Die Steuersaison ist für Cyberkriminelle wie Weihnachten – und genau das macht sich aktuell eine breit angelegte Phishing-Welle zunutze. Sicherheitsbehörden und Branchenberichte schlagen Alarm: Im Juni läuft eine groß angelegte Kampagne, die gezielt Steuerzahler und Finanzinstitute ins Visier nimmt.
Die Angreifer arbeiten dabei längst nicht mehr mit holprigen Übersetzungen und plumpen Drohungen. Social Engineering heißt das Stichwort – und die Methoden werden immer raffinierter. Ich zeige euch, was hinter der aktuellen Welle steckt, woran ihr betrügerische Nachrichten erkennt und welche Schritte jetzt wichtig sind, um eure Daten und Konten zu schützen.
Aktuelle Phishing-Welle: Angriffe auf Steuerzahler
Laut aktuellen Berichten läuft seit Anfang Juni eine groß angelegte Phishing-Operation, die sich gegen Steuerbehörden und deren Kundschaft richtet. Berichten zufolge handelt es sich um über 100 koordinierte Kampagnen, die zeitgleich in mehreren Ländern aktiv sind. Auch deutsche Steuerzahler stehen im Fokus.
Die Masche ist perfide: Die Angreifer geben sich als Finanzämter, Steuerberater oder Banken aus. In den Mails geht es vermeintlich um Steuerrückerstattungen, ausstehende Zahlungen oder dringend zu prüfende Belege. Wer auf den Link klickt, landet auf täuschend echt nachgebauten Login-Seiten – inklusive offiziellem Logo und vertrauter Optik.
Besonders gefährlich: Viele Mails wirken sprachlich einwandfrei. Generative KI macht es Kriminellen heute leicht, fehlerfreie, persönlich klingende Texte zu erstellen. Das klassische Erkennungsmerkmal „schlechtes Deutsch“ funktioniert damit kaum noch zuverlässig.
Parallel zu den Mails kommen auch SMS und Messenger-Nachrichten zum Einsatz – sogenanntes Smishing. Sie locken oft mit kurzen, dringlichen Hinweisen: „Ihre Rückerstattung wartet, bitte verifizieren Sie Ihre Daten.“ Wer hektisch klickt, gibt seine Zugangsdaten direkt an die Angreifer weiter.
Warum sind Steuerzahler beliebte Phishing-Ziele?
Steuerthemen lösen bei vielen Menschen automatisch Stress aus. Genau dieser emotionale Hebel ist Gold wert für Betrüger. Wer eine Mail vom „Finanzamt“ bekommt, denkt zuerst an Konsequenzen – und nicht an eine Sicherheitsprüfung.
Dazu kommt: Im Frühsommer haben viele ihre Steuererklärung gerade abgegeben oder warten auf Bescheide. Eine Mail mit dem Betreff „Ihre Steuererstattung – Aktion erforderlich“ passt also perfekt in den Erwartungshorizont. Das macht den Trick so wirksam.
Erbeutete Zugangsdaten zu Banken, ELSTER-Konten oder E-Mail-Postfächern sind im Untergrund bares Geld wert. Mit ihnen lassen sich Identitäten kapern, Kredite beantragen oder weitere Angriffe starten. Der Schaden für Betroffene reicht oft weit über einen einzelnen falschen Klick hinaus.
Phishing erkennen: 7 Warnsignale in betrügerischen Mails
Auch wenn moderne Phishing-Mails immer professioneller werden – ein paar Warnsignale bleiben. Achtet besonders auf diese Punkte:
- Dringlichkeit und Druck: „Innerhalb von 24 Stunden handeln“ ist fast immer ein Alarmzeichen.
- Ungewöhnliche Absenderadressen: Der angezeigte Name wirkt seriös, die echte Adresse dahinter aber nicht.
- Links, die nicht zur Behörde passen: Mit der Maus über den Link fahren (nicht klicken!) und Ziel-URL prüfen.
- Anforderung sensibler Daten: Finanzämter und Banken fragen nie per Mail nach Passwörtern, PINs oder TANs.
- Generische Anreden: „Sehr geehrter Kunde“ statt eures echten Namens.
- Dateianhänge ohne Kontext: Besonders ZIP-, HTML- oder Office-Dateien mit Makros sind verdächtig.
Ein wichtiger Hinweis: Das deutsche Finanzamt verschickt grundsätzlich keine Steuerbescheide oder Zahlungsaufforderungen per E-Mail. Kommunikation läuft über das ELSTER-Portal oder per Brief. Jede Mail, die etwas anderes behauptet, ist hochverdächtig.
Phishing-Schutz: Effektive Maßnahmen für eure Konten
Phishing lebt von schnellen, unüberlegten Klicks. Wer ein paar Grundregeln verinnerlicht, macht es Angreifern deutlich schwerer. Diese Maßnahmen solltet ihr jetzt umsetzen:
- Zwei-Faktor-Authentifizierung aktivieren – für E-Mail, Online-Banking, ELSTER und alle wichtigen Konten.
- Niemals über Mail-Links einloggen – Tippt die Adresse eurer Bank oder Behörde selbst in den Browser ein.
- Passwort-Manager nutzen – Er füllt Logins nur auf der echten Domain aus und entlarvt gefälschte Seiten zuverlässig.
- Software aktuell halten – Browser, Betriebssystem und Mail-Programm regelmäßig updaten.
- Verdächtige Mails melden – Bei eurem Mail-Anbieter und bei der Verbraucherzentrale unter dem Phishing-Radar.
- Im Zweifel anrufen – Aber nur über offiziell bekannte Rufnummern, nicht die aus der verdächtigen Mail.
Wenn ihr doch einmal auf einen Link geklickt und Daten eingegeben habt: Sofort das betroffene Passwort ändern, die Bank informieren und Kontobewegungen prüfen. Bei Verdacht auf Identitätsdiebstahl gehört auch eine Anzeige bei der Polizei dazu.
Phishing-Schutz für Unternehmen: Sofortmaßnahmen
Sprecht mit euren Eltern und Großeltern über die aktuelle Welle. Gerade ältere Menschen sind oft Ziel solcher Kampagnen, weil sie behördlichen Schreiben grundsätzlich Vertrauen entgegenbringen. Ein kurzes Gespräch über typische Maschen wirkt oft besser als jede Filter-Software.
Auch Unternehmen sollten ihre Belegschaft sensibilisieren. Phishing trifft nicht nur Privatleute – gefälschte Mails an die Buchhaltung oder Geschäftsführung können zu massiven Schäden führen. Kurze Awareness-Erinnerungen per internem Newsletter sind in dieser Phase gut investierte Zeit.
Was tun bei Phishing? Erste Schritte nach einem Angriff
Die aktuelle Phishing-Welle zeigt: Cyberkriminelle werden professioneller, persönlicher und schneller. Wer sich auf alte Erkennungsmuster wie Rechtschreibfehler verlässt, läuft Gefahr, getäuscht zu werden. Die gute Nachricht: Mit einem gesunden Misstrauen, Zwei-Faktor-Authentifizierung und ein paar festen Routinen lassen sich die allermeisten Angriffe ins Leere laufen.
Mein Rat: Lasst euch nie unter Zeitdruck setzen. Wenn eine Mail Panik erzeugt, ist das selbst schon ein Warnsignal. Echte Behörden geben euch Zeit, echte Banken brauchen keine Passwörter per Mail. Wer im Zweifel kurz innehält, hat die wichtigste Verteidigungslinie schon gezogen – seinen eigenen Kopf.
