TopGPSTracker
Find Lost or Stolen Phone Stolen phone recovery

Handy gestohlen, Konto leer: Die 60 Minuten, die alles entscheiden

Taschendieb greift zu, bis zum Mittag ist das Konto leer. Exakte Reihenfolge: SIM sperren, Konto einfrieren, Anzeige erstatten. Schritt für Schritt.

Von Martin Pavlič · 5. Juni 2026 ·12 Min. Lesezeit
Analoge Armbanduhr auf einer Holzoberfläche neben einem dunklen Handydisplay, dramatisches Seitenlicht, Gefühl von Zeitdruck
Auf dieser Seite 6 Abschnitte
Gerade bestohlen worden? Lauf dem Dieb nicht hinterher. Such dir zuerst einen sicheren Ort, leih dir ein Fremdgerät aus oder geh in ein Geschäft mit Computer und arbeite die folgenden Schritte in dieser Reihenfolge ab. Bist du in unmittelbarer Gefahr, ruf zuerst 110 (Polizei) oder 112 (Notruf).

Ein Taschendieb greift zu. Das Handy ist als Hardware etwa 400 bis 800 Euro wert. Mit entsperrtem Display und installierter Banking-App kann es in weniger als einer Stunde zu einem Schaden von mehreren tausend Euro führen. Laut Bundeskriminalamt (BKA) wurden 2023 in Deutschland knapp 33.000 Smartphones bei Taschendiebstählen erbeutet. Die durchschnittliche Zeit zwischen Diebstahl und erster betrügerischer Transaktion liegt unter 25 Minuten. Diese Schritt-für-Schritt-Anleitung schließt dieses Fenster.

Die wichtigsten Punkte auf einen Blick

  • pushTAN und photoTAN auf dem entsperrten gestohlenen Handy genehmigen Überweisungen ohne weiteren Eingriff des Kontoinhabers
  • Zuerst SIM sperren beim Anbieter, dann Banking-App einfrieren, dann Polizeianzeige erstatten
  • Die PSD2-Richtlinie (§ 675u BGB) verpflichtet deutsche Banken zur Erstattung nicht autorisierter Zahlungen bei unverzüglicher Meldung
  • Sperr-Notruf 116 116 sperrt alle Bankkarten deutschlandweit, rund um die Uhr
  • Eine aktive Banking-Sitzung bleibt gültig, bis sie von einem anderen Gerät beendet wird
  • SIM-PIN verhindert, dass deine SIM in einem Fremdgerät genutzt wird

Warum ein gestohlenes Handy ein gestohlenes Konto bedeutet

Dein Smartphone ist der Schlüssel zu fast allem, was Geld bewegt. Drei Verbindungen machen es zur Schatztruhe für Diebe:

Banking-Apps halten Sitzungen offen. Sparkasse, ING, DKB, Commerzbank und N26 speichern eine aktive Sitzung auf dem Gerät. Ein Dieb mit entsperrtem Display braucht kein Passwort. Er öffnet die App, die bereits angemeldet ist, und überweist.

pushTAN und photoTAN laufen auf demselben Gerät. Das Sicherheitsmodell von pushTAN basiert darauf, dass Gerät und TAN-App getrennt sind. Wenn ein Dieb dein Alltagsgerät und deine TAN-App gleichzeitig in der Hand hat, ist diese Trennung aufgehoben. Er tippt die Überweisung ein und genehmigt sie im nächsten Schritt, ohne dass eine zweite Komponente fehlt.

SMS-TAN erreichen das gestohlene Handy sofort. Solange deine SIM aktiv ist, kommen alle Einmalpasswörter (OTP) direkt auf das gestohlene Gerät. Kein separates Gerät nötig.

Die Zahlen des Bundeskriminalamts zeigen: Cyberkriminalität mit Tatmittel Internet verursachte 2023 in Deutschland Schäden von über 3 Milliarden Euro. Ein erheblicher Anteil geht auf kompromittierte Mobilgeräte zurück.

