Am 18. Februar 2026, kurz nach 16 Uhr, freute sich Peter Wendel auf den Feierabend. Dann vibrierte sein Smartphone. Eine SMS, in genau dem Chat-Verlauf, in dem sonst Trade Republic mit ihm spricht — Login-Codes, Sicherheitshinweise, das Übliche. Diesmal stand drin, eine Auszahlung von seinem Konto sei vorgemerkt, die er nicht autorisiert habe. Direkt darunter: eine Notfallnummer. Er rief an. Zwei Stunden später hatte er 100.000 Euro auf ein angebliches “Treuhandsammelkonto” in Österreich überwiesen. Es war die Altersvorsorge, die er und seine Frau Nicole über 45 Jahre lang aufgebaut hatten.
Wendel ist 63, halbwegs digital sozialisiert, hat sich kurz unbehaglich gefühlt, als ein österreichisches Zielkonto genannt wurde — und sich von der Stimme an der Hotline trotzdem überzeugen lassen. Wer ihm vorwirft, leichtsinnig gewesen zu sein, hat noch nicht verstanden, wie der Angriff aufgebaut war: Die SMS war kein verdächtiger Fetzen mit klobigem Englisch. Sie wurde im gleichen Thread wie die echten Codes von Trade Republic angezeigt. Genau das ist das Problem, über das ich hier schreiben will. Und es ist eines, das die Bundesrepublik seit Jahren ignoriert.
Eine Absenderkennung, in die jede.r schreiben kann, was sie will
Wenn du heute eine SMS bekommst und im Display oben “Trade Republic”, “DHL” oder “Sparkasse” steht, ist das nichts weiter als ein Textfeld in einem Datenpaket. Ein Feld in einem Protokoll, das in den Achtzigern entworfen wurde, als SMS noch “Hi Mama, bin gleich da” hieß. Dieses Textfeld nennt sich alphanumerische Absenderkennung (englisch: Sender ID), und sein zentrales technisches Merkmal ist: Es wird unterwegs nirgends geprüft.
Wer professionell SMS verschickt — seien es Banken, Paketdienstleister, Behörden, aber eben auch Werbeschleudern und Kriminelle —, kauft sich Zugang zu einem SMS-Gateway. Solche Gateways gibt es bei Anbietern in halb Europa für ein paar Euro pro tausend Nachrichten. Im Bestellformular gibst du an, was im Absenderfeld stehen soll. Bis zu elf Zeichen, beliebig. Niemand verifiziert, ob “TradeRepubl” wirklich von der Trade Republic Bank GmbH kommt. Die Kette zwischen Auftraggeber, Gateway und Mobilfunkanbieter trägt die Kennung einfach durch.
Das ist kein Bug, sondern die Vorgabe der Spezifikation. Das SMS-Protokoll wurde nie für sicherheitskritische Kommunikation entworfen. Trotzdem nutzen einige Banken den Kanal Jahrzehnte später genau dafür aus — für TANs, Verifikations-Codes und Statusmeldungen. Die meisten deutschen Häuser sind inzwischen abgerückt und setzen auf sichere Verfahren wie App-Benachrichtigungen. Trade Republic gehört zu den wenigen verbliebenen, die SMS noch im Sicherheits-Kontext einsetzen — und genau das pflegt das Vertrauen der Kund.innen in einen Kanal, den niemand authentifiziert.
Im selben Chat-Verlauf — und damit im selben Vertrauen
Der eigentliche Hebel des Angriffs auf Wendel ist nicht die SMS selbst. Es ist die Anzeige auf dem Smartphone. Sowohl iOS als auch Android gruppieren eingehende Nachrichten nach Absendername zu Threads. Wenn die echte Trade Republic monatelang als “TradeRepubl” zu dir spricht, und plötzlich eine Phishing-SMS mit identischer Sender-ID hereinkommt, dann landet diese Phishing-SMS im selben Chat wie alle echten. Direkt unter dem letzten Login-Code, den du vor zwei Wochen bekommen hast.
Stell dir vor, du bekommst eine E-Mail von deiner Bank — von der Adresse, von der auch die echten Bestätigungen kommen — im selben Mail-Verlauf, direkt unter den letzten echten Antworten. Du würdest den Inhalt nicht anzweifeln. Genau diese Konstellation produziert die alphanumerische Absenderkennung bei SMS, nur ohne die Schutzschichten, die E-Mail-Server inzwischen gegen Absenderfälschung haben.
Genau diese Masche läuft seit Monaten gegen Trade-Republic-Kund.innen. Die BaFin warnt seit dem 10. März 2026 öffentlich, das Polizeipräsidium Mittelfranken meldet für einen einzigen Bezirk allein in den letzten Wochen Vermögensschäden in mehrfacher Hunderttausend-Höhe. Wer im echten Trade-Republic-Chat eine SMS bekommt, ruft die angegebene Nummer an. Die Trefferquote ist hoch genug, dass es sich für die Täter.innen rechnet, im Stundentakt nachzulegen.
UK, Irland, Singapur. Und Deutschland.
