunächst sollten Sie alle verfügbaren Beweise sichern: Screenshots der erhaltenen SMS und E-Mails, Aufzeichnungen aller Telefongespräche soweit rechtlich zulässig, Kontoauszüge mit den betroffenen Transaktionen sowie die vollständigen E-Mail-Header der gefälschten Nachrichten. Diese Header enthalten technische Informationen über den Versandweg der E-Mail, die für Ermittlungen wertvoll sind.
Danach ist es geboten, Ihre kontoführende Bank unverzüglich zu kontaktieren und eine Sperrung des Kontos sowie eine Rückbuchungsanfrage zu stellen. Infolgedessen sinkt das Risiko weiterer unautorierter Transaktionen. Parallel dazu empfiehlt sich die Erstattung einer Strafanzeige, denn nach § 152 StPO sind Strafverfolgungsbehörden bei Anfangsverdacht zur Aufnahme von Ermittlungen verpflichtet. Je früher Ermittlungen beginnen, desto größer ist die Chance, Täter zu identifizieren und Vermögenswerte nach § 111b StPO i.V.m. § 73 StGB sicherzustellen. Über KI-gestützte Betrugs- und Deepfake-Phishing-Methoden 2026 informiert unser weiterführender Artikel, der zeigt, wie technologisch ausgefeilt diese Angriffe inzwischen sind.
Häufige Fragen zum Bitpanda Phishing 2026
Was ist Smishing und warum erscheinen die Fake-SMS im echten Bitpanda-Thread?
Smishing bezeichnet die Kombination aus SMS und Phishing: Kriminelle versenden täuschend echte Kurznachrichten, die vorgeben, von Bitpanda zu stammen. Da Smartphones Nachrichten nach Absenderkennung gruppieren und diese Kennung technisch manipulierbar ist, erscheint die betrügerische SMS im selben Nachrichtenverlauf wie frühere, echte Bitpanda-Mitteilungen. Für Betroffene entsteht dadurch kein visueller Hinweis auf eine Fälschung, was die Gefahr erheblich erhöht.
Woran erkenne ich, dass eine Bitpanda-SMS oder -E-Mail gefälscht ist?
Bitpanda fordert seine Nutzerinnen und Nutzer niemals per SMS zur Kontaktaufnahme über eine Telefonnummer auf und weist niemals zur Durchführung eines Wallet-Transfers an. Erhalten Sie eine Nachricht mit einer österreichischen Rufnummer wie +4312051523 oder eine E-Mail mit einem angeblichen Auszahlungsversuch aus Polen, handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Nachricht. Gleichzeitig ist Vorsicht geboten, wenn eine E-Mail einen Verifizierungscode enthält, den Sie nicht selbst angefordert haben.
Welche rechtlichen Ansprüche haben Betroffene gegen die Täter?
Die Täter machen sich wegen Betrugs gemäß § 263 StGB sowie wegen Computerbetrugs gemäß § 263a StGB strafbar. Zivilrechtlich können Sie als Geschädigte oder Geschädigter Schadensersatzansprüche aus § 823 Abs. 2 BGB in Verbindung mit den genannten Strafnormen sowie aus § 826 BGB geltend machen. Darüber hinaus ermöglicht eine strafrechtliche Sicherungsanordnung nach § 73 StGB i.V.m. § 111e StPO unter Umständen die Rückführung unrechtmäßig erlangter Vermögenswerte, sofern diese auf identifizierbaren Wallets gesichert werden können.
Haftet die Bank, wenn trotz aktivierter Zwei-Faktor-Authentifizierung Überweisungen ausgeführt wurden?
Eine Bankhaftung richtet sich primär nach § 675u BGB, der das Kreditinstitut zur Erstattung nicht autorisierter Zahlungsvorgänge verpflichtet. Allerdings kann die Bank eine grob fahrlässige Mitwirkung einwenden — etwa wenn Sie 2FA-Codes telefonisch an Unbekannte weitergegeben haben. Die Abgrenzung zwischen einfacher und grober Fahrlässigkeit ist im Einzelfall zu prüfen. Insbesondere bei psychologisch geschickter Manipulation durch Social Engineering sprechen gute Argumente dafür, dass keine grobe Fahrlässigkeit des Opfers vorliegt.
Was sollte ich sofort tun, wenn ich Opfer dieser Betrugsmasche geworden bin?
Zunächst ist es geboten, alle Transaktionsbelege, Screenshots der SMS und E-Mails sowie Gesprächsaufzeichnungen zu sichern. Danach sollten Sie Ihre Bank umgehend informieren und eine Sperrung der betroffenen Konten veranlassen. Gleichzeitig empfiehlt sich die Erstattung einer Strafanzeige bei der Polizei, da Ermittlungsbehörden nach § 152 StPO bei Anfangsverdacht verpflichtet sind, Ermittlungen aufzunehmen. Schließlich ist die Hinzuziehung einer auf Kryptobetrug spezialisierten Rechtsanwältin oder eines Rechtsanwalts dringend zu empfehlen, um die Fristen für zivilrechtliche Ansprüche zu wahren.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern