Seit dem 11. Mai 2026 landen in deutschen Postfächern E-Mails mit dem Betreff „Ihr Zahlungsplan für den Rundfunkbeitrag ab 2026". Absender ist angeblich der Beitragsservice von ARD, ZDF und Deutschlandradio. Die Forderung: 55,08 Euro innerhalb von 24 Stunden auf ein Konto bei einer spanischen Bank überweisen. Ein einziges Detail entlarvt die Mail trotzdem sofort: Der echte Beitragsservice verschickt grundsätzlich keine Zahlungsaufforderungen per E-Mail. Steht „Bitte überweisen Sie" in einer Mail mit GEZ-Logo, ist es Phishing. Punkt. Hier liest du, warum die Masche trotz dieser einfachen Regel funktioniert, warum die Betrüger ausgerechnet 55,08 Euro fordern und was du in den drei häufigsten Szenarien sofort tun solltest.
Was hinter der Welle vom 11. Mai 2026 steckt
Beim Phishing-Radar der Verbraucherzentrale NRW gingen am 11. Mai 2026 die ersten Meldungen zu einer neuen Welle ein. Die E-Mail kommt im Look des offiziellen Beitragsservice, nutzt das ARD-ZDF-Deutschlandradio-Logo und nennt eine Buchungsnummer (826 737 149) sowie einen festen Betrag von 55,08 Euro. Empfänger werden generisch mit „Sehr geehrte Damen und Herren" angesprochen, nicht mit Namen.
Der Trick steckt im Druck. Die Mail behauptet, feste Zahlungstermine seien angepasst worden, der laufende Quartalsbeitrag müsse bis zum nächsten Tag überwiesen werden. Wer halbjährlich oder jährlich zahlt, bekommt einen Rabatt angeboten, etwa 95 Euro statt 110,16 Euro fürs Halbjahr. Beides ist erfunden. Der echte Beitragsservice gewährt keine Rabatte bei Vorauszahlung, und 24-Stunden-Fristen gibt es bei einer staatlichen Stelle nie.
| Merkmal | Echte Beitragsservice-Mail (nur mit Vorab-Zustimmung) | Phishing-Mail vom Mai 2026 |
|---|---|---|
| Absender-Domain | endet auf @rundfunkbeitrag.de | Fremde Domain, oft kryptisch |
| Anrede | Persönlich, mit Beitragsnummer | „Sehr geehrte Damen und Herren" |
| Zahlungsweg | Per Brief, niemals per Mail | Banküberweisung per Mail-Aufforderung |
| Frist | Wochen, mit Ratenoptionen | 24 Stunden, sonst Mahngebühr |
| Bankverbindung | Deutsches Konto (Plusgirokonto Köln) | Spanische IBAN mit deutscher Filiale |
| Rabatte | Werden nie gewährt | „Sparen Sie 15 Euro im Halbjahr" |
Der Beitragsservice bestätigt das auf seiner Seite mit den Sicherheitshinweisen ausdrücklich: Briefe gehen per Post raus, E-Mails verschickt der Service nur in Ausnahmefällen an Beitragszahler, die vorher ausdrücklich eingewilligt haben, und auch dann nie als Zahlungsaufforderung. Wer die Mail nicht selbst aktiv angefordert hat, kann sie ohne weitere Prüfung als Betrug einordnen.
Warum ausgerechnet 55,08 Euro
Der Rundfunkbeitrag beträgt seit Juli 2021 unverändert 18,36 Euro pro Monat pro Haushalt. Drei Monate Quartalsbeitrag macht exakt 55,08 Euro. Die Phisher haben also nicht irgendeine Summe ausgewürfelt, sondern den realen Quartalsbetrag übernommen. Das ist der psychologische Hebel: Wer das Geld jedes Quartal sowieso überweist, erkennt die Zahl wieder und überprüft sie nicht.
| Zahlungsrhythmus | Betrag | Häufigkeit |
|---|---|---|
| Monatlich | 18,36 Euro | Jeden Monat |
| Quartalsweise (Standard) | 55,08 Euro | Alle drei Monate |
| Halbjährlich | 110,16 Euro | Zweimal pro Jahr |
| Jährlich | 220,32 Euro | Einmal pro Jahr |
Die Phisher wissen auch, dass der Beitragsservice gerade massenhaft echte Briefe verschickt. Seit dem 15. Mai 2026 stellt der Beitragsservice für Überweiser den Versand quartalsweiser Zahlungsaufforderungen ein und ersetzt ihn durch eine einmalige Einmalzahlungsaufforderung mit den Beitragsdaten für die Folgejahre. Wer in dieser Phase eine Mail bekommt, die von einer Umstellung spricht, hält das leichter für plausibel als sonst. Die Welle trifft also bewusst einen Zeitpunkt, an dem viele Beitragszahler echte Post zum Thema Zahlungsänderung im Briefkasten haben.
Wer im Visier steht und wie häufig Phishing wird
Phishing trifft in Deutschland inzwischen jede zehnte Person. Laut Cybersicherheitsmonitor 2026 des BSI wurden im vergangenen Jahr elf Prozent der Internetnutzer Opfer von Cyberkriminalität. Phishing macht davon zwölf Prozent aus. 88 Prozent der Betroffenen melden einen Schaden, ein Drittel berichtet von finanziellen Verlusten. Für den Monitor befragt das BSI jährlich über 3.000 Personen ab 16 Jahren.
