Derzeit erhalten viele Commerzbank-Kunden eine Nachricht zur angeblichen Verlängerung des photoTAN-Zertifikats. Darum solltet ihr die Mail besser ignorieren.
Vielleicht habt ihr in den letzten Tagen eine E-Mail erhalten, in der die Commerzbank angeblich darum bittet, ein Foto eines QR-Codes hochzuladen, um die Sicherheit eurer photoTAN zu verlängern. Diese Nachricht wirkt zunächst seriös - sie bezieht sich auf das echte photoTAN-Verfahren und verwendet Fachbegriffe, die ihr möglicherweise aus dem Online-Banking kennt.
Genau das macht diesen Betrugsversuch besonders glaubhaft. In Wirklichkeit handelt es sich jedoch um eine Phishing-Mail, mit der Betrüger versuchen, an eure sensiblen Bankdaten zu gelangen.
In der betrügerischen Mail wird behauptet, dass das "verknüpfte Sicherheits-Zertifikat" eurer photoTAN am 06.11.2025 abläuft und ihr deshalb dringend handeln müsst. Ihr sollt ein Foto des QR-Codes hochladen, der sich angeblich auf einem euch bereits zugesandten Aktivierungsbrief befindet.
Klickt auf keinen Fall auf den Link in der Mail. (Quelle: Verbraucherzentrale)
Hinzu kommt eine künstliche Zeitbegrenzung: Wird die Verlängerung nicht rechtzeitig durchgeführt, sei angeblich eine "persönliche Legitimation in der Filiale mit amtlichem Ausweis" erforderlich. Diese Formulierung dient nur dazu, um Druck aufzubauen.
Zahlreiche Gefahren wie Betrugsmaschen und Viren lauern täglich im Internet. Damit ihr diese erkennt und gegen sie geschützt seid, sammeln wir hier aktuelle Betrugswarnungen.
Der QR-Code ist der Schlüssel zur photoTAN-Geräteverknüpfung. Wer diesen Code hat, kann das TAN-Verfahren auf ein fremdes Gerät übertragen. Also genau das, was Betrüger brauchen, um völlig unbemerkt Überweisungen in eurem Namen auszuführen. Wer also den QR-Code herausgibt, verliert die Kontrolle über sein Konto.
So erkennt ihr den Betrug
Die Nachricht enthält mehrere klare Warnsignale, die zeigen, dass sie nicht von der echten Commerzbank stammt:
unpersönliche Anrede ("Sehr geehrter Kunde")
unseriöse Absenderadresse
Aufforderung, einem Link zu folgen
Drohung mit Aufwand ("persönliche Legitimation in Filiale")
Klickt nicht auf den enthaltenen Link und ladet keinen QR-Code hoch - ganz egal, wie dringend die Nachricht formuliert ist. Verschiebt die E-Mail stattdessen direkt in euren Spam-Ordner. Wenn ihr unsicher seid, meldet euch immer über die echte Commerzbank-App oder direkt über die offizielle Website an. Aber niemals über Links aus E-Mails.
