Julia Wolf 
Amtssiegel drauf, Vertrauen drin, Daten weg. Behörden-Phishing hat sich in den vergangenen Monaten zu einer eigenen Angriffsdisziplin entwickelt: professionelle Logos, fehlerfreies Behördendeutsch, Compliance-Druck als Waffe. Das BSI und die Verbraucherzentralen warnen aktuell vor einer neuen Welle – und die hat es in sich.
Ende Mai 2026 häufen sich die Meldungen. Behörden-Phishing erreicht eine neue Qualitätsstufe. Gefälschte E-Mails im Namen von Finanzämtern, Bundesnetzagentur, Meldebehörden und Bundesministerien landen in Posteingängen – nicht mehr als holprige Übersetzungen mit nigerianischem Prinzen-Charme, sondern als täuschend echte Amtskorrespondenz. Korrekte Dienststellenbezeichnung. Richtiges Siegel. Passende Formulierungen. Plot Twist: Die einzige Abweichung vom Original ist oft eine einzelne Buchstabenfolge in der Absenderdomain.
Die Bundesnetzagentur warnt konkret vor E-Mails, die im Namen der Behörde und des Bundeszentralamtes für Steuern versendet werden. Absenderadresse: info@bundesnetzagentur.org – ähnlich der echten Adresse, aber eben nicht identisch. Inhalt: angebliche Steuerrückerstattung, Weiterleitung auf ein nicht-offizielles Portal, Aufforderung zur Dateneingabe. Die Behörde stellt klar: Alle Behauptungen in diesen Mails sind falsch. Trotzdem klicken Menschen. Regelmäßig.
Das Pikante daran: Wer kennt schon auswendig, wie die offizielle Domain des zuständigen Finanzamts aussieht? Genau auf diese Unwissenheit setzen die Angreifer.
Phishing ist im Kern ein psychologisches Spiel, kein technisches. Die Frage lautet nie: Kann ich diese Mail technisch abfangen? Die Frage lautet: Bringt mich diese Mail zum Klicken, bevor mein kritisches Denken eingeschaltet hat? Behörden-Phishing beantwortet diese Frage mit erschreckender Effizienz.
Erstens: Autorität. Schreiben vom Finanzamt erzeugen reflexartig Aufmerksamkeit. Bußgeld. Nachzahlung. Frist. Diese Begriffe aktivieren einen primitiven Stressmodus, der rationale Überprüfung kurzschließt. Zweitens: Vertrautheit. Wer regelmäßig Steuerbescheide, Mahnungen oder behördliche Mitteilungen erhält, erwartet solche E-Mails. Das senkt die Skepsis-Schwelle dramatisch.
Die Verbraucherzentrale NRW dokumentiert auf ihrem Phishing-Radar für Behörden-Mails laufend aktuelle Kampagnen: Steuererstattungen, Ausweiskontrollen, Strafzahlungen, Kontoverifikationen. Der Trick ist immer derselbe – Behördenbranding plus finanzieller Anreiz oder finanzielle Drohung. Die Verbraucherschützer werten das als klares Signal: Behörden-Branding erhöht die Klickbereitschaft messbar gegenüber anonymen Phishing-Mails.
Dazu kommt das regulatorische Umfeld. NIS2 ist seit Ende 2024 in deutsches Recht überführt, viele Unternehmen stecken mitten im Compliance-Prozess. Wer gerade dabei ist, Meldepflichten und Sicherheitsanforderungen umzusetzen, ist besonders empfänglich für E-Mails, die scheinbar behördliche Anforderungen formulieren. Behörden-Phishing-Kampagnen nutzen dieses Unsicherheitsfenster gezielt. Ein vermeintliches Schreiben der zuständigen Aufsichtsbehörde zu NIS2-Nachweisen? Für manche Verantwortliche im Mittelstand klingt das erschreckend plausibel.
Klassisches Behörden-Phishing ist Masse: Eine Million Mails raus, ein Prozent klickt, fertig. Das funktioniert noch. Aber Sicherheitsbeobachter registrieren eine beunruhigende Entwicklung: die Konvergenz von Massen-Behörden-Phishing und zielgerichtetem Spear-Phishing.