Besonders im Visier sind nach Einschätzung der Verbraucherzentralen ältere Beitragszahler. Rentnerinnen und Rentner überweisen den Rundfunkbeitrag häufiger per Hand, statt eine SEPA-Lastschrift einzurichten. Sie bekommen also tatsächlich regelmäßig Post zum Thema und sind die plausibelste Zielgruppe für eine Mail mit Quartalsbetrag und Fristdruck. Die generische Anrede der Phishing-Mail kompensiert, dass die Betrüger zwar E-Mail-Adressen, aber keine Namen oder Beitragsnummern haben.
Drei klassische Phishing-Merkmale tauchen auch in dieser Welle wieder auf: Handlungsdruck mit knapper Frist, generische Anrede statt namentlicher Ansprache und eine Linkstruktur, die ins Leere oder auf eine täuschend echt aussehende Fake-Seite führt. Das BSI weist darauf hin, dass Anhänge in solchen Mails Schadsoftware enthalten können, nicht nur in EXE-Dateien, sondern auch in Word-, Excel- und PDF-Dokumenten. Anklicken oder herunterladen sollte man nichts.
Sofort-Maßnahmen je nach Szenario
Was du tun musst, hängt davon ab, wie weit du schon gegangen bist. Die folgende Tabelle fasst die drei häufigsten Situationen zusammen.
| Szenario | Sofort tun | Innerhalb 24 Stunden |
|---|---|---|
| Mail nur erhalten | An phishing@verbraucherzentrale.nrw weiterleiten (direkt, nicht als Anhang), dann löschen | Spam-Filter trainieren, Mail-Adresse bei Bekannten verifizieren |
| Link geklickt, keine Daten eingegeben | Browser-Tab schließen, Verlauf prüfen | Virenscan, alle Passwörter ändern, die im Browser gespeichert sind |
| Daten eingegeben oder überwiesen | Bank anrufen, Sperr-Notruf 116 116, Konto sperren lassen | Strafanzeige bei der Polizei, Beitragsservice informieren, Bank-Passwörter wechseln |
Wenn du Geld überwiesen hast, zählt jede Stunde. Die Bank kann eine Überweisung in der Regel nur stoppen, solange sie noch nicht ausgeführt wurde. Bei Echtzeitüberweisungen ist das Geld nach wenigen Sekunden weg. Die Bank ist trotzdem die erste Anlaufstelle, weil sie unter Umständen das Empfängerkonto sperren kann, wenn dort noch Geld liegt. Der Sperr-Notruf 116 116 ist rund um die Uhr erreichbar und sperrt Online-Banking, EC-Karten und Kreditkarten in einem Anruf.
Bei der Anzeige hilft, wenn du die Original-Mail mit vollständigem Header gespeichert hast. Polizeidienststellen bieten Online-Wachen für solche Fälle, in Nordrhein-Westfalen etwa die Internetwache der Polizei NRW. Wichtig: Beim Bank-Anruf wenig sagen, nur den Sachverhalt schildern. Banken prüfen bei Phishing-Schäden, ob Kunden grob fahrlässig waren. Wer in den ersten Telefonaten unbedacht zugibt, die Warnzeichen ignoriert zu haben, riskiert seinen Erstattungsanspruch nach Paragraf 675u BGB.
Wie du dich dauerhaft schützt
Die einfachste Schutzregel gilt nicht nur für den Rundfunkbeitrag, sondern für jede angebliche Behördenmail: Wer Geld will, schickt einen Brief. Die Finanzämter, die Krankenkassen, der Zoll, die Bundesagentur für Arbeit, der Beitragsservice. Keine dieser Stellen fordert Geld per Mail an, und schon gar nicht mit Frist auf den nächsten Tag. Eine Mail mit Zahlungsaufforderung und Fristdruck ist deshalb fast immer Phishing, unabhängig vom angeblichen Absender.
Drei zusätzliche Gewohnheiten reduzieren das Risiko weiter. Erstens: Vor dem Klick mit der Maus über den Absendernamen fahren, ohne zu klicken. Die echte Adresse wird unten links im Mailprogramm angezeigt. Endet sie nicht auf der offiziellen Domain (im GEZ-Fall @rundfunkbeitrag.de), Mail ungeöffnet löschen. Zweitens: Links in Mails grundsätzlich nicht anklicken, sondern die Webseite manuell im Browser eingeben. Drittens: Bei Unsicherheit nicht antworten, sondern direkt beim echten Beitragsservice anrufen. Die Servicenummer steht auf rundfunkbeitrag.de unter Kontakt.
Wer regelmäßig phishing-verdächtige Mails meldet, hilft anderen mit. Die Verbraucherzentrale NRW veröffentlicht eingegangene Meldungen im Phishing-Radar und warnt darüber täglich Tausende Abonnenten. Eingereichte Mails werden anonymisiert ausgewertet, eine persönliche Antwort gibt es zwar nicht, aber die nächste Welle wird so schneller sichtbar. Wer die Mail vom 11. Mai 2026 noch im Postfach hat, kann sie genau dorthin weiterleiten: phishing@verbraucherzentrale.nrw, direkt aus dem Postfach, nicht als Anhang.