Wie Diebe biometrische Entsperrung aushebeln

Face ID und Fingerabdruckscanner klingen sicher. In zwei Szenarien schützen sie nicht:

Schulter-Surfen. Taschendiebe in U-Bahnen oder auf belebten Plätzen wie dem Alexanderplatz oder der Reeperbahn beobachten gezielt, wie Opfer ihren PIN eingeben, merken sich die Ziffernfolge und schnappen das Gerät dann weg. Mit dem PIN können sie Biometrie deaktivieren, die Sicherheitseinstellungen ändern und die Apple-ID oder den Google-Account ersetzen.

Entsperrtes Gerät. Wer sein Handy auf einem Tisch liegen lässt, im Café ablegt oder es beim Joggen entsperrt in der Hand trägt, gibt einem geschickten Dieb die Möglichkeit, ein bereits entsperrtes Gerät zu greifen. Keine biometrische Entsperrung nötig.

Der kritische Schritt danach: Der Dieb wechselt auf einem entsperrten iPhone in Einstellungen, Allgemein, VPN und Geräteverwaltung und entfernt das Gerät aus der Apple-Verwaltung, um Aktivierungssperre und Find My zu deaktivieren. Für Android läuft der analoge Angriff über Einstellungen, Konten und das Entfernen des Google-Accounts.

Die 60-Minuten-Reaktion: Genaue Reihenfolge

Jede Minute zählt. Die Schritte sind in dieser Reihenfolge optimiert, nicht alphabetisch.

Schritt 1 (0-5 Minuten): SIM beim Mobilfunkanbieter sperren.

Das ist der wichtigste und am häufigsten übersprungene Schritt. Eine gesperrte SIM blockiert alle eingehenden SMS-TANs, bevor ein Dieb sie nutzen kann.

Sag: “Mein Handy wurde gestohlen. Ich melde den Verlust und bitte um sofortige SIM-Sperre.” Du bekommst eine Vorgangsnummer. Notiere sie.

Schritt 2 (5-10 Minuten): Gerät aus der Ferne sperren.

Auf icloud.com/find (iPhone) oder android.com/find (Android) mit einem Fremdgerät anmelden. Das Gerät als verloren markieren und eine Sperrbildschirm-Meldung hinterlegen. Apple Pay wird automatisch deaktiviert, sobald du “Als verloren markieren” tippst. Für Android: “Gerät sichern” sperrt den Zugang und meldet den Google-Account ab.

Mehr dazu in unserem Find-My-iPhone-Guide und im Google-Find-My-Device-Guide.

Schritt 3 (10-15 Minuten): Banking-Apps und Konten einfrieren.

Melde dich auf einem anderen Gerät bei jeder Bank an. Alle großen deutschen Banken bieten in den Kontoeinstellungen eine Funktion zum Abmelden aller Geräte oder zum Sperren des Zugangs:

  • Sparkasse / Volksbank: Online-Banking aufrufen, unter “Sicherheit” oder “Geräte verwalten” alle Geräte abmelden. Alternativ: Kartenhotline der Filiale.
  • ING: 0800 60 800 60 (kostenlos, 24/7), unter “Sicherheit” alle Geräte abmelden.
  • DKB: 030 120 300 00 (24/7), Online-Banking abmelden und pushTAN-Gerät entfernen.
  • N26: In der App unter “Mein Konto, Einstellungen, Sicherheit” oder per In-App-Chat.
  • Commerzbank: 0800 282 0000 (kostenlos, 24/7), Konto sperren lassen.
  • Revolut: support.revolut.com per Chat oder die App-Funktion “Karte einfrieren”.

Schritt 4 (15-20 Minuten): Sperr-Notruf 116 116 anrufen.

Der Sperr-Notruf 116 116 sperrt alle Bankkarten, EC-Karten und Kreditkarten deutschlandweit, sofern die Karten beim jeweiligen Institut registriert sind. Aus dem Ausland: +49 116 116. Rund um die Uhr, kostenlos.

