Vermögenssicherheit klingt erst einmal trocken. Doch die Zahlen sprechen eine andere Sprache: 37,5 Millionen Phishing-Versuche werden jährlich allein in Deutschland blockiert. 81 Prozent aller deutschen Unternehmen waren von Diebstahl oder Sabotage betroffen. Und seit 2004 hat sich die Cyberkriminalität vervierfacht. Die Angriffe treffen längst nicht mehr nur Konzerne – sie treffen Privatinvestoren, Unternehmer und vermögende Privatpersonen im gesamten DACH-Raum.
Dieser Artikel basiert auf einem Webinar, das Benngard-Mitgründer Andreas Belocerkov am 19. Februar 2026 gehalten hat. Darin analysiert er 18 reale Betrugsfälle aus sechs Assetklassen – und zeigt konkrete Maßnahmen, die Sie sofort umsetzen können.
„Die Zeiten, in denen jemand anderes die Verantwortung für die Sicherheit Ihres Vermögens übernimmt, sind vorbei. Wir müssen jetzt wie institutionelle Investoren handeln."
Physische Werte: Wenn das Schließfach nicht mehr sicher ist
Viele Investoren lagern Bargeld, Edelmetalle oder Dokumente in Bankschließfächern – in dem Glauben, dort sei alles sicher. Drei Fälle aus den Jahren 2024 und 2025 zeigen: Diese Annahme ist gefährlich.
3.256 Schließfächer systematisch geleert
Professionelle Einbrecher bohrten übers Wochenende ein Loch in den Tresorraum und leerten über 3.000 Schließfächer. DNA-Spuren wurden mit Chemikalien vernichtet. Die Standardhaftung der Bank: gerade einmal 10.300 Euro. Kunden mit sechsstelligen Werten im Fach mussten teilweise bei derselben Sparkasse einen Kredit aufnehmen.
371 Schließfächer übers Wochenende geöffnet
Täter schlichen sich in eine Sparkasse ein, versteckten sich übers Wochenende und öffneten systematisch 371 Schließfächer. Professionell geplant, bis heute nicht vollständig aufgeklärt.
Eigener Bankmitarbeiter öffnete Schließfächer
Ein Mitarbeiter der Sparkasse Bonn soll über einen längeren Zeitraum Schließfächer geöffnet und Werte im Umfang von 2 Millionen Euro entwendet haben. Der Fall ist bis heute nicht vollständig gelöst.
Physische Werte gehören in ein Hochsicherheitslager oder Zollfreilager mit Vollkaskoversicherung – nicht in ein Bankschließfach mit 10.000 Euro Standardhaftung. Wer seine physischen Werte ohne Vollkaskoversicherung bei einer Bank lagert, handelt nach heutigem Wissensstand grob fahrlässig.
Bankkonten und Online-Banking: Der Mensch als Schwachstelle
Beim Thema Bankbetrug ist das Muster fast immer gleich: Betrüger gelangen an persönliche Daten, identifizieren Premium-Kunden und nutzen Social Engineering, um Zugang zu Konten zu erhalten.
Konto in einer Stunde leergeräumt
Ein falscher Bankmitarbeiter rief mit perfekt gefälschter Telefonnummer an, erzeugte authentische Hintergrundgeräusche und überzeugte das Opfer, die Fernwartungssoftware AnyDesk zu installieren. Innerhalb einer Stunde waren alle Konten leer. Die Bank lehnte die Haftung ab.
Echte Bankhotline-Nummer auf dem Display
Organisierte Betrugszentren fälschen Bankhotline-Nummern auf dem Display (Call-ID-Spoofing). Opfer werden unter Zeitdruck gesetzt und zur Freigabe von TAN-Codes gedrängt. Die Anrufe kommen gezielt in Stressmomenten.
