KI-gesteuerte Phishing-Wellen und professionelle Malware-Angriffe erreichen in der heißen Phase der Steuererklärung 2026 ein neues Bedrohungsniveau. Neue Daten zeigen massive finanzielle Schäden und eine beispiellose technische Raffinesse. Die vollständige Digitalisierung der US-Steuerbehörde IRS trifft auf eine professionalisierte Betrugsindustrie.
Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen. Der kostenlose Report zeigt, wie Kriminelle fertige Schadprogramme aus dem Netz laden und gezielt zuschlagen. Anti-Phishing-Paket jetzt kostenlos herunterladen
Massive Phishing-Kampagne kapert Verwaltungssoftware
Eine groß angelegte Phishing-Operation hat seit dem 24. März über 29.000 Personen in 10.000 Organisationen ins Visier genommen. Die Angreifer nutzen gefälschte E-Mails, die angeblich Unregelmäßigkeiten in der Steuererklärung anmahnen. Als Anhang wird eine trojanisierte Version des legitimen Remote-Verwaltungstools ConnectWise ScreenConnect mitgeliefert.
Einmal installiert, verschafft die Software den Cyberkriminellen dauerhaften Zugriff auf das System. Sie können so sensible Daten und Zugangsdaten abgreifen. Die Ausnutzung solcher RMM-Tools ist im Jahresvergleich um 277% gestiegen. Der Grund: Herkömmliche Antivirenprogramme erkennen sie oft als legitime Administrationssoftware nicht als Bedrohung.
Fast 20% der Ziele stammen aus dem Finanzsektor. Das deutet auf eine neue Strategie hin: Die Täter zielen direkt auf Unternehmens-Payroll-Systeme und Mitarbeiterdaten (W-2), um noch vor den eigentlichen Steuerzahlern massenhaft gefälschte Erklärungen einzureichen.
Gefährliche Werbeanzeigen und Kernel-Malware lauern in Suchmaschinen
Eine neue, hochtechnische Angriffsmethode nutzt seit dem 24. März bösartige Google-Anzeigen. Betrüger schalten Werbung für gängige Steuer-Begriffe wie „PDF-Editor“ oder „Steuerformular“. Klickt ein Nutzer darauf, landet er auf einer gefälschten Seite, die nützliche Steuertools anbietet.
Die eigentliche Schadsoftware nutzt die „Bring Your Own Vulnerable Driver“ (BYOVD)-Technik. Das angebliche Tool installiert einen manipulierten Kernel-Treiber, der höchste Systemrechte erlangt. Damit kann die Malware Sicherheitssoftware wie Endpoint Detection and Response (EDR) und Antivirenprogramme deaktivieren oder „abtöten“. Anschließend haben die Angreifer freien Zugriff auf alle Daten.
Experten des SANS Internet Storm Center sehen darin eine gefährliche Eskalation. Solche Kernel-Exploits waren früher oft staatlichen Akteuren vorbehalten. Jetzt werden sie für saisonale Steuerbetrügereien eingesetzt.
Rekordverluste durch KI-generierte „VibeScams“
Eine Studie von Gen Digital vom 25. März zeigt das erschreckende Ausmaß: 17% der befragten US-Bürger sind in dieser Steuersaison bereits auf einen Betrug hereingefallen. Der durchschnittliche finanzielle Schaden pro Opfer liegt bei 8.401 US-Dollar, Einzelverluste erreichen bis zu 75.000 Dollar.
Hauptgrund für den Erfolg ist Generative KI. Sie erzeugt täuschend echte Betrugs-Webseiten, sogenannte „VibeScams“. Diese imitieren das Design, den Ton und die Nutzererfahrung offizieller Portale wie der IRS-Website oder TurboTax perfekt. 23% der Betrugsfälle involvierten gefälschte KI-Chatbots, die „Expertenratschläge“ gaben, während sie Sozialversicherungsnummern und Bankdaten abgriffen.