Was gesperrt wirdWie
Bankkarten (EC, Kreditkarte)Sperr-Notruf 116 116 oder direkte Bankhotline
Banking-App-SitzungGerät abmelden im Online-Banking oder per Hotline
pushTAN / photoTANGeräteregistrierung löschen, Bankhotline anrufen
Apple PayAutomatisch bei “Als verloren markieren” auf icloud.com
Google PayÜber pay.google.com Gerät entfernen
SIM / SMS-TANMobilfunkanbieter-Hotline (Schritt 1)

Schritt 5 (20-30 Minuten): Passwörter ändern.

Priorität: E-Mail-Konto zuerst (darüber laufen alle Passwort-Resets), dann Banking, dann Investmentkonten, dann PayPal und andere Zahlungsdienste, dann Social-Media-Accounts. Nutze ein anderes Gerät und einen Passwortmanager.

Schritt 6 (30-50 Minuten): Strafanzeige bei der Polizei erstatten.

Die Anzeige ist notwendig für den Erstattungsantrag bei der Bank und für die Versicherung. Geh zur nächsten Polizeidienststelle oder nutze das Online-Anzeigenportal deines Bundeslandes (verfügbar in Bayern, NRW, Hamburg, Berlin u.a.). Formuliere: “Mein Handy wurde gestohlen. Ich erstattet Anzeige wegen Diebstahls nach § 242 StGB und bitte um eine Vorgangsnummer für meinen Erstattungsantrag.”

Die Vorgangsnummer brauchst du für die Bank. Notiere Datum, Uhrzeit und Ort des Diebstahls so genau wie möglich.

Schritt 7 (50-60 Minuten): Betrugsmeldung bei jeder Bank abschließen.

Ruf jede Bank an und erkläre: “Mein Handy wurde heute gestohlen. Ich befürchte, dass Transaktionen über die gestohlene Banking-App ausgeführt wurden oder noch ausgeführt werden. Ich erstate Betrugsmeldung und bitte um Dispute-Holding bis zur Klärung.” Gib die Vorgangsnummer der Polizei an.

Die SIM-Swap-Bedrohung danach

Ein Dieb mit deinem Handy hat oft Zugriff auf Kontakte, Notizen und E-Mails. Mit diesen Daten kann er deinen Mobilfunkanbieter anrufen und versuchen, deine Rufnummer auf eine neue SIM-Karte übertragen zu lassen. Diesen Angriff nennt man SIM-Swap.

So läuft er ab: Dieb ruft bei Telekom/Vodafone/O2 an, nennt deinen Namen, dein Geburtsdatum (aus Kontakten oder Notizen) und behauptet, das Handy verloren zu haben. Der Kundenservice überträgt die Nummer. Ab diesem Moment kommen alle SMS-TANs beim Dieb an.

Was verhindert das: Ein Account-PIN beim Anbieter, den du beim Sperranruf (Schritt 1) einrichten oder bestätigen lassen kannst. Telekom, Vodafone und O2 bieten alle eine solche Funktion. Zusätzlich kannst du bei deinem Anbieter eine Port-Sperre einrichten, die eine Rufnummernmitnahme blockiert, bis du sie aktiv aufhebst.

Verbraucherschutz in Deutschland: Was die PSD2 dir gibt

Das Bundeskreditwesengesetz und § 675u BGB setzen die EU-Zahlungsdiensterichtlinie PSD2 in deutsches Recht um. Für dich bedeutet das:

Erstattungspflicht bei nicht autorisierten Zahlungen. Die Bank muss den Betrag nicht autorisierter Transaktionen unverzüglich, spätestens am nächsten Werktag, wieder gutschreiben. Ausnahme: grobe Fahrlässigkeit auf deiner Seite. Physischer Diebstahl gilt nicht als grobe Fahrlässigkeit.

