Liebe Leserinnen und Leser,
gestern bekam ich eine SMS vom „Finanzamt”: „Ihre Erstattung ist bereit – jetzt bestätigen.” Darunter ein kurzer Link, der erstaunlich offiziell aussah. Kein Tippfehler, kein Kettenbrief-Charme. Genau der Moment, in dem es schnell passiert ist, dass wir kurz auf den Link tippen– zwischen zwei Terminen und einem Anruf, mit nur einem halben Blick auf die Nachricht.
Ich hatte gerade Mittagspause, habe etwas genauer hingeschaut und habe nicht auf den Link geklickt, sondern die ELSTER-App selbst geöffnet. Dort: keine Nachricht. Das war ein klassischer Smishing-Versuch, von denen im Moment besonders viele bei uns auf dem Handy landen.
So funktioniert die Masche
Das Muster ist immer gleich: Täuschend echte SMS oder Messenger-Nachrichten setzen uns unter Druck („Konto gesperrt”, „Zustellung scheitert”, „Steuervorteil verfällt”). Der Link führt auf eine gefälschte Seite oder zu einer „Sicherheits-App”. Am Ende landen Zugangsdaten oder Bestätigungscodes in den Händen der Angreifer.
Was wir aktuell sehen – und wie Sie reagieren sollten
Besonders häufig treten vier Szenarien auf:
- Finanzamt (Erstattungen, Bescheide, „Sicherheitsprüfung”)
- Paketdienste („Ihre Sendung konnte nicht zugestellt werden”)
- Bank/Bezahldienste („Ihr Konto wurde eingeschränkt”)
- IT-Hinweise („Neue Voicemail”, „Dokument wurde geteilt”)
Diese Nachrichten wirken seriös, nutzen teils echte Logos und Short-Links. Manchmal kommen sie sogar von Nummern, die „echt” aussehen.
Neue Bedrohung: SMS-Blaster umgehen alle Kontrollen
Was bisher als gefährlich galt, wird jetzt noch eine Stufe gefährlicher: Betrüger nutzen zunehmend tragbare Fake-Sendeanlagen, die sich als echte Mobilfunkmasten ausgeben. Diese kompakten Geräte – klein genug für eine Tasche – erfassen alle Smartphones in ihrer Umgebung (Reichweite: bis zu einem Kilometer) und versenden massenhaft Smishing-Nachrichten.
Die Technik dahinter: Betroffene Geräte werden unbemerkt von modernen, sicheren Mobilfunkstandards auf veraltete, unsichere Verbindungen heruntergestuft. Das geschieht innerhalb von Sekunden, ohne dass Nutzer etwas davon mitbekommen. Über diese Schwachstelle werden dann die betrügerischen SMS versendet – und zwar in enormem Tempo: bis zu 100.000 SMS pro Stunde sind möglich.
Im September 2025 warnte das schweizerische Bundesamt für Cybersicherheit erstmals vor solchen Angriffen in der Westschweiz. Auch in London wurde bereits ein Täter mit einer solchen Anlage im Auto festgenommen. Aktuell breitet sich diese Methodik in Europa in rasendem Tempo aus. Das Problem: Mobilfunkanbieter sind hier weitgehend machtlos. Selbst wenn Netzbetreiber Hunderte Millionen Spam-Nachrichten im Jahr blockieren – diese neue Angriffsmethode umgeht deren Schutzsysteme komplett.
Die Lösung: Schalten Sie veraltete Mobilfunkverbindungen (2G) auf Ihren Smartphones aus. Bei Android-Geräten finden Sie diese Option in den Mobilfunkeinstellungen (Einstellungen → Netzwerk & Internet → SIM → Bevorzugter Netzwerktyp
→ nur 4G/5G auswählen). Bei iPhones bietet der Lockdown-Modus diesen Schutz automatisch. Künftige Android-Versionen sollen solche Angriffe eigenständig erkennen können.
Entscheidend im Ernstfall: Die drei goldenen Regeln
Egal ob herkömmliches Smishing oder hochentwickelte Angriffstechnik – am Ende zählt Ihr Verhalten, wenn eine (verdächtige) Nachricht auf dem Display erscheint. Der wichtigste Schritt ist dabei, überhaupt erst einmal misstrauisch zu werden.
Gehen Sie grundsätzlich davon aus, dass jede unerwartete SMS mit Link oder Zahlungsaufforderung ein Betrugsversuch sein könnte – selbst wenn sie von scheinbar vertrauenswürdigen Absendern wie dem Finanzamt, Ihrer Bank, einem Paketdienst oder Ihrer IT-Abteilung stammt. Die Fälschungen sind heute so professionell, dass sie von echten Nachrichten kaum zu unterscheiden sind.
Sobald Sie Zweifel haben (oder haben sollten), gelten diese drei Regeln:
- Niemals den Link aus der Nachricht antippen
- Immer die offizielle App selbst öffnen oder die Webadresse manuell eintippen
- Keine Codes weitergeben – Bestätigungscodes (egal ob per SMS, App oder E-Mail) werden von seriösen Stellen niemals telefonisch oder per Nachricht abgefragt.
Im Zweifel: Lieber einmal zu vorsichtig sein und die offizielle App prüfen, als einmal zu vertrauensselig auf einen Link zu tippen.
Was Sie als Organisation tun sollten
Kommunikation ist der Schlüssel: Veröffentlichen Sie eine kurze, Meldung im Intranet oder in Teams oder schicken Sie eine Info per E-Mail. Zum Beispiel:
„Achtung: Aktuell sind wieder betrügerische SMS im Umlauf.
Bitte beachten Sie: Öffnen Sie keine Links aus SMS oder Chat-Nachrichten. Geben Sie keine Bestätigungscodes weiter. Öffnen Sie Dienste nur über die offizielle App oder durch manuelle Eingabe der Webadresse.
Verdächtige Nachrichten bitte mit Screenshot an [IT/Security-Kontakt] melden.
Zusätzlicher Schutz: Deaktivieren Sie 2G auf Ihren Smartphones, um sich vor der neuen Generation von SMS-Angriffen zu schützen. Eine Anleitung finden Sie [hier verlinken]“
Ergänzen Sie dies mit einer einseitigen Kurzrichtlinie zum Umgang mit SMS und Messenger-Nachrichten – idealerweise mit zwei, drei echten Screenshots aus Ihrem Umfeld. Alternativ finden Sie bei der Verbraucherzentrale eine Übersicht aktueller Smishing- und Phishing-Versuche:
Auch wichtig: Nehmen Sie diese neue Gefahr in Ihre Schulungen zu Datenschutz und IT Security auf.
Herzlichen Dank fürs Lesen
Ihr Dapro Serv-Team
Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an. Datenschutz kann einfach sein.
Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!