Das technische Problem ist seit Jahren bekannt — und in mehreren Ländern auch gelöst. Großbritannien hat 2018 das SMS SenderID Protection Registry aufgesetzt: Banken, Behörden und Unternehmen registrieren dort ihre legitimen Absenderkennungen. Wer eine SMS unter dem Namen “Barclays” durch ein UK-Netz schickt, ohne von Barclays autorisiert zu sein, wird auf Netzbetreiber-Ebene blockiert. Aktuell sind mehr als 700 echte Sender-IDs geschützt, über 3.750 Spoofing-Varianten stehen auf einer geteilten Sperrliste — getragen von BT/EE, O2, Three und Vodafone gemeinsam mit dem National Cyber Security Centre und UK Finance.
Irland und Spanien haben die UK-Lösung 2021 übernommen. Singapur ist noch einen Schritt weitergegangen: Schon mit der freiwilligen Registrierung ab 2022 sanken die SMS-Smishing-Fälle zwischen Q4 2021 und Q2 2022 um 64 %. Seit dem 31. Januar 2023 blockiert die staatliche Regulierungsbehörde IMDA jede nicht registrierte alphanumerische Sender-ID per Default und ersetzt sie durch das Schild “Likely-SCAM”. Frankreich verlangt von seinen Mobilfunkanbietern seit Oktober 2024, nicht authentifizierte ausländische Anrufe zu unterbrechen — der Sprung auf SMS-Sender-IDs ist regulatorisch in Vorbereitung.
In Deutschland: Nichts dergleichen. Die Bundesnetzagentur hat eine SMS-Spam-Meldestelle, aber keine Authentifizierung der Absenderkennungen. Die drei großen Netzbetreiber — Deutsche Telekom, Vodafone, Telefónica/O2 — könnten morgen anfangen, ein Whitelisting nach UK-Vorbild zu implementieren. Sie tun es nicht, weil sie nicht müssen. Solange das Risiko bei den Endkund.innen liegt, ist die Investition in eine Sender-ID-Filterung aus Konzernsicht ein Kostenpunkt ohne Gegenwert. Genau diesen Mechanismus bricht Singapur auf, indem es die Filterung vorschreibt statt empfiehlt.
Was jetzt zu tun wäre
Die deutsche Untätigkeit ist kein Versäumnis, sondern eine Entscheidung. Die Bausteine liegen seit Jahren auf dem Tisch — UK macht es freiwillig, Singapur per Pflicht. Was fehlt, ist die politische Bereitschaft, sie auch hier verbindlich zu machen.
Trade Republic muss den SMS-Kanal als Sicherheitskanal endlich aufgeben. Der Web-Login läuft zwar primär über App-Push — aber nach 30 Sekunden Wartezeit kann der Code alternativ per SMS verschickt werden. Damit gibt es weiterhin einen direkten SMS-Pfad ins Konto. Geräte-Kopplung, PIN-Reset und Telefonnummer-Verifikation hängen ohnehin am SMS-Kanal. Solange echte Trade-Republic-SMS bei den Kund.innen im Posteingang landen, hat jede Phishing-SMS einen vorbereiteten Andockpunkt. Dass dieser Vertrauensanker auch zivilrechtlich angreifbar werden könnte, argumentiert inzwischen ein Fachanwalt für IT-Recht — neben mangelnder telefonischer Notfall-Erreichbarkeit. In-App-Verifikation ist machbar und wird von anderen Banken längst eingesetzt. Trade Republic ist ein Tech-Unternehmen mit Vollbanklizenz; technische Gründe, daran festzuhalten, gibt es keine.
Die Bundesnetzagentur muss den deutschen Mobilfunkanbietern verbindlich auferlegen, was UK seit 2018 freiwillig durchhält und Singapur seit 2023 erzwingt: ein Whitelisting der zugelassenen Sender-IDs, mit Sperrliste für alles andere. Solange das nicht passiert, ist jede neue BaFin-Aufklärungskampagne zu Hilfsbereitschaft und Vertrauen die stillschweigende Behauptung, Smishing sei ein Verhaltensproblem der Betroffenen.
Für Peter Wendel und seine Frau ändert die Regulierung von morgen nichts mehr. Die Kriminalpolizei hatte ihnen schon am Tag der Tat gesagt, dass die Erfolgsaussichten gering seien. Wer ihnen direkt helfen will, kann das in Form einer Spende tun. Wer selbst auf eine solche SMS hereingefallen ist, findet bei JUN Legal kostenlose Musterbriefe für SEPA-Recall und DSGVO-Auskunft — die ersten Schritte gehen ohne Anwalt.
Die SMS, die Wendel im Februar bekam, hätte in Großbritannien gar nicht erst sein Display erreicht. Sie hätte in Singapur “Likely-SCAM” als Absender getragen. In Deutschland ist sie im echten Chat-Verlauf gelandet. Das ist keine Lücke im Schutzkonzept — das ist das Schutzkonzept. Solange wir dabei bleiben, sind die nächsten 100.000 Euro nur eine Frage der Zeit.
