Die US-Steuerbehörde warnt vor einer beispiellosen Flut gefälschter Websites und digitaler Betrugsmaschen, die auf die finanziellen Daten von Steuerzahlern abzielen. Künstliche Intelligenz und raffinierte Imitationstaktiken treiben die Betrugswelle an.
Mit der Abgabefrist am 15. April vor der Tür melden US-Behörden und Cybersicherheitsforscher einen historischen Anstieg betrügerischer Aktivitäten. Warnungen des Internal Revenue Service (IRS) und des gemeinsamen Wirtschaftsausschusses des Kongresses in der zweiten Aprilwoche 2026 zeichnen ein Bild einer sich rasant entwickelnden Bedrohungslage. Kriminelle nutzen zunehmend künstliche Intelligenz und ausgeklügelte Social-Engineering-Methoden, um Millionen von Bürgern ins Visier zu nehmen.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Sicher, bequem und passwortlos – So funktionieren Passkeys
Jeder Vierte bereits im Visier der Betrüger
Am 9. April 2026 gab der Wirtschaftsausschuss des Kongresses eine offizielle Betrugswarnung heraus. Demnach gab fast ein Viertel der Amerikaner an, in der aktuellen Steuersaison bereits Ziel oder Opfer steuerbezogenen Betrugs geworden zu sein. Die letzte Woche vor der Abgabefrist verzeichnet historisch die höchste Aktivität, da Kriminelle die Eile und den Stress von Last-Minute-Zahlern ausnutzen.
Forschungsdaten zeigen, dass zwischen Ende 2025 und Anfang 2026 durchschnittlich 43 neue betrügerische Steuer-Websites täglich online gingen. Die Strategie der Kriminellen hat sich deutlich verschoben: Während die direkte Nachahmung großer Steuer-Softwaremarken wie TurboTax in einigen Bereichen zurückging, nahmen generische Abgabebetrügereien um etwa das 17-fache zu. Diese oft seriös wirkenden Seiten locken Opfer mit Versprechen beschleunigter Rückerstattungen oder spezieller Steuergutschriften, um Sozialversicherungsnummern und Bankdaten abzugreifen.
KI und Deepfakes verändern die Bedrohung
Ein zentraler Bestandteil der Bedrohungslandschaft 2026 ist die integration generativer KI in traditionelle Phishing-Angriffe. In einer Mitteilung vom 8. April warnte der IRS, dass seine „Dirty Dozen“-Liste der Steuerbetrugsmaschen nun einen Schwerpunkt auf KI-gestützte Bedrohungen lege. Kriminelle nutzen zunehmend Voice-Cloning und Deepfake-Audio für Robocall-Kampagnen, die Tonfall und Autorität von IRS-Mitarbeitern imitieren.
Diese KI-gesteuerten Anrufe verwenden oft gefälschte Telefonnummern, um den Anschein einer legitimen Behörde zu erwecken. Die automatisierten Nachrichten drohen Steuerzahlern mit sofortiger Verhaftung, dem Entzug der Berufslizenz oder Abschiebung, falls eine „rückständige“ Rechnung nicht über nicht nachverfolgbare Methoden wie Geschenkkarten, Kryptowährung oder Überweisungen beglichen werde.
Cybersicherheitsexperten stellen fest, dass KI auch für hochgradig personalisierte Phishing-E-Mails genutzt wird. Im Gegensatz zum leicht erkennbaren „Spam“ der Vergangenheit sind diese modernen Nachrichten oft grammatikalisch fehlerfrei. Sie verwenden spezifische Details aus früheren Datenlecks, um die Köder überzeugender zu gestalten.
Raffinierte Schadsoftware und internationale Dimension
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket jetzt gratis herunterladen
Viele der betrügerischen Websites dienen nicht nur dem Datendiebstahl, sondern auch der Verbreitung raffinierter Schadsoftware. Technische Berichte von Microsoft und anderen Sicherheitsanbietern Anfang April 2026 identifizierten Kampagnen mit der RaccoonO365-Plattform. Dieses „Phishing-as-a-Service“-Modell liefert Baukästen zur Nachahmung offizieller Anmeldeseiten.