Täuschend echte E-Mails mit echter Bankoptik
Massiver Versand von E-Mails, die dem echten Sparkassen-Design bis ins Detail entsprachen. Opfer klickten auf Links und gaben ihre Zugangsdaten ein. Betrüger nutzten die Daten sofort, um Überweisungen auszulösen – bevor die Opfer eine Benachrichtigung erhielten.
Ihre Bank wird Sie niemals anrufen und um Software-Installation oder TAN-Codes bitten. Bei jedem verdächtigen Anruf: sofort auflegen und die Bank selbst zurückrufen. In 95 Prozent der Fälle übernimmt die Bank keine Haftung, wenn Sie selbst Zugangsdaten freigegeben haben.
Krypto-Assets: Wenn die Börse zum Risiko wird
Kryptowährungen versprechen Kontrolle über das eigene Vermögen. Doch solange Coins auf einer zentralen Börse liegen, hat der Investor faktisch keine Kontrolle – das zeigen die Fälle der letzten Jahre eindrücklich.
Kunden erfahren erst am nächsten Tag
Ein technischer Angriff auf die Plattforminfrastruktur. Kunden hatten keinerlei Einfluss und erfuhren erst am Folgetag, dass ihr Guthaben betroffen war. Ähnliches Muster wie FTX – null Kontrolle, totaler Verlust.
Nordkoreanische Hacker kompromittieren Infrastruktur
Die Lazarus-Gruppe (Nordkorea) kompromittierte die Infrastrukturschlüssel einer Börse. Bitcoin, Ethereum und Litecoin wurden gestohlen, die Börse ging in Insolvenz. Kunden, die ihre Coins auf der Exchange gelassen hatten, verloren alles.
SIM-Swapping hebelt Zwei-Faktor-Authentifizierung aus
Eine organisierte Gruppe in Rumänien und Spanien rief bei Mobilfunkanbietern an, gab sich als Kunden aus und ließ Telefonnummern auf neue SIM-Karten übertragen. Damit erhielten sie alle SMS-Codes – und räumten Kryptobörsen-Konten leer.
Not your keys, not your coins. Kryptowerte gehören auf eine Hardware-Wallet (z.B. BitBox, SafePal), nicht auf eine Exchange. Jede Börse kann gehackt werden, in Insolvenz gehen oder Opfer eines staatlich gestützten Angriffs werden. Und: SMS als zweiten Faktor zu nutzen, ist durch SIM-Swapping faktisch unsicher geworden.
Aktien und Brokerage: Neobroker-Kunden im Fadenkreuz
Auch Wertpapierdepots sind längst nicht mehr immun gegen Betrug. Koordinierte Phishing- und Vishing-Wellen treffen gezielt Kunden von Neobrokern und Volksbanken.
Koordinierte SMS- und E-Mail-Kampagne
Opfer erhielten täuschend echte SMS mit der Nachricht, ihr Konto würde gesperrt. Der Link führte auf eine perfekte Kopie der Trade-Republic-Seite. Während die Opfer ihre Daten eingaben, loggten sich Betrüger parallel ein und buchten Gelder ab. Die Welle ist bis heute nicht vollständig eingedämmt.
Vermeintliche Erneuerung der FotoTAN-Aktivierung
SMS an Bankkunden mit der Aufforderung, die FotoTAN-Aktivierung zu erneuern. Die Opfer werden auf eine gefälschte Seite geleitet, wo die gesamte Authentifizierung übernommen wird.
Telefonischer Betrug mit echten Mitarbeiterdaten
Betrüger recherchierten öffentlich zugängliche Mitarbeiterdaten von Volksbanken und gaben sich mit echten Namen aus. Kunden wurden telefonisch zur Freigabe von Depot-Zugängen überredet, um „verdächtige Transaktionen zu stoppen".
Verwenden Sie eine einzige, dedizierte E-Mail-Adresse ausschließlich für Finanzdienste – idealerweise über einen verschlüsselten Anbieter wie ProtonMail. Diese Adresse darf niemals für Social Media, Newsletter oder Online-Shops verwendet werden. Prüfen Sie bei Links in SMS und E-Mails immer die URL, bevor Sie klicken.