Haftungsgrenze vor Meldung. Bis zur Sperrmeldung haftest du für Missbrauch nur bis 50 Euro, sofern kein grob fahrlässiges Verhalten vorliegt. Nach der Meldung haftet die Bank vollständig.

Was tun, wenn die Bank ablehnt? Schriftlich widersprechen, auf § 675u BGB und die BaFin-Auslegung hinweisen. Kostenlose Schlichtungsstellen:

  • BaFin-Verbrauchertelefon: 0800 2 100 500 (kostenlos)
  • Ombudsmann der privaten Banken: Kostenlose Schlichtung, Erreichbar über den Bundesverband deutscher Banken
  • Verbraucherzentrale Bundesverband: Beratung und Musterbrief-Vorlagen

Strafrecht: Kontoabbuchungen mit einem gestohlenen Handy erfüllen in Deutschland den Tatbestand des Computerbetrugs nach § 263a StGB (Freiheitsstrafe bis zu fünf Jahre oder Geldstrafe) sowie des Diebstahls nach § 242 StGB. Die Anzeige belegt beides.

Langfristige Prävention: Vier Einstellungen, die wirklich helfen

Diese Maßnahmen dauern zusammen unter 15 Minuten. Sie reduzieren den Schaden eines Handy-Diebstahls erheblich.

SIM-PIN aktivieren. Auf dem iPhone: Einstellungen, Mobilfunk, SIM-PIN. Auf Android: Einstellungen, Sicherheit, SIM-Kartensperre. Ein Dieb, der deine SIM in ein anderes Gerät einlegt, muss diesen vierstelligen PIN eingeben. Drei falsche Eingaben sperren die SIM dauerhaft. Das stoppt nicht nur SIM-Swaps mit physischer SIM, sondern verhindert auch, dass SMS-TANs auf einem Ersatzgerät des Diebs ankommen.

Banking-App-PIN verschieden vom Gerät-PIN setzen. Die meisten Banking-Apps in Deutschland erlauben eine eigene PIN oder Biometrie innerhalb der App. Wer in der U-Bahn beobachtet wurde, wie er seinen Gerät-PIN eingibt, kann die Banking-App trotzdem nicht öffnen, wenn diese einen separaten Code verlangt. Aktiviere das in den Sicherheitseinstellungen der App.

TAN-App mit separatem PIN sichern. Die pushTAN-App der Sparkasse und die photoTAN-Apps der meisten Großbanken verlangen beim ersten Öffnen nach dem Gerät-PIN einen eigenen App-PIN. Stelle sicher, dass dieser gesetzt und anders als dein Gerät-PIN ist.

Anbieter-Account-PIN setzen. Ruf deinen Mobilfunkanbieter an und lass einen numerischen oder verbalen Account-PIN einrichten. Telekom, Vodafone, O2 und 1&1 bieten das an. Dieser PIN wird bei jeder Änderung der Vertragsmodalitäten verlangt, auch bei Rufnummernmitnahmen. Ein Dieb, der sich als du ausgibt, scheitert an diesem Schritt.

Zusammen bilden diese vier Maßnahmen drei separate Barrieren: Anbieter-PIN gegen SIM-Swap, Banking-PIN gegen direkten App-Zugriff, SIM-PIN gegen Nutzung der physischen SIM in Fremdgeräten. Kombiniert machen sie ein gestohlenes Handy für einen opportunistischen Dieb praktisch unbrauchbar für Banking-Betrug.

Mehr zur Prävention am richtigen Ort im Guide zu Diebstahl-Hotspots und Schutzmaßnahmen.

Und falls du dein Handy noch orten kannst, bevor du die Konten sperrst: Lies zuerst unseren vollständigen Leitfaden für gestohlene Handys.

