Über 10 Millionen Kunden vertrauen Trade Republic ihr Erspartes, ihre Aktien und ihr Kryptovermögen an. Genau diese Größe macht die Neobroker-Plattform zu einem Ziel für organisierte Cyberkriminelle. Seit Ende März 2026 warnt die Watchlist Internet vor einer neuen Angriffswelle. Kriminelle versenden Phishing-SMS im Namen von Trade Republic und räumen komplette Portfolios innerhalb von Minuten leer. Wenn Sie Trade-Republic-Kunde sind, betrifft Sie diese Warnung direkt. Dieser Artikel erklärt die Masche und Ihre rechtlichen Ansprüche als Geschädigter.
So funktioniert die Trade Republic Phishing-Betrugsmasche im Detail
Der Ablauf der Masche ist so ausgeklügelt wie erschreckend. Alles beginnt mit einer SMS, die dem originalen Trade-Republic-Absender täuschend ähnlich sieht. Der Text erzeugt Panik: „Verdacht auf unautorisierten Portfolio-Transfer am 29.03. um 20:21. Bitte kontaktieren Sie zur Klärung umgehend unseren Support.“ Manchmal ist die Botschaft konkreter: „Auszahlung von 9.733,25 EUR bestätigen: Code 7942 nutzen. Falls Sie die Transaktion nicht veranlasst haben, kontaktieren Sie uns sofort.“ Beide Varianten verfolgen ein Ziel: Sie sollen panisch handeln, bevor Sie kritisch nachdenken.
Rufen Sie die angegebene Nummer an, landen Sie bei einem geschulten Betrüger — nicht bei Trade Republic. Er gibt sich als Mitarbeiter des Sicherheits-Teams aus. Der Anruf wird an eine angebliche „IT-Abteilung“ weitergeleitet. Dort übernimmt ein freundlicher, deutschsprachiger Mann. Er betreibt Smalltalk, baut Vertrauen auf und nennt Ihre Kontodaten. Er erklärt, jemand versuche von einem polnischen Konto Geld abzubuchen. Die Lösung klingt vernünftig: Das Vermögen werde auf ein „sicheres Konto in den Niederlanden“ überwiesen.
Schritt für Schritt führt Sie der Täter durch einen sogenannten „Sicherheitsprozess“. Sie erhalten einen Verifizierungscode und werden gebeten, diesen gemeinsam mit einem übermittelten Link zu nutzen. Was Ihnen als Sicherheitsmaßnahme präsentiert wird, ist in Wirklichkeit die Freigabe einer Sofortüberweisung. In dem Moment, in dem Sie den Code eingeben, haben die Kriminellen die Transaktion abgeschlossen. Ihr Portfolio — Aktien, ETFs und Kryptowerte — ist leergeräumt. Das gesamte Szenario dauert oft nicht länger als zwanzig Minuten.
Spoofing und Social Engineering — Warum die Täuschung so gut funktioniert
Der Kern der Masche liegt in zwei Angriffstechniken. Beim SMS-Spoofing manipulieren Täter die Absenderkennung. Auf Ihrem Smartphone erscheint nicht eine fremde Nummer, sondern der Name „Trade Republic“ — teils eingebettet in den echten Nachrichtenverlauf. Technisch ist das mit frei verfügbaren Online-Diensten einfach umzusetzen. Sie sehen keinen Hinweis darauf, dass die Nachricht gefälscht ist.
Das Social Engineering wirkt auf der psychologischen Ebene. Täter erzeugen ein Bedrohungsszenario — einen angeblich laufenden Fremdzugriff auf Ihr Konto. Dieses Gefühl der Dringlichkeit schaltet rationales Abwägen aus. Der freundliche „Supportmitarbeiter“ baut Vertrauen auf. Er nennt Details wie Ihren Namen aus früheren Datenlecks. So bringen sie Sie dazu, zu kooperieren. Laut BSI sind solche KI-gestützten Phishing-Angriffe auf dem Niveau professioneller Unternehmenskriminalität. Die Opfer handeln nicht leichtfertig — sie werden professionell getäuscht.
Rechtliche Einordnung: Strafrecht und Zivilrecht im Überblick
Das Verhalten der Täter ist strafrechtlich klar einzuordnen. Wer durch erschlichene Verifizierungscodes auf fremde Vermögenswerte zugreift, erfüllt den Tatbestand des Computerbetrugs nach § 263a StGB. Zudem liegt regelmäßig Betrug nach § 263 StGB vor. Täter erzeugen bewusst einen Irrtum und nutzen ihn zur Schädigung des Opfers. Handeln sie gewerbsmäßig oder als Bande, erhöht sich der Strafrahmen erheblich.
