Du öffnest morgens Deine Mailbox und siehst 800 ungelesene E-Mails. Newsletter-Anmeldungen, Bestätigungs-Links, «Willkommen bei…». Dein Postfach ist überschwemmt, das Handy klingelt im Sekundentakt, der Mail-Client wird unbenutzbar. Bis Du die Flut sortiert hast, bist Du eine halbe Stunde beschäftigt.
Was aussieht wie eine versehentliche Spam-Welle, ist oft eine ganz gezielte Attacke. Das BACS warnt seit Februar 2026 vor «Subscription Bombing» – einer Methode, die Postfächer absichtlich überflutet, um ein bestimmtes Mail zu verstecken. Das Mail, in dem die echte Bank-Bestätigung für eine betrügerische Überweisung auf Deinem Konto liegt.
Das Muster
Subscription Bombing läuft in zwei Phasen. Phase eins: ein Angreifer erbeutet Deine Login-Daten – per Phishing, per Datenleak, per gekauften Credentials aus einem Underground-Forum. Phase zwei: er meldet sich an Deinem Konto an und macht etwas, das eine Mail-Bestätigung auslöst. Eine Überweisung. Eine Adressänderung. Eine Bestellung mit teurer Lieferung.
Damit Du diese Bestätigungs-Mail nicht in der Mailbox siehst, schaltet er gleichzeitig den Bombing-Mechanismus ein: über automatisierte Tools werden Hunderte oder Tausende Newsletter-Anmeldungen mit Deiner Mail-Adresse ausgelöst. Innerhalb von Minuten kommen Bestätigungs-Mails von Versandhäusern, Newsletter-Anbietern, Foren, Petitionen, und allem, was Mail-Adressen nicht ordentlich validiert.
Mittendrin: die eine Mail Deiner Bank, die Du normal sehen würdest. In 800 anderen Mails verschwindet sie. Bis Du die Flut sortiert und auf das Banking schaust, ist die Überweisung bereits ausgeführt – und der Beleg steht in der Mail-Flut, irgendwo zwischen Newsletter Nummer 412 und 413.
Warum es funktioniert
Erstens: Newsletter-Bestätigungen sind technisch leicht auszulösen. Praktisch jede Webseite lässt es zu, dass jemand eine fremde Mail-Adresse einträgt und damit eine Bestätigungs-Mail an diese Adresse auslöst. Es gibt Bot-Netze, die das automatisiert für Tausende Adressen zugleich machen.
Zweitens: viele Mail-Filter erkennen einzelne Newsletter-Bestätigungen nicht als Spam. Sie sehen aus wie legitime Mails – weil sie es sind. Erst die Masse macht den Schaden, und Masse ist schwer zu filtern, wenn jede einzelne Mail einen anderen Absender hat.
Drittens: in der ersten halben Stunde des Mail-Sturms ist das Opfer abgelenkt. Die Aufmerksamkeit ist auf «Wie werde ich diesen Spam los», nicht auf «Was passiert gerade auf meinem Konto».
Wie Du erkennst, was läuft
Wenn Du plötzlich von einem auf den anderen Moment Hunderte Newsletter-Mails bekommst, ohne dass Du irgendwo etwas angemeldet hast: das ist nicht normal, und es ist nicht zufällig. Ignorier den Sortier-Reflex.
Stattdessen: sofort Online-Banking aufrufen. Nicht im Mail-Client suchen, sondern direkt auf die Bank-Webseite gehen, einloggen, und die letzten Bewegungen prüfen. Eine ungewollte Überweisung gerade jetzt? Direkt die Bank anrufen. Eine geänderte Empfänger-Bankverbindung? Direkt sperren lassen.
Auch andere kritische Konten kurz checken: Cloud-Speicher, Krypto-Börsen, Marketplaces wie Ricardo oder eBay. Überall, wo eine Transaktion auf Deinen Namen läuft. Wenn die Mailbox überflutet wird, ist das oft das Symptom – die Krankheit ist eine andere.
Was Du danach tun solltest
1. Passwort des betroffenen Kontos ändern. Wenn ein Angreifer in Dein Online-Banking konnte, hat er Zugangsdaten – die hat er irgendwo her. Ändere das Passwort, schalte falls nicht schon aktiv eine zweite Faktor-Methode ein.
2. Andere Konten mit demselben Passwort. Falls Du das Passwort woanders verwendet hast, ändere es auch dort. Wenn Du es nicht weisst, weil Du keinen Passwort-Manager hast: jetzt ist der Moment, einen einzurichten und alle wichtigen Konten umzustellen.
3. Mail-Adresse abschalten lohnt selten. Die Versuchung, wegen der Spam-Flut die Mail-Adresse zu wechseln, ist gross. Praktisch: nicht nötig. Newsletter laufen meistens nach ein paar Stunden bis Tagen aus, Filter lernen, die meisten Bestätigungs-Mails kommen nur einmal. Geduld.
4. Filter-Regel anlegen. Bei den meisten Mail-Anbietern lässt sich per Filter sagen: alles, was nach «Bestätigung», «Confirmation», «Welcome to» enthält, in einen separaten Ordner verschieben. Das räumt die Inbox auf und macht es einfacher, echte Mails zu sehen.
5. BACS melden. Falls finanzieller Schaden entstanden ist oder ein Konto kompromittiert wurde, hilft eine Meldung an antiphishing.ch bzw. das BACS-Meldeformular. Damit fliessen die Daten in die nationale Statistik – und ähnliche Wellen können schneller erkannt werden.
Was Du vorbeugend tun kannst
- Eindeutige, starke Passwörter für Mail und Banking. Nicht teilen mit anderen Diensten. Passwort-Manager hilft.
- Zwei-Faktor-Authentifizierung überall, insbesondere bei Mail und Banking. App-basiert, nicht SMS.
- Banking-Push-Notifications aktivieren – die kommen in eine separate App und nicht in die Mailbox. Damit siehst Du jede Transaktion sofort, unabhängig von der Mail-Flut.
- Schwellenwert für Push-Bestätigung bei Banking: bei manchen Schweizer Banken kannst Du einstellen, dass jede Überweisung über CHF 200 explizit per App bestätigt werden muss. Wenn das aktiv ist, scheitert Subscription Bombing am letzten Schritt.
Drei Sätze zum Mitnehmen
Eine plötzliche Mail-Flut ist selten zufällig. Schau zuerst auf Deine kritischen Konten, dann sortier den Spam. Banking-Push-Notifications und 2FA in der App machen Subscription Bombing wirkungslos.
Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Meldung vom 10.02.2026: «Subscription Bombing – Wenn das E-Mail-Postfach unter Beschuss steht» (ncsc.admin.ch).