Eine E-Mail vom Bundeszentralamt für Steuern landet im Posteingang. Absender wirkt offiziell, Logo passt, Betreff klingt dringend. Genau darauf setzen Betrüger gerade wieder verstärkt: Aktuell kursieren erneut Phishing-Mails, die vorgeben, von der deutschen Steuerbehörde zu stammen.
Das Ziel ist immer dasselbe: Empfänger sollen entweder Geld überweisen oder persönliche Daten preisgeben. Die Masche ist nicht neu, aber sie wird immer ausgefeilter. Wer nicht aufpasst, tappt schnell in die Falle.
Ich zeige euch, woran ihr die gefälschten Mails erkennt, was zu tun ist, wenn ihr schon geklickt habt – und wie ihr euch dauerhaft schützt.
Bundeszentralamt Betrug: Diese Fake-Mails sind aktuell im Umlauf
Das Bundeszentralamt für Steuern (BZSt) warnt selbst regelmäßig vor betrügerischen E-Mails, die in seinem Namen verschickt werden. Die aktuelle Welle folgt einem bekannten Muster: Empfänger werden angeschrieben, weil angeblich eine Steuerrückerstattung bereitliege oder umgekehrt eine offene Forderung bestehe.
In der ersten Variante sollen die Empfänger ein Formular ausfüllen, um angeblich Geld zurückzubekommen. Abgefragt werden dann Name, Adresse, Geburtsdatum, Steuer-ID, Kontodaten und teilweise sogar Kreditkartennummern. Wer das ausfüllt, liefert Kriminellen einen kompletten Identitätsdatensatz frei Haus.
Die zweite Variante setzt auf Druck: Es gebe offene Steuerforderungen, die sofort beglichen werden müssten – sonst drohten Mahngebühren oder rechtliche Schritte. Die Zahlung soll natürlich über einen Link in der Mail erfolgen, der auf eine gefälschte Seite führt.
Die Absenderadressen wirken oft täuschend echt. Teilweise tauchen Begriffe wie bzst.de, finanzamt oder elster in der Domain auf – allerdings als Subdomain einer ganz anderen Adresse. Auch das Layout mit Bundesadler und behördlicher Aufmachung wird inzwischen sauber kopiert.
Warum Bundeszentralamt-Phishing besonders gefährlich ist
Steuerthemen lösen bei vielen Menschen automatisch Stress aus. Genau das nutzen die Angreifer aus. Eine angebliche Rückerstattung klingt verlockend, eine drohende Forderung erzeugt Panik. Beide Emotionen führen dazu, dass Empfänger weniger kritisch hinschauen und schneller klicken, als ihnen lieb ist.
Dazu kommt: Viele Menschen haben tatsächlich gerade mit Steuerthemen zu tun – sei es die Einkommensteuererklärung, ELSTER-Nachrichten oder Schreiben vom Finanzamt. Eine weitere Mail in diesem Kontext wirkt deshalb plausibel.
Wer auf die Masche hereinfällt, riskiert nicht nur einen direkten finanziellen Schaden. Mit den abgegriffenen Daten können Betrüger auch im Namen der Opfer Konten eröffnen, Bestellungen aufgeben oder Identitätsbetrug begehen. Der Aufwand, das wieder geradezurücken, ist enorm.
Wie erkenne ich eine Phishing E-Mail vom Bundeszentralamt?
Das BZSt stellt selbst klar: Die Behörde fordert niemals per E-Mail zur Zahlung auf und verschickt auch keine Steuerbescheide oder Rückerstattungs-Formulare per Mail. Schon das ist die wichtigste Faustregel.