Das LKA Nordrhein-Westfalen hat Fälle dokumentiert, in denen Angreifer echte Rechnungen mit korrekten Daten, Projektnummern und Ansprechpartnerinnen und -partnern als Vorlage nutzten – und lediglich die Kontoverbindung austauschten. Diese Vorgehensweise setzt vorherige Informationsbeschaffung voraus: kompromittierte Mailkonten, Datenlecks, öffentlich zugängliche Unternehmensinformationen. Spear-Phishing also, aber im Gewand der Behördenkommunikation.
Personalisierung ist deshalb kein Echtheitsbeweis mehr. Im Gegenteil: Wenn eine E-Mail exakt Ihre Projektnummer, den Namen Ihrer Sachbearbeiterin und das Datum Ihrer letzten Steuererklärung enthält, kann das ein Zeichen für gezieltes Spear-Phishing sein – nicht für Legitimität. Das BSI weist explizit darauf hin, dass Social Engineering inzwischen wichtiger ist als rein technische Angriffsvektoren. Spear-Phishing-Konvergenz ist die logische Konsequenz: Je überzeugender die Personalisierung, desto höher die Erfolgsquote.
Für Unternehmen bedeutet das: Die Frage ist nicht mehr nur, ob eine Mail unprofessionell wirkt. Die Frage ist, ob der Kanal, über den diese Mail kommt, überhaupt der richtige für diese Information wäre. Behörden fordern sensible Daten nicht über ungesicherte Links in E-Mails an. Punkt.
Wer glaubt, Behörden-Phishing findet nur per E-Mail statt, unterschätzt die operationelle Kreativität der Angreifer. Verbraucherzentralen und BSI warnen vor kombinierten Kampagnen: Eine E-Mail mit amtlich wirkendem Briefkopf kündigt ein wichtiges Schreiben an. Kurz darauf folgt eine SMS mit einem Link zur „Terminbestätigung“ oder „TAN-Freigabe“. Der Link führt auf ein gefälschtes Behörden-Portal, das optisch vom Original kaum zu unterscheiden ist.
Das BSI beschreibt in seiner Übersicht zu Spam und Phishing außerdem den Missbrauch von QR-Codes in E-Mails: selbst wenn die Nachricht im Rest seriös wirkt, kann ein eingebetteter QR-Code auf eine Phishing-Seite führen. Der Nutzer scannt mit dem Smartphone – und landet auf einer täuschend echten Login-Seite des vermeintlichen Elster-Portals oder der kommunalen Bürgerdienste.
Diese Multi-Channel-Strategie hat einen klaren Vorteil für Angreifer: Technische Filter greifen an verschiedenen Punkten unterschiedlich gut. E-Mail-Gateway blockt die Mail? Die SMS kommt trotzdem durch. Browser warnt vor der Phishing-Domain? Der QR-Code umgeht manche automatisierten Prüfsysteme. Brisant ist vor allem die Kombination: Wer drei scheinbar aufeinander abgestimmte Nachrichten von derselben „Behörde“ erhält, zweifelt seltener.
Ein hartnäckiger Irrtum hält sich in der Bevölkerung: Wenn das Amtssiegel stimmt, ist die Mail echt. Logos und Wappen würden schon zeigen, wer wirklich dahintersteckt. Falsch. Das LKA NRW und die Verbraucherschützer stellen klar: Logos, Siegel und Layouts werden systematisch kopiert. Der Aufwand ist gering – ein Screenshot, ein Grafikeditor, fertig.
Auch der zweite klassische Erkennungshinweis greift nicht mehr zuverlässig: Rechtschreibfehler. Frühe Phishing-Wellen stachen durch katastrophale Grammatik hervor. Aktuelle Behörden-Phishing-Mails sind sprachlich oft einwandfrei, verwenden korrektes Behördendeutsch und treffen Ton und Formulierungen echter Schreiben. Wenig überraschend, wenn man bedenkt, dass KI-gestützte Texterstellung inzwischen jedem zur Verfügung steht, der bereit ist, ein paar Minuten in die Vorbereitung einer Phishing-Kampagne zu investieren.
Was also bleibt als verlässliches Prüfkriterium? Die Absenderdomain, der tatsächliche Linkziel hinter einem Button, die Plausibilität der Aufforderung und – am wichtigsten – der unabhängig recherchierte Rückruf. Wer eine E-Mail vom vermeintlichen Finanzamt erhält, die zur Dateneingabe auffordert, sollte die Telefonnummer der Behörde selbst heraussuchen und dort anrufen. Nicht die Nummer aus der Mail nutzen.
