Eine SMS. Ein Anruf. Panik. Und am nächsten Morgen die bittere Erkenntnis.
So lässt sich zusammenfassen, was der Moderatorin Amira Aly in der Nacht zum Muttertag 2026 passierte. Eine gefälschte Nachricht erschien in ihrem echten SMS-Chatverlauf mit American Express. Ein freundlicher „Bankmitarbeiter” meldete sich. Und eine der medienversiertesten Frauen Deutschlands befand sich plötzlich mitten in einem Betrugsfall – obwohl sie selbst früher immer dachte: „Wer ist so doof, und wer glaubt so was?”
Die Antwort ist unangenehm, aber notwendig: Jeder. Unter den richtigen Umständen.
Für Finanz- und Nachfolgeplaner ist dieser Fall kein Boulevardthema. Es ist ein Weckruf.
1. Die neue Qualität des Betrugs – kein technisches Problem, sondern ein menschliches
Klassisches Phishing ist bekannt. Spam-Filter, Awareness-Kampagnen und gesundes Misstrauen haben es zunehmend eingedämmt. Deshalb haben Cyberkriminelle ihre Methoden verfeinert – und greifen heute dort an, wo Schutzprogramme keine Wirkung entfalten: im menschlichen Vertrauen.
Die Technik dahinter heißt Smishing-to-Vishing: Erst kommt eine gefälschte SMS, die im echten Nachrichtenverlauf des Kreditkartenanbieters erscheint. Dann folgt ein Anruf – mit einer manipulierten Rufnummer, die exakt die offizielle Hotline der Bank anzeigt. Das nennt sich Caller-ID-Spoofing und ist in Deutschland nach § 67 TKG illegal – was Täternetzwerke, die über ausländische VoIP-Infrastruktur operieren, allerdings wenig schert.
Das Ergebnis: Die Rufnummer auf dem Display ist kein Echtheitsbeweis mehr. Nie.
Was dann folgt, ist Psychologie – nicht Technik. Der angebliche Mitarbeiter setzt auf künstliche Dringlichkeit: Hackerangriff, polnische IP-Adresse, laufende Transaktion über 9.431 Euro. Der Präfrontalcortex – Sitz rationaler Entscheidungen – schaltet unter emotionalem Stress ab. Was bleibt, ist Reaktion statt Reflexion.
Niemand ist strukturell immun. Nicht aufgrund von Bildung, Berufserfahrung oder Medienkompetenz.
2. Das Ausmaß: Zahlen, die sprechen
Der volkswirtschaftliche Schaden durch Cybercrime in Deutschland erreichte 2024 laut Digitalverband Bitkom rund 266,6 Milliarden Euro – ein historischer Höchstwert. Der Anteil, der auf Social-Engineering-basierte Finanzbetrugsmaschen entfällt, wird auf mindestens 18 Milliarden Euro geschätzt.
Noch aufschlussreicher ist ein Befund der European Banking Authority aus 2025: Social-Engineering-Betrug überholte erstmals klassischen Kreditkartenbetrug in der Gesamtschadenshöhe. Die menschliche Schwachstelle ist wirtschaftlich relevanter geworden als die technische.
Die durchschnittliche Schadenshöhe pro Vishing-Fall liegt laut BKA bei rund 4.800 Euro – bei vermögenden Privatpersonen deutlich höher, da Angreifer ihre Ziele vorab recherchieren und Szenarien individuell zuschneiden. Handelsregister, LinkedIn-Profile, Presseartikel: Wer öffentlich sichtbar ist, hinterlässt Angriffsfläche.
3. Die rechtliche Falle: Wer haftet, wenn der Mandant selbst überweist?
Hier liegt eine der größten Wissenslücken in der Mandantenbetreuung – mit teils erheblichen finanziellen Konsequenzen.
Nach § 675u BGB muss eine Bank den Betrag einer nicht autorisierten Zahlung unverzüglich erstatten. Klingt gut. Der Haken: Wer durch Manipulation dazu gebracht wurde, selbst eine Überweisung zu tätigen oder eine Transaktion aktiv zu bestätigen, hat im Rechtssinne eine autorisierte Zahlung vorgenommen – auch wenn dahinter Betrug steckt.
Das bedeutet im Klartext: Der Mandant hat überwiesen. Die Bank erstattet nicht. Rückforderungsklagen sind langwierig, kostspielig und häufig nur teilweise erfolgreich.
Prävention ist hier der einzig verlässliche Schutz.
Strafrechtlich handelt es sich in diesen Fällen um Computerbetrug (§ 263a StGB) und Betrug (§ 263 StGB), häufig verbunden mit Urkundenfälschung durch gefälschte SMS-Absender oder Banklogos. Die internationale Aufstellung der Tätergruppen – meist Osteuropa, Südostasien oder Nordafrika – macht die Strafverfolgung zur Ausnahme.
4. Was das für die Beratungspraxis bedeutet
Betrugsschutz ist kein Zusatzservice. Er ist Ausdruck professioneller Sorgfalt – und unter Umständen auch haftungsrelevant.
