In den vergangenen 72 Stunden haben Verbraucherschützer und Finanzbehörden vor betrügerischen Nachrichten gewarnt. Die Mails kommen angeblich vom Finanzamt, dem Bundeszentralamt für Steuern oder dem ELSTER-Portal. Ihr Ziel: Bankdaten und Identitätsinformationen abgreifen.
Besonders Smartphone-Nutzer sind im Visier. Die Betrugsseiten sind technisch perfekt auf mobile Endgeräte zugeschnitten.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Masche: Rückerstattung als Köder
Die Täter setzen auf psychologischen Druck und die Aussicht auf Geld. Seit dem 30. April kursieren E-Mails mit Betreffzeilen wie „Offizielle Mitteilung zur Kontobestätigung“. Den Empfängern wird eine Steuerrückerstattung versprochen – sobald sie ihre Kontoverbindung bestätigen.
Die Kriminellen nutzen aus, dass viele Steuerpflichtige genau jetzt mit Post vom Finanzamt rechnen. Offizielle Logos und seriöses Layout sollen Vertrauen schaffen. Ein Link führt zu einem vermeintlichen Sicherheitsportal. Dort sollen Nutzer Bankdaten, Kreditkarteninformationen oder Online-Banking-Zugänge eingeben.
Die Verbraucherzentrale warnt: Diese Portale sind täuschend echte Nachbildungen der offiziellen ELSTER-Seite. Die eingegebenen Daten landen direkt bei den Betrügern.
Ein weiterer Trick: künstlicher Zeitdruck. In einigen Varianten heißt es, die Rückerstattung verfalle innerhalb von 24 oder 48 Stunden. Das soll verhindern, dass Opfer kritisch prüfen oder beim Finanzamt nachfragen.
Quishing: Die neue Gefahr auf dem Smartphone
Ein klarer Trend: Die Angreifer fokussieren sich auf Smartphone-Nutzer. Viele Verbraucher rufen Behördenpost mobil ab – die Betrüger haben ihre Infrastruktur angepasst. Die Phishing-Seiten haben responsives Design und sind auf kleinen Displays noch schwerer als Fälschung zu erkennen.
Neu ist das sogenannte „Quishing“ – Phishing via QR-Code. Die Mails enthalten keine direkten Links, sondern einen QR-Code, der angeblich zum Steuerbescheid führt. Ziel: Sicherheitsfilter umgehen, die herkömmliche URLs blockieren. Für den Nutzer wirkt das Scannen modern und unkompliziert.
Sicherheitsexperten warnen: Auf dem Smartphone ist die Gefahr höher. Sicherheitssoftware ist auf mobilen Betriebssystemen oft weniger präsent. Browserzeilen werden gekürzt dargestellt – gefälschte URLs mit Begriffen wie „elster“ oder „finanzamt“ sind schwerer zu enttarnen.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, besonders wenn Phishing-Angriffe immer professioneller werden. Dieser kostenlose Report zeigt, wie Sie Sicherheitslücken schließen und Ihr Gerät effektiv absichern. 5 einfache Schritte für ein sicheres Android-Smartphone
So schützen Sie sich: Die Warnungen der Behörden
Das Bundeszentralamt für Steuern (BZSt) hat seine Sicherheitshinweise präzisiert. Die Behörde fordert niemals Steuernummern, Kontoverbindungen, PINs oder Kreditkartendaten per E-Mail an. Offizielle Steuerbescheide oder Rechnungen werden niemals als E-Mail-Anhang versendet.
Steuerrelevante Nachrichten kommen ausschließlich über das gesicherte Postfach im ELSTER-Portal. Per E-Mail gibt es nur eine Benachrichtigung – ohne direkte Links zur Anmeldung oder zur Eingabe von Zahlungsdaten.
Experten raten zu folgenden Prüfungen bei verdächtigen Nachrichten:
- Absenderadresse: Offizielle Mails enden auf „.de“ (z. B. @elster.de oder @bzst.de). Betrüger nutzen Adressen wie „info@bzst-zahlungsfrist.com“.
- Anrede: Phishing-Mails verwenden unpersönliche Formeln wie „Sehr geehrte Damen und Herren“. Behörden nutzen die korrekte Anrede oder beziehen sich auf Aktenzeichen.
- Sprachliche Mängel: Die Qualität hat sich verbessert, aber oft finden sich kleine Grammatikfehler oder ungewöhnliche Begriffe.
Die Professionalisierung der Angreifer
Hinter den Kampagnen stehen organisierte Gruppen mit spezialisierten Phishing-Kits. Manche E-Mails enthalten als PDFs getarnte Anhänge mit Trojanern. Nach dem Öffnen infizieren sie das System und greifen im Hintergrund Anmeldedaten für Finanzdienstleister ab.
Eine aktuelle Untersuchung zeigt: Herkömmliche Schulungen zur Erkennung von Phishing erzielen nur begrenzte Erfolge. Die Fälschungen sind inzwischen kaum noch von echten Behördenschreiben zu unterscheiden. Die Angreifer integrieren korrekte Verweise auf EU-Richtlinien oder aktuelle Gesetzesänderungen – etwa zur Kryptosteuermeldepflicht.
Die wirtschaftlichen Folgen sind erheblich. Neben direktem Gelddiebstahl droht langfristiger Identitätsdiebstahl. Mit den erbeuteten Daten schließen Kriminelle Verträge im Namen der Opfer ab oder übernehmen weitere Online-Konten.
Warum die Masche immer besser funktioniert
Phishing im Namen von Finanzbehörden ist nicht neu. Doch Frequenz und Zielgenauigkeit haben in den letzten zwei Jahren massiv zugenommen. Frühere Kampagnen fielen durch massenhaft versendete, fehlerhafte Mails auf. Heute sind die Wellen hochgradig automatisiert und saisonal angepasst.
Die Kriminellen nutzen die digitale Transformation der Verwaltung aus. Je mehr Behördengänge digitalisiert werden, desto plausibler erscheint den Bürgern die Kommunikation per E-Mail oder SMS.
Die Einbindung von Themen wie Kryptowährungen zeigt: Die Täter verfolgen die öffentliche Debatte genau und bauen sie in ihre Skripte ein. Das erhöht den Druck auf die IT-Sicherheitssysteme der Provider, die täglich Millionen verdächtiger E-Mails filtern müssen. Dennoch erreichen noch immer genügend gefährliche Nachrichten die Posteingänge.
Ausblick: Wettrüsten zwischen Angreifern und Behörden
Experten rechnen mit einer weiteren Eskalation. Da klassische Passwörter zunehmend als Schwachstelle erkannt werden, gewinnen Multi-Faktor-Authentifizierung (MFA) und moderne Verfahren wie Passkeys an Bedeutung. Die Finanzverwaltung hat die Sicherheitsanforderungen für den ELSTER-Zugang bereits verschärft – etwa durch verpflichtende Zertifikatsdateien oder Sicherheitssticks.
In den kommenden Monaten soll auch die offizielle App-Kommunikation gestärkt werden. Apps wie „MeinELSTER+“ bieten eine sicherere Umgebung für den Dokumentenaustausch als herkömmliche E-Mails.
Doch der Faktor Mensch bleibt entscheidend. Technische Schutzmaßnahmen greifen nur, wenn Nutzer gesunde Skepsis gegenüber unangeforderten digitalen Zahlungsaufforderungen bewahren. Die Behörden planen, ihre Aufklärungskampagnen künftig noch früher zu starten – präventiv gegen die antizipierte Kriminalität.
