Steuer-Phishing: Neue Betrugswelle trifft deutsche Unternehmen

Eine neue, aggressive Phishing-Kampagne zielt mit gefälschten Steuerrückzahlungen auf deutsche Firmen ab. Die professionellen Angriffe versetzen Finanzabteilungen in Alarmbereitschaft.

Gefälschte Finanzbehörden im E-Mail-Postfach

Seit Tagen warnen Sicherheitsbehörden vor einer ausgeklügelten Betrugswelle. Cyberkriminelle verschicken E-Mails, die offiziellen Schreiben des Bundeszentralamts für Steuern (BZSt) täuschend ähnlich sehen. Der Vorwand: Eine Steuererstattung könne nicht ausgezahlt werden oder müsse dringend überprüft werden. Diese Masche nutzt geschickt den Respekt vor Behörden und die Hoffnung auf Geld – eine gefährliche Mischung.

Die Angreifer setzen auf Zeitdruck. In aktuellen Fällen geben sie extrem kurze Fristen vor, oft nur wenige Tage. Das soll verhindern, dass Empfänger die Nachricht sorgfältig prüfen oder Rücksprache halten. „Diese Professionalisierung ist besorgniserregend“, kommentiert ein IT-Sicherheitsexperte. „Die Täter kennen die Abläufe in Unternehmen genau.“

CEO‑Fraud und gefälschte Behörden‑Mails können in Minuten Zahlungsläufe manipulieren und ganze Finanzabteilungen lahmlegen. Ein kostenloses Anti‑Phishing‑Paket zeigt in vier klaren Schritten, wie Sie betrügerische Mails erkennen, Mitarbeitende richtig schulen, technische Filter und Multi‑Faktor‑Authentifizierung einrichten sowie CEO‑Fraud verhindern. Enthalten sind Checklisten, Alarm‑Vorlagen für Buchhaltungsteams und konkrete Sofortmaßnahmen, die Sie heute umsetzen können. Kostenloses Anti‑Phishing‑Paket herunterladen

So funktioniert der Datenklau

Die gefälschten E-Mails enthalten meist einen Link zu einer nachgemachten Website, die offiziellen Portalen wie ELSTER gleicht. Dort werden Opfer aufgefordert, Steuernummern, Bankverbindungen oder sogar Online-Banking-Zugänge preiszugeben. In anderen Varianten versteckt sich Schadsoftware in Anhängen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont: „Echte Finanzbehörden fordern niemals per E-Mail zur Eingabe solcher sensiblen Daten auf.“ Auch Rechnungen oder Bescheide würden nicht als ungesicherte Anhänge verschickt.

Finanzabteilungen im Visier der Kriminellen

Besonders gefährdet sind Mitarbeiter in Buchhaltung und Finanzwesen. Sie sind es gewohnt, mit behördlicher Korrespondenz umzugehen – genau das machen sich die Täter zunutze. In der Hektik des Arbeitsalltags fällt eine gefälschte Mail vielleicht nicht sofort auf.

Die Folgen eines erfolgreichen Angriffs sind verheerend. Sie reichen von direkten finanziellen Verlusten über den Diebstahl sensibler Unternehmensdaten bis zur kompletten Lahmlegung der IT durch Ransomware. Das Bundeskriminalamt (BKA) warnt: „Praktisch jedes Unternehmen in Deutschland ist betroffen.“ Der jährliche Schaden liegt im Milliardenbereich.

Diese Schutzmaßnahmen helfen wirklich

Sicherheitsexperten empfehlen einen mehrstufigen Ansatz:

Regelmäßige Mitarbeiterschulungen sind die wichtigste Verteidigung. Mitarbeiter müssen lernen, verdächtige E-Mails anhand typischer Merkmale zu erkennen: unpersönliche Anrede, seltsame Absenderadressen, Druckaufbau.

Technische Absicherung durch aktuelle Spam-Filter und Virenscanner ist Pflicht. Für den Zugang zu sensiblen Systemen sollte eine Multi-Faktor-Authentifizierung Standard sein.

Klare interne Prozesse helfen: Bei ungewöhnlichen Anfragen immer telefonisch über eine bekannte, offizielle Nummer rückversichern. Und die goldene Regel: Nie auf Links in unaufgeforderten Behörden-Mails klicken. Stattdessen offizielle Portale immer manuell im Browser aufrufen.

Anhaltend hohe Bedrohungslage

Die aktuelle Welle zeigt: Cyberkriminalität wird immer professioneller. Für Unternehmen bedeutet das, dass IT-Sicherheit kein Projekt mit Enddatum ist, sondern ein kontinuierlicher Prozess. Die Kombination aus geschulten Mitarbeitern und robusten technischen Schutzmaßnahmen bleibt der beste Schutz – heute und in Zukunft.

PS: Wenn Ihre Buchhaltung unter Zeitdruck steht, ist eine praktische Notfall‑Checkliste Gold wert. Das Anti‑Phishing‑Paket enthält konkrete Beispiele gefälschter Behörden‑E‑Mails, Gesprächsleitfäden für Rückfragen an angebliche Absender sowie eine Notfall‑Checkliste für den Verdachtsfall — speziell konzipiert für Finanz‑ und Buchhaltungsteams. Jetzt Anti‑Phishing‑Guide für Unternehmen anfordern