Ein Fallbeispiel aus der Praxis: Ein Vermögensverwalter betreute einen Mandanten, der mehrfach auf Phishing-Mails hereingefallen war. Im Beratungsgespräch wurde das Thema digitale Sicherheit nicht angesprochen. Kurz danach wurde der Mandant Opfer eines Vishing-Angriffs – Schaden: rund 78.000 Euro. Im anschließenden Streit spielte die dokumentierte Vorgeschichte eine zentrale Rolle. Das Verfahren endete mit einem außergerichtlichen Vergleich.
Die Lehre daraus: Wer Risiken kennt und schweigt, riskiert selbst.
Was konkret getan werden kann:
→ Security-Check im Jahreszyklus verankern Einmal jährlich – am besten im Review-Gespräch – sollte die digitale Sicherheit des Mandanten systematisch besprochen werden: Zwei-Faktor-Authentifizierung aktiv? Bekannte Betrugsmaschen bekannt? Sicherheitswort für telefonische Kontakte vereinbart?
→ Die Rückruf-Regel kommunizieren Eine der wirksamsten Schutzmaßnahmen ist strukturell einfach: Im Zweifelsfall immer auflegen, die offizielle Nummer von der Kreditkarte oder der Bankwebsite wählen und aktiv zurückrufen. Kein seriöses Institut wird das verhindern wollen.
→ Transaktionen ab bestimmten Beträgen absichern Ein Family Office aus Hamburg führte 2024 ein Sicherheitsprotokoll ein: Telefonische Überweisungsanweisungen ab 5.000 Euro müssen durch einen zweiten Kanal schriftlich bestätigt werden. Seitdem wurden drei Betrugsversuche abgewehrt – einer davon mit einem Schadenspotenzial von 230.000 Euro.
5. Die nächste Eskalationsstufe: KI macht Stimmen fälschbar
Was heute schon möglich ist, wird morgen Standard sein.
Deepfake-Voice-Technologie erlaubt es, auf Basis weniger Sekunden Audiomaterial eine täuschend echte Stimmsimulation zu erzeugen – inklusive Sprachrhythmus, Dialekt und emotionaler Färbung. In der Unternehmenspraxis sind bereits Fälle dokumentiert, in denen CFOs per simulierter CEO-Stimme zu Eilüberweisungen bewogen wurden.
Für Unternehmerfamilien bedeutet das: Selbst ein vertrauter Klang am Telefon ist kein Echtheitsmerkmal mehr.
Eine Unternehmerfamilie aus dem Raum Stuttgart erfuhr das im November 2025 fast aus eigener Erfahrung: Ein Anrufer imitierte täuschend echt die Stimme des Firmengründers und forderte eine Überweisung von 185.000 Euro. Nur das intern eingeführte Vier-Augen-Prinzip verhinderte den Schaden.
Strukturelle Protokolle schützen besser als technisches Vertrauen.
6. Checkliste: 7 Sofortmaßnahmen für die Mandantenbetreuung
✅ Rückruf-Regel erklären – Auflegen, offizielle Nummer nutzen, selbst anrufen.
✅ Sicherheitswort vereinbaren – Ein persönliches Codewort für telefonische Kontaktaufnahmen mit der Bank oder dem Berater.
✅ Zwei-Faktor-Authentifizierung prüfen – Für alle relevanten Finanzkonten aktiviert?
✅ Öffentliche Informationen minimieren – Was ist über den Mandanten online auffindbar? Handelsregister, LinkedIn, Presseartikel checken.
✅ Transaktionslimits und Rückrufprotokolle einführen – Ab einem definierten Betrag zweiter Kanal zur Bestätigung.
✅ Digitale Sicherheit in die Nachfolgeplanung integrieren – Zugänge regeln, Sicherheitsstrukturen für Erben dokumentieren.
✅ Aktuelle Betrugsmaschen quartalsweise kommunizieren – Ein kurzes Update per Newsletter oder im Gespräch kann entscheidend sein.
Fazit: Vertrauen schützen ist heute Beratungsaufgabe
Amira Aly hat öffentlich gemacht, was Millionen im Stillen erleben. Ihre Offenheit ist ein Dienst an der Gesellschaft – und ein Signal an alle, die im Finanzbereich Verantwortung tragen.
Kreditkartenbetrug, Vishing, Deepfake-Angriffe: Die Methoden werden technisch präziser, psychologisch ausgefeilter und durch KI nahezu beliebig skalierbar. Was dagegen hilft, sind keine Apps und keine Firewalls – sondern informierte Menschen und klare Protokolle.
Finanz- und Nachfolgeplaner, die das Thema aktiv in ihre Beratung integrieren, schützen nicht nur ihre Mandanten. Sie positionieren sich als Partner, der über das rein Finanzielle hinausdenkt – und genau das ist es, was langfristige Mandatsbeziehungen ausmacht.
Passt auf euch auf – und auf eure Mandanten.