Um das abstrakte Risiko greifbarer zu machen, helfen konkrete Muster, die Sicherheitsbehörden und Verbraucherschützer immer wieder beschreiben. Dabei handelt es sich nicht um Einzelfälle, sondern um wiederkehrende Angriffstypen, die in leicht abgewandelter Form regelmäßig auftauchen.
Eine E-Mail mit dem Logo des Bundeszentralamts für Steuern und korrekter Behördenbezeichnung teilt mit, dass eine Steuerrückerstattung von mehreren hundert Euro bereitstehe. Um die Auszahlung zu veranlassen, müsse lediglich ein Formular ausgefüllt werden – verlinkt über einen prominent platzierten Button. Das Formular fragt Kontonummer, IBAN, Steueridentifikationsnummer und teilweise sogar Ausweisdaten ab. Die Domain der Zielseite unterscheidet sich von der echten Behördendomäne nur durch einen zusätzlichen Bindestrich oder eine abweichende Top-Level-Domain wie .org statt .de. Wer nicht explizit in die Adressleiste schaut, bemerkt den Unterschied im Stress des Alltags kaum.
Hier arbeiten die Angreifer mit Druck statt Anreiz. Eine vermeintliche Mahnung eines kommunalen Ordnungsamts oder einer Meldebehörde behauptet, eine Frist für eine Pflichtnachricht sei versäumt worden. Ohne Rückmeldung innerhalb von 48 Stunden drohe ein Bußgeld. Der Link führt zu einem Formular, das persönliche Daten und eine Bestätigung der aktuellen Wohnadresse verlangt. Das Zeitdruckelement ist dabei zentral: Wer 48 Stunden vor einem Bußgeld steht, prüft die Absenderdomain seltener.
Angreifer verschicken E-Mails, die vorgeben, vom ELSTER-Portal der Finanzbehörden zu stammen. Angeblich sei der Zugang zum Konto aus Sicherheitsgründen eingeschränkt worden. Eine Verifikation über einen Link sei notwendig, um wieder Zugang zu erhalten. Die verlinkte Seite sieht dem echten ELSTER-Login zum Verwechseln ähnlich – und stiehlt Zugangsdaten im Klartext. Besonders gefährlich: Wer ELSTER beruflich nutzt, empfindet solche Nachrichten als plausibel und dringend.
Diese Szenarien zeigen ein Muster: Immer steht entweder ein Vorteil (Rückerstattung) oder eine Bedrohung (Bußgeld, Kontosperrung) im Mittelpunkt. Die emotionale Wirkung soll die kognitive Prüfung überwältigen. Wer dieses Muster kennt, kann einen kurzen Moment innehalten – und genau dieser Moment ist entscheidend.
Meine Einschätzung: Viele Unternehmen unterschätzen Behörden-Phishing noch immer als Privatpersonenproblem. Das ist ein gefährlicher Denkfehler. Phishing-Angriffe treffen Buchhaltungen, HR-Abteilungen und IT-Teams genauso – mit teils erheblichen finanziellen und rechtlichen Konsequenzen.
Erstens: Technische Maßnahmen. E-Mail-Filter mit Sender-Policy-Framework (SPF), DomainKeys Identified Mail (DKIM) und DMARC-Konfiguration reduzieren, wie viele gefälschte Behörden-Mails überhaupt ankommen. Kein Allheilmittel, aber eine Grundlage.
Zweitens: Prozesse. Zahlungsaufforderungen und Datenweitergaben auf Basis von E-Mails allein sollten nie ohne Vier-Augen-Prinzip und telefonische Verifikation über unabhängig recherchierte Kontakte ausgeführt werden. Klingt bürokratisch. Ist es auch. Genau darum funktioniert es.
Drittens: Sensibilisierung. Das BSI weist darauf hin, dass 62 Prozent der deutschen Internetnutzerinnen und -nutzer bereits bewusst eine Phishing-Mail erhalten haben. Die Wahrscheinlichkeit, dass Mitarbeitende in Ihrem Unternehmen damit in Berührung kommen, ist also hoch. Regelmäßige Phishing-Tests für Mitarbeiter, kombiniert mit unmittelbarem Feedback, sind wirksamer als einmalige Schulungen. Wer unter Zeitdruck in einer realistischen Simulation scheitert, erinnert sich besser als nach drei PowerPoint-Folien.
