Phishing-Attacken auf Gehaltsabrechnungen erreichen eine neue Dimension. Diese Woche zeigen gleich drei Meldungen, wie Cyberkriminelle systematisch die direkten Gehaltsüberweisungen von Mitarbeitern kapern. Die US-Steuerbehörde IRS stuft diese Betrugsmethode als Top-Bedrohung ein, während der Fall Starbucks die verheerenden Folgen in der Praxis demonstriert.
CEO-Fraud: Warum selbst intelligente Mitarbeiter auf gefälschte Vorgesetzten-Mails hereinfallen. IT-Sicherheitsexperten warnen vor neuer Betrugmasche – erfahren Sie im kostenlosen Guide, wie Sie Ihr Unternehmen schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen
IRS warnt vor „Payroll Diversion“ als Top-Bedrohung
Die Gefahr ist offiziell: Die US-Steuerbehörde IRS hat Phishing- und Identitätsdiebstahl-Angriffe auf Gehaltssysteme in ihre jährliche Liste der zwölf größten Betrugsrisiken, den „Dirty Dozen“, aufgenommen. Die Warnung vom 12. März 2026 kommt zur Hochsaison der Steuererklärungen – ein traditionell beliebter Zeitpunkt für Betrüger.
Doch die Taktik hat sich verfeinert. Statt sich nur als Finanzbeamte auszugeben, geben sich die Angreifer nun als interne Ansprechpartner aus: als Personalabteilung, Payroll-Manager oder sogar Vorstände. Sie nutzen gefälschte E-Mails, die dringend zur Bestätigung von Steuerdaten (W-2) oder Bankverbindungen auffordern. Der Link führt zu einer täuschend echten Login-Seite des Unternehmensportals.
„Die Angreifer nutzen die Erwartungshaltung der Mitarbeiter aus“, erklärt Sicherheitsexperte Sharell Barshishat. Zur Steuerzeit seien solche Anfragen üblich und der Druck, schnell zu handeln, sei hoch. Hat der Kriminelle erst die Zugangsdaten, leitet er im Personalportal die Gehaltsüberweisung auf sein eigenes Konto um – oft unbemerkt bis zur nächsten Auszahlung.
Starbucks-Fall zeigt das perfide Muster
Wie dieser Betrug in der Praxis abläuft, zeigt ein aktueller Vorfall bei Starbucks. Der Konzern meldete am 10. März 2026 einen Datenschutzvorfall, bei dem Angreifer auf das interne Mitarbeiterportal „Partner Central“ zugriffen. Betroffen sind Daten von 889 Beschäftigten.
Die Täter nutzten eine klassische Credential-Harvesting-Attacke: Sie lockten Mitarbeiter auf eine perfekt nachgebaute Phishing-Website des Starbucks-Portals. Über die gekaperten Accounts erhielten sie Zugriff auf höchst sensible Daten – Sozialversicherungsnummern, Bankverbindungen und Routing-Nummern für die Gehaltsüberweisung.
Ein einziger kompromittierter Login reicht also, um Identitätsdiebstahl und die Umleitung ganzer Gehälter zu ermöglichen. Die Attacke lief über drei Wochen im frühen 2026, bevor sie im Februar entdeckt und gestoppt wurde.
KI und innere Täter verschärfen die Lage
Die Bedrohung wächst rasant, wie eine Umfrage von QBE Insurance vom 11. März 2026 belegt. Demnach erlebten 80 Prozent der Risikomanager großer US-Firmen im vergangenen Jahr Mitarbeiterkriminalität. Payroll-Betrug machte dabei 19 Prozent aller Fälle aus.
Künstliche Intelligenz treibt die Entwicklung voran. KI-generierte Texte sind heute fehlerfrei und passen sich dem professionellen Unternehmensjargon an. Die einst typischen Rechtschreibfehler in Phishing-Mails gehören der Vergangenheit an. Einige Angreifer setzen sogar KI-Stimmenklone ein, um in Telefonaten Führungskräfte zu imitieren und dringende Überweisungen zu veranlassen.
Besorgniserregend ist auch die innere Dimension: Bei 37 Prozent der Vorfälle waren mehrere Täter beteiligt. Kommt ein Angreifer in das Gehaltssystem, hat er oft Zugriff auf die Daten Hunderter oder Tausender Mitarbeiter auf einmal. Die „Ausbeute“ für die Kriminellen ist enorm hoch.
Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Dieser kostenlose Leitfaden zeigt IT-Verantwortlichen, wie sie die Sicherheit proaktiv stärken und kostspielige Angriffe abwehren. Experten-Report zur Cyber Security gratis sichern
Neue Regeln und defensive Maßnahmen
Als Reaktion auf die wachsende Gefahr verschärfen Aufsichtsbehörden die Regeln. Das Nacha 2026-Mandat führt im US-Zahlungsverkehr zu geteilter Verantwortung. Banken und Fintech-Unternehmen müssen nun risikobasierte Verfahren etablieren, um Betrug zu erkennen. Entscheidend ist die Prüfung der Zahlungsabsicht: Eine technisch legitime Überweisung kann als Betrug gelten, wenn sie durch Täuschung zustande kam.
Cybersicherheitsexperten raten Unternehmen zu drastischen Maßnahmen:
* Abschaffung von E-Mail-Anfragen: Änderungen der Bankverbindung dürfen nur über gesicherte, mehrfach authentifizierte Personalportale möglich sein.
* Strenge Verifikation: Bei jeder Anfrage muss die Personalabteilung den Mitarbeiter direkt über eine bekannte Rufnummer kontaktieren.
* Technische Absicherung: E-Mail-Systeme müssen in der Lage sein, gefälschte interne Absenderdomains zu erkennen und zu blockieren.
Die Kombination aus technischen Schutzvorkehrungen und konsequenten Prozessen ist der einzige Weg, um die Belegschaft vor den verheerenden finanziellen Folgen des „Payroll Diversion“-Betrugs zu schützen.
