Depot gehackt — Sofort-Checkliste in 7 Schritten 2026
Du hast eine SMS bekommen „Login aus Russland erfolgreich”? Verdächtige Trades im Depot? Komische E-Mail von „deinem Broker”? Atme tief durch. Handle systematisch. Diese Checkliste zeigt dir die ersten 30 Minuten, was zwingend gemeldet werden muss (BaFin, Polizei, Schufa) und welche Rechte du gegenüber dem Broker hast. Bei deutschen Brokern haftet die Bank fast immer — wenn du die Schritte richtig dokumentierst.
Erste 30 Minuten — die 7 Pflicht-Schritte
- Account sofort sperren. Bei Trade Republic: in der App → Profil → Account sperren. Bei Comdirect/ING/Consorsbank: Sperr-Hotline anrufen (Nummern unten). Account-Sperre stoppt alle weiteren Trades und Auszahlungen.
- Verbundene Bankkonten sperren. Wenn der Hacker Zugang zum Verrechnungskonto hat, könnte er Auszahlungen anstoßen. Bei Verdacht: Sperr-Notruf 116 116 (zentrale deutsche Sperr-Hotline für Karten + Online-Banking).
- Passwort + 2FA zurücksetzen. Aus einem nicht infizierten Gerät — nicht von dem Smartphone/Computer, der vielleicht kompromittiert ist. Neues, einzigartiges Passwort, 2FA neu einrichten.
- Screenshots aller verdächtigen Aktivitäten. Login-Verlauf, ungewollte Trades, Kontoauszüge, E-Mails. Alles vor der Sperre dokumentieren — als Beweis für Versicherungs- und Bank-Schadensregulierung.
- Polizeiliche Anzeige. Online über das Polizei-Online-Portal deines Bundeslandes (z.B. polizei.bayern.de/onlinewache) oder bei einer Wache. Aktenzeichen ist Pflicht für Schaden-Erstattung durch Bank.
- Bank-Schaden melden. Schriftlich per E-Mail an Broker-Support, Betreff „Verdacht auf unbefugte Kontonutzung”. Aktenzeichen der Polizei nennen, Screenshots beifügen, „unverzügliche Sperrung und Schadensregulierung” beantragen.
- BaFin-Meldung. Bei Verdacht auf systematischen Betrug (z.B. Phishing-Welle): meldepflicht-online.bafin.de — die BaFin sammelt Daten und kann den Broker zu Sicherheitsmaßnahmen zwingen.
§ 675u BGB: Bei unbefugter Nutzung haftet die Bank für den vollen Schaden, ABER der Kunde haftet bei grober Fahrlässigkeit mit. Beispiele für grobe Fahrlässigkeit: Passwort auf Notiz neben Computer, Phishing-Link bewusst angeklickt, 2FA an Dritte weitergegeben. Wer nicht grob fahrlässig war, bekommt das Geld zurück.
Sperr-Hotlines deutsche Broker
| Broker | Sperr-Hotline | 24/7 |
|---|---|---|
| Sperr-Notruf (zentral, Karten + Online-Banking) | 116 116 | ✓ |
| Trade Republic | kein Telefon — Chat in App | Chat 24/7 |
| Scalable Capital | kein Telefon — Chat in App | Chat 24/7 |
| Comdirect | 04106 – 708 25 00 | ✓ |
| Consorsbank | 0911 – 369 1000 | ✓ |
| ING | 069 – 50 60 51 03 | ✓ |
| DKB | 030 – 120 300 00 | ✓ |
| 1822direkt | 069 – 9410 30 | ✓ |
Die wichtigsten Hack-Vektoren 2026
- Phishing-Mails / SMS mit „dein Konto wird gesperrt, klicke hier” — der häufigste Vektor (60–70 % aller Hacks). Achtung: Phishing-SMS sehen oft täuschend echt aus, mit echtem Bank-Logo und richtiger Telefonnummer.
- SIM-Swapping — Angreifer ruft Mobilfunk-Anbieter an, behauptet, der SIM-Karten-Eigentümer zu sein, lässt eine neue SIM ausstellen. Damit fängt er SMS-2FA ab. Schutz: PIN bei Mobilfunk-Anbieter setzen.
- Browser-Malware — Trojaner manipulieren Inhalt der Banking-Seite (Man-in-the-Browser). Schutz: nur offizielle Apps verwenden, regelmäßige Antivirus-Scans.
- Public-WiFi-Angriff — Angreifer im gleichen Netzwerk fängt Credentials ab. Schutz: VPN bei jedem Banking-Login im öffentlichen WiFi.
- Recovery-E-Mail-Hack — Hacker übernimmt deine Mail, beantragt Passwort-Reset beim Broker. Schutz: separate Mail nur für Banking, mit eigener 2FA.