Gelingt die Identifizierung der Täter, eröffnet das Strafrecht den Weg zur Vermögensabschöpfung. Nach § 73 StGB i.V.m. § 111e StPO können Staatsanwaltschaften Tatgewinne einziehen — auch in Form von Kryptowerten. Eingezogene Werte kommen der Entschädigung der Verletzten zugute. Die Europol-Operation gegen internationale Krypto-Betrugsnetzwerke zeigt, dass solche Maßnahmen funktionieren.
Auf zivilrechtlicher Ebene stellt sich die entscheidende Frage, ob Trade Republic als Zahlungsdienstleister für die entstandenen Verluste haftbar gemacht werden kann — dazu im folgenden Abschnitt mehr.
Bankhaftung: Wann haftet Trade Republic nach § 675u BGB?
§ 675u BGB ist die zentrale Norm für Phishing-Opfer. Die Vorschrift verpflichtet Zahlungsdienstleister, nicht autorisierte Zahlungen unverzüglich zu erstatten. „Nicht autorisiert“ bedeutet: Sie haben nicht wirksam zugestimmt. Das ist der rechtliche Schlüsselpunkt. Wenn Kriminelle Sie durch Täuschung dazu gebracht haben, einen Verifizierungscode einzugeben, ist fraglich, ob diese Zustimmung rechtlich wirksam ist. Diese Frage ist nicht automatisch zugunsten des Zahlungsdienstleisters zu beantworten.
Trade Republic wird § 675v BGB als Gegenposition einsetzen. Danach entfällt die Erstattungspflicht, wenn das Opfer grob fahrlässig handelte. Grobe Fahrlässigkeit liegt vor, wenn die Sorgfaltspflichtverletzung besonders schwer wiegt. Beim professionellen Spoofing ist die Absenderkennung identisch mit der echten. Das macht die Täuschung kaum erkennbar. Ob ein Nutzer sie hätte erkennen können, ist offen. Gerichte klären das im Einzelfall. Die Analyse der Bankhaftung bei Kryptobetrug zeigt: Gerichte urteilen zunehmend zugunsten der Opfer, wenn die Täuschungsqualität hoch war.
Darüber hinaus kann Trade Republic nach § 280 BGB i.V.m. seinen vertraglichen Schutzpflichten in die Haftung genommen werden, wenn das Unternehmen keine ausreichenden technischen Maßnahmen gegen das Spoofing seiner Absenderkennung ergriffen hat. Als BaFin-lizenzierter Zahlungsdienstleister trifft Trade Republic eine regulatorische Pflicht, Authentifizierungsverfahren so zu gestalten, dass Missbrauch erschwert wird.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Blockchain-Tracing: Wie gestohlene Kryptowerte zurückverfolgt werden können
Kryptowerte gelten unter Kriminellen als schwer rückverfolgbar — tatsächlich ist das Gegenteil der Fall. Jede Transaktion auf einer Blockchain ist unveränderlich gespeichert. Spezialisierte Blockchain-Forensiker verfolgen gestohlene Kryptowerte lückenlos nach — von der Trade-Republic-Wallet über Zwischenstationen bis zur Kryptobörse, wo Täter die Beute in Fiat umtauschen.
An diesem Punkt werden Täter greifbar. Regulierte Exchanges sind nach MiCAR zur Identitätsfeststellung verpflichtet. Die Tracing-Ergebnisse bilden die Grundlage für Auskunftsersuchen, Strafanzeigen und Einziehungsanträge nach § 73 StGB i.V.m. § 111e StPO. Wurden die Kryptowerte noch nicht verwertet, ist auch eine Sicherstellung im Ermittlungsverfahren möglich. Warten Sie daher nicht — je länger Täter die Werte umtauschen, desto schwieriger wird die Rückverfolgung.
Was Sie jetzt konkret tun sollten
Wenn Sie Opfer einer Trade Republic Phishing-SMS sind, ist sofortiges Handeln entscheidend. Kontaktieren Sie Trade Republic direkt über die offizielle App — niemals über Links aus einer SMS. Lassen Sie Ihr Konto sperren. Fordern Sie eine vollständige Transaktionsübersicht an, um nachzuweisen, welche Zahlungen ausgelöst wurden.