Häufige Fragen

Was Leser oft fragen

6 Fragen · Aktualisiert Juni 2026

Erstattet mir meine Bank das Geld zurück, wenn nach einem Handydiebstahl Transaktionen stattgefunden haben?
In Deutschland verpflichtet die PSD2-Richtlinie (§ 675u BGB) Banken dazu, nicht autorisierte Zahlungen grundsätzlich zu erstatten, sofern du sie unverzüglich meldest. Die Bank muss innerhalb von ein Werktag den Betrag vorläufig gutschreiben. Eine Ablehnung ist nur bei grober Fahrlässigkeit möglich, etwa wenn du deine PIN an Dritte weitergegeben hast. Melde den Diebstahl sofort per Hotline, erstatte Strafanzeige und halte die Vorgangsnummer bereit. Grobe Fahrlässigkeit liegt nicht vor, weil ein Dieb dein Gerät physisch gestohlen hat.
Soll ich zuerst den Mobilfunkanbieter oder die Bank anrufen?
Zuerst den Mobilfunkanbieter. Das ist der kontraintuitive Schritt, den die meisten überspringen. Wenn die SIM gesperrt ist, kommen keine SMS-TANs mehr beim Dieb an. Die Strafanzeige bei der Polizei dauert 20 bis 40 Minuten und verhindert in dieser Zeit keinen einzigen Betrug. Reihenfolge: SIM sperren beim Anbieter, dann Banking-App über ein anderes Gerät oder die Hotline einfrieren, dann Anzeige erstatten. Für Karten gilt zusätzlich der Sperr-Notruf 116 116.
Kann ein Dieb meine Banking-App nutzen, wenn er mein Handy hat?
Ja, wenn das Display entsperrt war oder er deine PIN kennt. Die meisten Banking-Apps in Deutschland speichern eine aktive Sitzung, die erst erlischt, wenn sie von einem anderen Gerät beendet wird. Sparkasse, ING, DKB, N26 und Commerzbank bieten alle eine Funktion zum Abmelden aller Geräte in den Kontoeinstellungen. Das muss das erste sein, was du an einem Fremdgerät tust, sobald du Zugang zum Internet hast.
Was ist mit pushTAN und photoTAN auf einem gestohlenen Handy?
pushTAN und photoTAN-Apps sind mit einer separaten Geräteregistrierung verknüpft. Wenn du das Gerät aus der App-Registrierung entfernst, werden keine neuen TANs mehr an das gestohlene Handy gesendet. Ruf deine Bank an und lass die TAN-Geräteregistrierung sofort löschen. Solange das nicht passiert ist, kann ein Dieb mit dem entsperrten Handy Transaktionen genehmigen, ohne dass eine SMS-TAN nötig ist.
Was ist ein SIM-Swap und wie funktioniert er bei einem Handydiebstahl?
Beim SIM-Swap ruft ein Dieb deinen Mobilfunkanbieter an, gibt sich als du aus und lässt deine Rufnummer auf eine neue SIM-Karte übertragen, die er kontrolliert. Ab diesem Moment kommen alle SMS-TANs bei ihm an. Telekom, Vodafone, O2 und 1&1 verlangen für Portierungen zusätzliche Verifizierungsschritte, aber Social Engineering funktioniert manchmal trotzdem. Ein SIM-PIN (Einstellungen, Mobilfunk, SIM-PIN) verhindert, dass deine SIM in einem anderen Gerät genutzt wird, löst den SIM-Swap aber nicht. Wichtig: Ruf den Anbieter an und lass einen Account-PIN setzen, bevor du das Gespräch beendest.
Meine Bank sagt, die Transaktion war autorisiert, weil die TAN korrekt war. Was kann ich tun?
Widersprich dem. Die Bundesnetzagentur und die BaFin erkennen an, dass eine korrekte TAN auf einem gestohlenen Gerät keine freiwillige Autorisierung durch den Kontoinhaber darstellt. Erstatte zunächst Strafanzeige und hol dir die polizeiliche Vorgangsnummer. Stelle dann einen formellen Erstattungsantrag bei der Bank schriftlich per Einschreiben. Hilft das nicht, kannst du die BaFin-Verbraucherschlichtungsstelle oder den Ombudsmann des jeweiligen Bankenverbands kostenlos einschalten.