Pro & Contra einer „Auflösung” nach Hack
- Anschaffungsdaten + Verlust-Verrechnungstopf bleiben erhalten
- Kein neuer Steuer-Termin (Verkauf ohne Erfordernis)
- Bank ist nun bewusst sensibilisiert, sicherer als vorher
- Spart Übertrag-Aufwand (5–15 Werktage Sperrzeit)
- Wenn die Vertrauensbasis zerstört ist
- Bei wiederholten Sicherheits-Incidents am gleichen Broker
- Bei sehr hohen Summen (> 100.000 €) zur Multi-Broker-Diversifikation
- Wechsel zu Broker mit härterer 2FA (z.B. Hardware-Token)
Prävention für die Zukunft
- Hardware-2FA (YubiKey, Solo). SMS-2FA ist gegen SIM-Swapping anfällig — Hardware-Token ist die einzige wirklich sichere 2FA. Für Banking-Konten ab 50.000 € faktisch Pflicht.
- Separate E-Mail nur für Banking. Niemals für Newsletter, Bestellungen, Social Media nutzen. 2FA aktivieren.
- PIN beim Mobilfunk-Anbieter. Kostenlose Maßnahme, schützt vor SIM-Swapping. Bei Telekom, Vodafone, O2 anrufen, „Account-PIN” setzen.
- Passwort-Manager (1Password, Bitwarden). Einzigartige, lange Passwörter pro Konto. Niemals manuell merken.
- Regelmäßiger Login-Audit. Einmal pro Quartal alle Banking-Konten checken: Login-Verlauf, verbundene Geräte, autorisierte Apps. Verdächtiges sofort entfernen.
- Multi-Broker-Strategie ab 100.000 €. 50/50 auf zwei deutsche Broker — bei einem Hack ist nur die Hälfte gefährdet.
Häufige Fragen
Bekomme ich mein Geld wirklich zurück?
In den meisten Fällen ja. § 675u BGB regelt, dass die Bank bei unbefugter Nutzung haftet — solange du nicht grob fahrlässig warst (z.B. Passwort weitergegeben, 2FA-Code an „Support” gegeben). Wichtig: Polizeianzeige + schriftliche Schaden-Meldung an Bank innerhalb von 13 Monaten. Realitätscheck: bei deutschen Vollbanken (Comdirect, ING, Consorsbank) zahlen sie typisch innerhalb von 2–8 Wochen. Bei Neo-Brokern (Trade Republic, Scalable) kann es länger dauern.
Was ist „grobe Fahrlässigkeit” im Hack-Fall?
Beispiele: Passwort auf Post-It neben dem Computer. 2FA-Code an angeblichen „Support-Mitarbeiter” am Telefon weitergegeben. Phishing-Mail bewusst angeklickt und Login-Daten eingegeben. Banking-App auf gerooteten / jailbreakten Geräten. Die Bank muss grobe Fahrlässigkeit beweisen — wenn sie es nicht kann, haftet sie voll.
Was ist mit Schaden bei Krypto-Hacks?
Schlechtere Lage. Krypto auf Börsen (Bitpanda, Coinbase, Binance) ist kein Sondervermögen, keine Einlagensicherung. Bei einem Hack hängt es von der Kulanz der Börse ab. Coinbase Pro hat in einigen Fällen Verluste erstattet (Versicherung), Bitpanda und Binance variabel. Hardware-Wallet-Hacks: keine Erstattung — eigene Verantwortung.
Muss ich auch die Schufa benachrichtigen?
Nein, das macht die Bank automatisch. Aber: nach einem Hack kostenlosen Schufa-Selbstauskunft anfordern (meineschufa.de) — falls der Hacker mit deinen Daten Kredite oder Karten beantragt hat. Verdächtige Einträge sofort widersprechen.
Ist das wahrscheinlicher bei Trade Republic als bei Comdirect?
Statistisch nicht messbar. Trade Republic + Scalable haben App-only Setup, das mehr SIM-Swapping-Risiko hat (SMS-2FA). Comdirect/ING/Consorsbank bieten zusätzlich pushTAN-/photoTAN-/chipTAN-Verfahren, was sicherer ist. Für hohe Beträge ist eine Vollbank mit chipTAN die robusteste Wahl. Trade Republic plant Hardware-2FA-Support für 2026.
Wie schütze ich mich präventiv besten?
Drei Ebenen: (1) Hardware-Token (YubiKey 5C — 50–60 €) statt SMS-2FA. (2) Separate E-Mail nur für Banking, mit eigenem starkem Passwort. (3) PIN beim Mobilfunk-Anbieter. (4) Multi-Broker-Strategie ab 100k. (5) Verdacht-bei-leichtester-Anomalie-Prinzip — bei jedem komischen Login lieber zu vorsichtig als zu spät.
Broker-Sicherheit, Multi-Broker-Strategie, Insolvenz-Schutz
Wer einmal gehackt wurde, weiß: Sicherheit ist kein Luxus. Der BMI-Broker-Vergleich zeigt, welche Anbieter Hardware-2FA und welche Sicherungs-Mechanismen bieten.
- Bestes Sparplan-Depot — Sicherheit und 2FA der Top-Broker
- Broker-Pleite — Schutz von Aktien als Sondervermögen
- Aktien-Suche — Re-Aufbau nach Schaden
- Steuer-Rechner — Verlust-Verrechnung bei zwangsverkauften Aktien
TradingView 30 Tage kostenlos testen
Sichere dir zusätzlich einen Rabatt auf dein erstes Abo über diesen Link.