Darüber hinaus helfen euch diese Erkennungsmerkmale:
- Absenderadresse genau prüfen: Offizielle Behördenmails enden auf .bund.de oder .de-Domains der jeweiligen Behörde, nicht auf kryptische Adressen
- Anrede: „Sehr geehrter Kunde“ oder „Lieber Steuerzahler“ sind verdächtig – Behörden kennen euren Namen
- Dringlichkeit und Drohungen: Wer Druck aufbaut, will euch zum unüberlegten Handeln bringen
- Links und Anhänge: Niemals direkt aus der Mail klicken, schon gar nicht bei vermeintlichen Behördenschreiben
- Datenabfragen: Kontodaten, Kreditkartennummern oder Passwörter werden nie per Mail abgefragt
- Rechtschreibung und Grammatik: Auch wenn KI die Mails besser macht – Fehler sind weiterhin ein Warnsignal
Im Zweifel gilt: Lieber einmal zu viel skeptisch sein als einmal zu wenig. Wer unsicher ist, ruft direkt beim zuständigen Finanzamt an – mit einer Nummer, die ihr selbst recherchiert, nicht aus der Mail übernommen.
Phishing-Link geklickt: Diese Sofortmaßnahmen helfen jetzt
Wenn ihr nur den Link geöffnet, aber keine Daten eingegeben habt, ist die Gefahr meist überschaubar. Trotzdem solltet ihr euer Gerät mit einem aktuellen Virenscanner prüfen und Browser-Cookies löschen.
Habt ihr Daten eingegeben, müsst ihr schnell handeln:
- Passwörter sofort ändern, vor allem wenn ihr dasselbe Passwort mehrfach nutzt
- Bank kontaktieren, falls ihr Konto- oder Kreditkartendaten preisgegeben habt – Karten sperren lassen
- Anzeige erstatten bei der Polizei, auch online möglich über die Anzeigenportale der Bundesländer
- Schufa-Auskunft einholen, um Identitätsmissbrauch frühzeitig zu erkennen
- Verbraucherzentrale informieren – die sammelt aktuelle Betrugsfälle und warnt andere
Wer tatsächlich Geld überwiesen hat, sollte zusätzlich versuchen, die Überweisung rückgängig zu machen. Das funktioniert nur in einem sehr kurzen Zeitfenster und ist oft schwierig – aber einen Versuch ist es wert.
E-Mail Sicherheit erhöhen: 6 Maßnahmen gegen Phishing
Phishing wird nicht verschwinden – im Gegenteil. Mit KI-Werkzeugen werden die Mails sprachlich immer besser und persönlicher. Umso wichtiger ist eine gute Grundverteidigung.
Aktiviert überall, wo es geht, die Zwei-Faktor-Authentifizierung. Selbst wenn Kriminelle euer Passwort haben, kommen sie ohne den zweiten Faktor nicht in eure Konten. Nutzt einen Passwort-Manager, damit ihr für jeden Dienst ein eigenes Passwort verwendet. Das begrenzt den Schaden, falls doch mal eines abgegriffen wird.
Haltet außerdem Betriebssystem, Browser und E-Mail-Programm aktuell. Viele moderne Mail-Clients und Browser warnen heute zuverlässig vor bekannten Phishing-Seiten – aber nur, wenn die Software auf dem neuesten Stand ist.
Für offizielle Steuerkommunikation gibt es einen einzigen sicheren Kanal: ELSTER. Wer Nachrichten vom Finanzamt erwartet, findet sie dort im persönlichen Postfach. Eine Mail im normalen Postfach ist im Steuerkontext fast immer ein Warnsignal.
Fazit: Mit diesen Tipps erkennt ihr jede Phishing E-Mail
Die aktuelle Welle gefälschter Bundeszentralamt-Mails ist kein Einzelfall, sondern Teil einer dauerhaften Bedrohung. Behörden, Banken und große Online-Dienste werden von Kriminellen immer wieder als Tarnung missbraucht – einfach weil das Vertrauen in diese Absender hoch ist.
Die gute Nachricht: Mit etwas Aufmerksamkeit und ein paar festen Regeln seid ihr auf der sicheren Seite. Keine Behörde fordert Geld oder Daten per Mail. Keine seriöse Stelle macht Druck mit kurzen Fristen. Und kein echtes Steueranliegen lässt sich nur über einen Link in einer Mail klären.
Sprecht in eurem Umfeld über solche Maschen – besonders mit älteren Verwandten oder weniger technikaffinen Bekannten. Sie sind oft die Hauptzielgruppe der Betrüger. Ein kurzer Hinweis kann viel Ärger verhindern.