Immobilien: Betrug am Grundbuch
Immobilien gelten als die sicherste Assetklasse. Doch auch hier existieren Betrugsmaschen – wenn auch mit höherem Aufwand für die Täter. Die Fälle zeigen: Eigentümer erfahren oft erst durch Zufall, dass ihre Immobilie betroffen ist.
Immobilienverkauf ohne Wissen des Eigentümers
Betrüger fälschten Grundbuchauszüge und Identitäten, um Immobilienverkäufe vorzutäuschen. Käufer leisteten Anzahlungen in gutem Glauben. Der Notar deckte den Betrug erst auf, nachdem Gelder bereits geflossen waren.
Eigentumstransfer ohne Wissen des wahren Eigentümers
Mit gefälschten notariellen Vollmachten wurde eine Immobilie auf einen anderen Besitzer übertragen. Der Betroffene brauchte Jahre und hohe Anwaltskosten, um den Vorgang rückgängig zu machen. In einem weiteren Fall wurde ein versuchter Betrug an einem älteren Ehepaar nur durch Zufall rechtzeitig erkannt.
Fordern Sie jährlich einen Grundbuchauszug an (Kosten: 10–20 Euro über den Notar). Noch besser: Lassen Sie einen Sperrvermerk im Grundbuch eintragen. Damit werden Sie bei jeder Eintragung oder Transaktion vom Grundbuchamt kontaktiert und müssen die Aktion verifizieren. Kosten: 20–30 Euro.
Digitale Identität: Die größte Schwachstelle
617 Millionen kompromittierte Konten aus deutschen Datenlecks. 166 Millionen E-Mail-Adressen und 543 Millionen Passwörter im Umlauf. Ihre E-Mail-Adresse ist der Master-Key für alles – und genau das macht sie zum Hauptziel.
Physische Briefe mit Fake-QR-Codes
Betrüger versenden physische Briefe mit echtem Porto und offiziellem Design. Der enthaltene QR-Code führt auf eine perfekte Kopie der Bank-Website (z.B. PostFinance). Die Opfer geben ihre Bankdaten ein und verlieren die Kontrolle über ihr Konto.
Kombinierte Datensätze ermöglichen präzise Angriffe
Aus verschiedenen Datenlecks wurden E-Mail-Adressen, Passwörter, Telefonnummern und Wohnorte kombiniert. Angreifer nutzen diese Datensätze, um gezielte Angriffe auf vermögende Privatpersonen zu planen – mit erschreckender Treffergenauigkeit.
Ihr E-Mail-Konto ist der Masterkey für Ihr gesamtes digitales Vermögen. Trennen Sie konsequent: eine verschlüsselte E-Mail-Adresse (z.B. ProtonMail) ausschließlich für Finanzdienste, eine separate Adresse für Social Media und Newsletter. Nutzen Sie E-Mail-Aliase (z.B. SimpleLogin) für jeden einzelnen Dienst. Prüfen Sie Ihre E-Mail-Adressen regelmäßig auf Datenlecks unter haveibeenpwned.com.
Die fünf häufigsten Fehler
Diese Fehler betreffen nach Einschätzung von Benngard-Mitgründer Andreas Belocerkov 80 bis 90 Prozent aller Privatinvestoren – er selbst habe sie alle gemacht, bevor er sein Sicherheitskonzept überarbeitet hat.
1. Gleiches Passwort für mehrere Dienste
Wer dasselbe Passwort für 30 Plattformen nutzt, gibt Angreifern nach einem einzigen Datenleck Zugang zu allem. Die Lösung: ein Passwortmanager wie 1Password oder Bitwarden mit einem starken Master-Passwort und individuell generierten Passwörtern für jeden Dienst.