KI erstellt auch hyper-personalisierte Phishing-Mails. Mit Daten aus sozialen Medien und früheren Leaks können Täter spezifische Details zu Job oder früheren Erklärungen erwähnen. Etwa 21% der Opfer klickten auf bösartige Links in KI-generierten Suchergebnis-Zusammenfassungen.
Professioneller Betrug zielt gezielt auf kleine Unternehmen
Die US-Steuerbehörde IRS beobachtet eine klare Verschiebung: Immer mehr Betrugsschemata zielen 2026 auf kleine und mittlere Unternehmen (KMU) ab. Diese haben oft wertvolle Finanzdaten, aber weniger robuste IT-Sicherheit als Großkonzerne.
Ein Dauerthema sind betrügerische Steuergutschriften, wie der „Employee Retention Credit“ (ERC). Aggressive Marketing-Kampagnen sollen Unternehmer davon überzeugen, Anspruch zu haben. Für die Einreichung falscher Anträge verlangen die Betrüger hohe Vorabgebühren. Die IRS warnt: Das Unternehmen haftet für die Richtigkeit seiner Erklärung – unabhängig vom Vorbereiter.
Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind, zeigt die aktuelle Bedrohungslage deutlich. Dieser kostenlose Leitfaden hilft Geschäftsführern, die IT-Sicherheit mit einfachen Maßnahmen proaktiv zu stärken. Cyber-Security-Report für Unternehmen anfordern
Ebenfalls problematisch sind „Geister-Steuerberater“. Diese berechnen gegen Gebühr die Erklärung, verweigern aber ihre Unterschrift und eine gültige Steuerberater-ID. So können sie gefälschte Abschreibungen einbauen, die Rückerstattung erhöhen und einen Teil auf eigene Konten umleiten. Die Digitalisierung erleichtert ihr anonymes, remote Arbeiten, oft unterstützt durch KI.
Hintergrund: Betrug „as-a-Service“ und digitale Schwachstellen
Der aktuelle Anstieg der Cyberkriminalität spiegelt einen breiteren Trend wider: Im Untergrund setzt sich das „as-a-Service“-Modell durch. So wurde diesen Monat das „Energy365 Phishing-as-a-Service“-Kit entdeckt, das speziell Steuer-Köder enthält. Wenig versierte Angreifer können damit hochkomplexe Kampagnen starten.
Diese Demokratisierung von Malware, kombiniert mit der voll digitalen IRS 2026, schafft den perfekten Nährboden für Identitätsdiebstahl. Im Vergleich zu 2024 und 2025 ist ein klarer Weg zu präziseren Angriffen zu sehen. Statt Massen-Spam setzen Kriminelle 2026 auf RMM-Tools und Kernel-Exploits. Es geht nicht mehr nur um eine einzelne Rückerstattung, sondern um langfristigen Zugang zu ganzen Finanz-Ökosystemen.
Was Verbraucher und Unternehmen jetzt tun können
Bis zur Abgabefrist am 15. April rechnen Experten mit einer letzten Welle von „Dringlichkeits“-Betrügereien. Diese werden sich auf „Verzögerungen bei der Rückerstattung“ oder „Kontoverifizierung“ konzentrieren.
Die IRS betont: Sie wird niemals per E-Mail, SMS oder Social Media initiativ Kontakt aufnehmen, um persönliche oder finanzielle Daten abzufragen.
Verbrauchern wird geraten:
* So früh wie möglich die Steuererklärung einzureichen, um die Sozialversicherungsnummer gegen Missbrauch zu „sperren“.
* Nur verifizierte, seriöse Steuerberater zu nutzen, die die von ihnen vorbereiteten Erklärungen auch unterschreiben.
* Bei verdächtigen Nachrichten äußerst skeptisch zu sein und Links nicht anzuklicken.
Für die Zukunft erwarten Analysten, dass Voice-Cloning und Deepfakes auch telefonische Betrugsversuche (Vishing) schwerer erkennbar machen. Die IRS und ihre Sicherheitspartner werden den Fokus voraussichtlich auf Multi-Faktor-Authentifizierung (MFA) und sichere Regierungsportale legen.