Nutzer gelangen oft über bösartige Links in PDF-Anhängen oder QR-Codes auf diese Seiten. QR-Codes sind bei Betrügern besonders beliebt, weil sie Standard-E-Mail-Sicherheitsprotokolle umgehen können, die nach verdächtigen URLs scannen. Interagiert ein Nutzer mit einer solchen Seite, kann er unbemerkt Remote-Access-Trojaner (RATs) installieren. Diese Programme ermöglichen Angreifern langfristigen Zugriff, um gespeicherte Zugangsdaten zu stehlen, Finanztransaktionen zu überwachen und sogar Zwei-Faktor-Authentifizierungscodes abzufangen.
Das Problem beschränkt sich nicht auf die USA. Im Vereinigten Königreich meldete das Finanzamt HMRC Anfang 2026, dass eine große Phishing-Kampagne Tausende Konten kompromittiert und Verluste von über 56 Millionen Pfund verursacht habe. Ähnlich wie in den USA wurden gestohlene Zugangsdaten genutzt, um echte Steuerrückerstattungen auf kriminell kontrollierte Bankkonten umzuleiten.
Trend zu nischen-spezifischem Betrug
Der aktuelle Anstieg spiegelt einen breiteren Trend wider: Cyberkriminelle bewegen sich weg von leicht erkennbarer Markenimitation hin zu fragmentierteren und nischen-spezifischen Betrugskategorien. Daten von DNS-Sicherheitsfirmen zeigen, dass traditionelle Köder mit Steuer-Software zwar effektiver erkannt werden, Betrugsmaschen, die auf spezifische Gutschriften abzielen, jedoch dreistellige Wachstumsraten verzeichnen.
Besonders betroffen sind gefälschte Wohltätigkeitsorganisationen. Nach mehreren Jahren der Stagnation stieg der Verkehr auf gefälschte Wohltätigkeits-Websites 2026 um fast 800 Prozent im Vergleich zum Vorjahr. Diese Seiten tauchen oft nach großen Nachrichtenereignissen oder in den letzten Wochen des Steuerjahres auf. Sie zielen auf Steuerzahler ab, die nach legitimen Wegen suchen, ihr zu versteuerndes Einkommen durch Spenden am Ende der Saison zu senken.
„Pause und prüfen“ als wichtigste Schutzmaßnahme
Behörden drängen angesichts der Bedrohungslage zu einem „Pause und prüfen“-Ansatz bei allen digitalen Kommunikationen. Der IRS betont, dass seine primäre Kontaktmethode weiterhin der Postweg sei. Die Behörde werde niemals über soziale Medien, SMS oder E-Mail initiierten Kontakt aufnehmen, um persönliche oder finanzielle Informationen anzufordern.
Strafverfolgungsbehörden und der „Security Summit“ – eine Partnerschaft zwischen IRS, staatlichen Steuerbehörden und der privaten Steuerbranche – tauschen weiterhin Echtzeitdaten aus, um bösartige Domains zu identifizieren und zu schließen. Sie räumen jedoch ein, dass die Geschwindigkeit, mit der neue Seiten generiert werden, manuelle Sperrlisten unzureichend macht.
Steuerzahler sollten offizielle Regierungsportale direkt aufrufen, anstatt auf Links in Nachrichten zu klicken. Wer den Verdacht hat, dass seine Identität kompromittiert wurde, dem empfiehlt der IRS die Verwendung einer Identity Protection PIN (IP PIN). Diese bietet eine zusätzliche Sicherheitsebene, indem sie einen eindeutigen Code für die Steuererklärung erfordert. In einer zunehmend komplexen digitalen Umgebung liegt die Sicherheitsverantwortung immer mehr auf einer Kombination aus fortschrittlichen technischen Filtern und erhöhter persönlicher Wachsamkeit.