2. Alle Vermögenswerte bei einer einzigen Bank
Konzentration ist ein Klumpenrisiko. Die Lösung: Vermögenswerte auf mehrere Institutionen und Jurisdiktionen verteilen. Mehrere Broker, mehrere Konten, idealerweise in verschiedenen Ländern.
3. SMS als zweiten Faktor nutzen
SIM-Swapping macht SMS-Codes wertlos. Allein in Österreich gab es 1.000 Opfer in wenigen Monaten. Besser: ein physischer Hardware-Key wie YubiKey (ca. 70 Euro) oder zumindest eine Authenticator-App wie Google Authenticator oder Microsoft Authenticator.
4. Private E-Mail-Adresse für alles nutzen
Wer sich mit derselben Adresse bei Instagram, Newslettern und seiner Bank anmeldet, macht es Angreifern leicht. Lösung: strikte Trennung. Eine dedizierte, verschlüsselte E-Mail nur für Finanzdienste.
5. Zu hohe Tageslimits
Wenn Betrüger Zugang zu Ihrem Konto erlangen, können sie innerhalb von 20 bis 30 Minuten mehrere Überweisungen auslösen. Lösung: Tageslimits auf 500 Euro oder weniger reduzieren und für größere Überweisungen bewusst temporär erhöhen. 30 Sekunden Aufwand – Schutz vor fünfstelligem Schaden.
Ihre Sicherheitscheckliste: Sofort umsetzbar
Nicht alles muss sofort geschehen. Andreas Belocerkov empfiehlt einen schrittweisen Ansatz – die wichtigsten Maßnahmen zuerst, den Rest in den folgenden Wochen.
Heute noch erledigen
- E-Mail-Adressen auf Datenlecks prüfen (haveibeenpwned.com)
- SMS-basierte Zwei-Faktor-Authentifizierung deaktivieren
- Tageslimits bei allen Bankkonten prüfen und reduzieren
- Push-Benachrichtigungen für alle Kontobewegungen aktivieren
Diese Woche
- Passwortmanager einrichten (1Password oder Bitwarden)
- Finanz-E-Mail von allen anderen Diensten trennen (z.B. ProtonMail)
- E-Mail-Aliase für externe Dienste einrichten (SimpleLogin)
- Schließfachversicherung prüfen oder Hochsicherheitslager evaluieren
Fortgeschritten
- Hardware-Security-Key einrichten (YubiKey) für Finanz-Postfach
- Hardware-Wallet für Krypto-Assets (BitBox, SafePal)
- Dediziertes Zweit-Telefon nur für Banking
- Grundbuch-Sperrvermerk für alle Immobilien eintragen lassen
- Physische Notfallmappe erstellen (Passwörter, Zugänge, Zollfreilager-Infos – nicht digital)
- Notfallzugriff für Ehepartner oder Vertrauensperson regeln
Das Muster hinter allen 18 Fällen
Ob Schließfach-Einbruch, SIM-Swapping oder Grundbuch-Betrug: Der Angreifer zielt nicht auf die Technik. Er zielt auf den Menschen. Auf Routinen, auf blinde Flecken, auf das Gefühl „mir kann das nicht passieren". Doch es trifft nicht nur Rentner oder digital Unerfahrene – es trifft Unternehmer, Investoren und Profis, die im Stress den einen Moment der Unachtsamkeit haben.
Die gute Nachricht: Viele der wirksamsten Schutzmaßnahmen kosten wenig und sind in Stunden umsetzbar. Die E-Mail-Trennung, der Passwortmanager, das reduzierte Tageslimit – jede einzelne Maßnahme hätte in den beschriebenen Fällen den Schaden verhindert oder massiv begrenzt.
Vermögenssicherheit ist keine einmalige Aktion. Es ist eine Disziplin – wie die Vermögensallokation selbst. Benngard unterstützt seine Mandanten dabei, nicht nur das Portfolio optimal zu strukturieren, sondern auch die Sicherheitsarchitektur rund um das Vermögen professionell aufzubauen.
