BZSt-Phishing: Neue Betrugswelle zielt auf Steuerzahler

Eine massive Phishing-Welle nutzt derzeit den Namen des Bundeszentralamts für Steuern, um an sensible Daten zu gelangen. Verbraucherschützer warnen eindringlich vor den professionell gefälschten E-Mails, die eine angebliche Steuerrückerstattung versprechen.

So funktioniert die aktuelle Masche

Die Betrüger setzen auf psychologischen Druck und täuschende Echtheit. Die E-Mails tragen oft den täuschend echten Betreff „Überprüfung der Steuererstattung nach § 218 AO“. Darin wird behauptet, eine automatisierte Veranlagung habe eine Rückzahlung ergeben. Um diese zu erhalten, soll der Empfänger über einen Link ein Formular ausfüllen.

Das perfide Detail: Die Kriminellen setzen extrem kurze Fristen, um unüberlegtes Handeln zu erzwingen. Teilweise wird behauptet, der Anspruch verfalle zwischen dem 2. und 9. Februar. Die Links führen auf täuschend echte, nachgebaute Webseiten, die dem offiziellen Auftritt des BZSt oder dem ELSTER-Portal gleichen – nur um die eingegebenen Daten abzufangen.

Die hier beschriebene Phishing‑Welle zeigt, wie schnell Kriminelle mit gefälschten BZSt/ELSTER‑Mails sensible Daten abgreifen. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie gefälschte Links erkennen, Bankaufträge stoppen und Mitarbeiter sowie Familie gegen CEO‑Fraud und Smishing schützen. Enthalten sind Checklisten, Vorlagen für interne Warnungen und konkrete Sofortmaßnahmen, die sich sofort umsetzen lassen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

Klare Warnsignale erkennen

Trotz professioneller Aufmachung gibt es eindeutige Erkennungsmerkmale. Das wichtigste: Das BZSt fordert niemals unaufgefordert per E-Mail zur Eingabe sensibler Daten wie Bankverbindungen auf. Offizielle Bescheide oder Zahlungsaufforderungen werden nicht als einfacher Link in einer ungesicherten E-Mail verschickt.

Weitere Alarmzeichen sind eine unpersönliche Anrede wie „Sehr geehrte Damen und Herren“ oder verdächtige Absenderadressen wie bzst.de-mail.de. Auch Grammatikfehler und ungewöhnliche Formulierungen sollten stutzig machen. Die goldene Regel lautet: Jede E-Mail, die zur dringenden Dateneingabe über einen Link auffordert, ist höchst verdächtig.

Das sollten Betroffene jetzt tun

Die Empfehlung der Behörden ist klar: Verdächtige Nachrichten sofort und ohne Antwort löschen. Keine Links anklicken, keine Anhänge öffnen. Wer unsicher ist, sollte direkt und ausschließlich über die offiziellen Kanäle – das zuständige Finanzamt oder das ELSTER-Portal – Kontakt aufnehmen.

Wer bereits Daten eingegeben oder gar Zahlungen geleistet hat, muss schnell handeln. Betroffene sollten umgehend ihre Bank oder Kreditkarteninstitute informieren, um Konten zu sperren. Eine Anzeige bei der Polizei ist dringend empfohlen. Unternehmen müssen ihre Mitarbeiter für diese Masche sensibilisieren und interne Richtlinien schärfen.

Hintergrund: Warum die Angriffe zunehmen

Phishing im Namen von Finanzbehörden ist nicht neu, doch die aktuelle Welle ist besonders massiv und gezielt. Die Täter nutzen die Erwartungshaltung vieler Bürger rund um die Steuererklärung geschickt aus. Die Nachahmung behördlicher Kommunikation untergräbt das Vertrauen in digitale Verwaltungsprozesse.

Cybersicherheitsexperten warnen: Die erbeuteten Daten sind oft nur der erste Schritt. Namen, Adressen, Bankverbindungen und Steuer-IDs werden im Darknet gehandelt oder für Identitätsdiebstahl genutzt. Für Unternehmen drohen neben finanziellen Verlusten auch Reputationsschäden und DSGVO-Verstöße.

Langfristige Wachsamkeit ist unerlässlich

Die Bedrohung wird bleiben. Die Taktiken werden sich weiterentwickeln, etwa durch KI-generierte Texte oder Angriffe per SMS (Smishing). Kontinuierliche Sensibilisierung und Schulung sind daher entscheidend.

Langfristig sind sichere, digitale Kommunikationskanäle zwischen Bürgern und Verwaltung der Schlüssel. Bis dahin gilt für alle Steuerzahler: Gesunde Skepsis bewahren. Finanzbehörden setzen Sie niemals per einfacher E-Mail unter Druck, um an Ihre Kontodaten zu gelangen.

PS: Falls Sie oder Kolleg:innen bereits Daten eingegeben haben, zählt jede Minute. Unser Anti‑Phishing‑Paket zeigt die 7 psychologischen Tricks, die Betrüger nutzen — und wie Sie im Ernstfall Kontosperrung, Anzeige und Schadensbegrenzung richtig anstoßen. Ideal für Privatpersonen und Unternehmen: Sofort umsetzbare Checkliste plus Mustertexte für Meldungen bei Bank und Polizei. Jetzt Anti‑Phishing‑Paket anfordern