Viertens: Meldewege kennen. Verdächtige Mails können an den Phishing-Radar der Verbraucherzentrale weitergeleitet werden. Für Unternehmen und Institutionen sind die Zentralen Ansprechstellen Cybercrime (ZAC) der Landeskriminalämter der richtige Kontaktpunkt – und zwar bevor ein größerer Schaden entsteht, nicht danach.
Eine Frage, die Unternehmen nach einem erfolgreichen Angriff häufig stellen: Wer trägt die Konsequenzen? Die Antwort ist unangenehm. Grundsätzlich liegt die Verantwortung bei denjenigen, die Daten oder Zahlungen freigegeben haben. Fahrlässigkeit im Umgang mit erkennbaren Risiken kann intern wie extern Folgen haben.
Der Clou an der aktuellen Rechtslage: NIS2 verpflichtet betroffene Unternehmen zu Mindeststandards in der Cybersicherheit – dazu gehört auch ein nachvollziehbarer Umgang mit Phishing-Risiken. Wer keine dokumentierten Prozesse hat, riskiert nicht nur finanzielle Schäden durch den Angriff selbst, sondern auch regulatorische Nachfragen. Das Argument, die Mail habe echt ausgesehen, schützt vor regulatorischen Konsequenzen wenig, wenn gleichzeitig weder technische Schutzmaßnahmen noch Schulungsnachweise vorgelegt werden können.
Und die Angreifer? Die operieren selten von Deutschland aus, häufig über mehrere Jurisdiktionen verteilt. Strafverfolgung ist möglich, aber mühsam. Der beste Schutz bleibt weiterhin: gar nicht erst reinfallen.
Ein Einwand, der in Gesprächen über Behörden-Phishing regelmäßig kommt: Das eigene Team sei doch erfahren genug, um solche Mails zu erkennen. IT-affine Mitarbeitende, gut ausgebildete Fachkräfte – die fallen doch nicht auf ein gefälschtes Amtssiegel herein.
Das ist verständlich, aber statistisch nicht haltbar. Soziale Ingenieurskunst zielt nicht auf Naivität ab – sie zielt auf Stress, Ablenkung und Vertrauen. Sicherheitsforscher, die selbst Phishing-Simulationen durchführen, berichten davon, dass auch erfahrene IT-Fachkräfte unter den richtigen Bedingungen auf gut gemachte Spear-Phishing-Kampagnen hereinfallen: wenn die Mail zum richtigen Zeitpunkt kommt, den richtigen Kontext trifft und hinreichend personalisiert ist. Ein Projektleiter, der gerade auf eine Antwort der zuständigen Genehmigungsbehörde wartet, ist in dem Moment, in dem eine passend aussehende Mail eintrifft, besonders gefährdet – unabhängig von seinem allgemeinen Wissenstand.
Das bedeutet nicht, dass Schulungen sinnlos sind. Es bedeutet, dass technische und prozessuale Schutzmaßnahmen nicht durch das Vertrauen in menschliche Erkennungsfähigkeit ersetzt werden dürfen. Menschen machen Fehler, besonders unter Druck. Systeme müssen so gebaut sein, dass ein einzelner Fehler nicht zur Katastrophe wird.
Behörden-Phishing ist kein Randphänomen mehr. Es ist eine erprobte Angriffskategorie mit professionellen Abläufen, psychologischer Präzision und wachsender technischer Qualität. Die Schwäche, die ausgenutzt wird, ist keine softwareseitige – es ist das Vertrauen, das wir staatlichen Institutionen entgegenbringen. Dieses Vertrauen ist im Alltag sinnvoll und notwendig. In einem gefälschten Behörden-Login-Portal ist es eine Einladung.
Die entscheidende Frage für jeden, der heute eine E-Mail von einem Finanzamt, einer Meldebehörde oder einer Bundesbehörde öffnet: Würde diese Stelle mich auf diesem Weg um genau diese Information bitten? Und wenn Sie auch nur einen Moment zögern – rufen Sie an. Selbst recherchierte Nummer. Nicht die aus der Mail.