Die Beweissicherung ist von zentraler Bedeutung. Sichern Sie die betrügerische SMS mit einem Screenshot inklusive Zeitstempel, notieren Sie den genauen Ablauf des Telefongesprächs so detailliert wie möglich — Gesprächsdauer, Inhalt, verwendete Namen — und bewahren Sie alle Transaktionsbestätigungen auf. Diese Unterlagen bilden das Fundament sowohl für die Strafanzeige als auch für den zivilrechtlichen Erstattungsanspruch gegen Trade Republic.
Erstatten Sie Strafanzeige bei der zuständigen Polizeidienststelle oder über die Online-Wachen der Bundesländer. Die Zentralstellen für Cyberkriminalität der Staatsanwaltschaften sind nach § 152 StPO verpflichtet, Ermittlungen aufzunehmen, sobald ein Anfangsverdacht vorliegt. Wenden Sie sich früh an eine spezialisierte Kanzlei. Diese koordiniert die Haftungsansprüche gegen Trade Republic und das Blockchain-Tracing.
Häufige Fragen zu Trade Republic Phishing (FAQ)
Wie erkenne ich eine Phishing-SMS im Namen von Trade Republic?
Phishing-SMS im Namen von Trade Republic enthalten typischerweise alarmierende Nachrichten über angeblich unautorisierte Transaktionen und eine Telefonnummer oder einen Link zur angeblichen Klärung. Echte Nachrichten von Trade Republic fordern Sie niemals dazu auf, Verifizierungscodes telefonisch zu bestätigen oder Geld auf ein „sicheres Konto“ zu überweisen. Wenn Sie eine solche SMS erhalten, sollten Sie keinesfalls die angegebene Nummer anrufen oder Links öffnen.
Was soll ich tun, wenn ich auf eine Trade Republic Phishing-SMS hereingefallen bin?
Handeln Sie sofort: Kontaktieren Sie Trade Republic direkt über die offizielle App oder Website, um Ihr Konto zu sperren. Sichern Sie alle Beweise — Screenshots der SMS, Gesprächsnotizen, Transaktionsübersichten. Erstatten Sie Strafanzeige bei der Polizei. Wenden Sie sich an eine spezialisierte Kanzlei für Bank- und Kapitalmarktrecht, die Ihre Ansprüche gegen Trade Republic nach § 675u BGB und die Möglichkeiten des Blockchain-Tracings prüft.
Haftet Trade Republic für durch Phishing entstandene Verluste?
Grundsätzlich sieht § 675u BGB vor, dass Zahlungsdienstleister bei nicht autorisierten Zahlungsvorgängen haften und den Betrag erstatten. Ob Trade Republic haftet, hängt davon ab, ob die Zahlung als autorisiert gilt und ob dem Opfer grobe Fahrlässigkeit nach § 675v BGB vorgeworfen werden kann. Da die Täter durch Spoofing und Social Engineering gezielt Vertrauen missbrauchen, ist eine grob fahrlässige Handlung des Opfers nicht automatisch anzunehmen. Eine anwaltliche Einschätzung des Einzelfalls ist dringend geboten.
Können gestohlene Kryptowerte über Blockchain-Tracing zurückverfolgt werden?
Ja. Kryptowerte hinterlassen auf der Blockchain unveränderliche Transaktionsspuren. Spezialisierte Blockchain-Forensiker können die Bewegung der gestohlenen Werte lückenlos dokumentieren — bis hin zu Kryptobörsen, bei denen die Täter möglicherweise eine Identitätsprüfung (KYC) durchlaufen haben. Diese Tracing-Gutachten bilden die Grundlage für Strafanzeigen, Einziehungsanträge nach § 73 StGB i.V.m. § 111e StPO sowie zivilrechtliche Auskunftsklagen gegen Exchanges.
Ist SMS-Spoofing in Deutschland strafbar?
Ja. Das Versenden gefälschter SMS unter einem fremden Absendernamen, um Opfer zu täuschen und Vermögenswerte zu erlangen, erfüllt den Tatbestand des Computerbetrugs gemäß § 263a StGB und in der Regel auch den des gewerbsmäßigen Betrugs nach § 263 StGB. Darüber hinaus kommt eine Strafbarkeit wegen Datendiebstahls und — bei Tätergruppen — wegen Bildung einer kriminellen Vereinigung in Betracht. Zuständig für die Ermittlungen sind in Deutschland oft die Zentralstellen für Cyberkriminalität der Staatsanwaltschaften.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern