Zum Inhalt springen
Finanzen & FinTech

Großangriff auf europäische Steuerportale: Phishing-Kampagne imitiert Finanzbehörden

150.000 Phishing-Mails, acht EU-Staaten, zwölf Millionen Euro Schaden: Warum die Steuerportale-Attacke so gefährlich professionell wirkt.

Phishing, Steuerportale, Behördenwarnung – Bildschirm zeigt gefälschte Steuerportal-Seite neben echtem Portal zur Verdeutlichung der Phishing-Kampagne
Behörden warnen: Gefälschte Steuerportale sind kaum vom Original zu unterscheiden. (Symbolbild)

Über 150.000 gemeldete Phishing-Mails binnen 72 Stunden. Acht betroffene EU-Staaten. Ein geschätzter Schaden von zwölf Millionen Euro. Wenig überraschend, dass gleich mehrere europäische Finanzbehörden am 17. Juli 2026 zum Mikrofon griffen und Alarm schlugen. Das Bundeszentralamt für Steuern (BZSt) und die französische DGFiP warnen unabhängig voneinander vor derselben Masche: gefälschte E-Mails und SMS, die aussehen, als kämen sie direkt vom Finanzamt. Plot Twist: Sie kommen nicht vom Finanzamt. Sie kommen von Leuten, die genau wissen, dass niemand seine Steuerkorrespondenz ignoriert.

Das Muster ist bekannt, die Dimension ist neu. Phishing gegen Steuerportale gab es schon vorher, vereinzelt, saisonal, meist rund um Abgabefristen. Was jetzt läuft, ist koordinierter, breiter aufgestellt und trifft nicht nur ein Land. Die Behördenwarnung vom BZSt liest sich entsprechend nüchtern-alarmiert, und genau diese Nüchternheit ist das eigentliche Warnsignal.

Der Großangriff in Zahlen: Was CERT-Bund und BZSt melden

Laut Sicherheitshinweis des BZSt gingen innerhalb von 72 Stunden mehr als 150.000 Meldungen zu verdächtigen E-Mails ein, die sich als offizielle Steuerbehörden-Kommunikation tarnen. CERT-Bund zählt acht betroffene EU-Mitgliedstaaten und schätzt die bisherige Schadenssumme auf rund zwölf Millionen Euro. Das ist keine Randnotiz, das ist eine der größten koordinierten Phishing-Kampagnen gegen staatliche Infrastruktur, die in diesem Umfang öffentlich dokumentiert wurde.

Phishing-Welle gegen europäische Steuerportale

  • 150.000+Gemeldete Phishing-Mails
  • 8Betroffene EU-Staaten
  • 12 Mio. €Geschätzte Schadenssumme

Das Pikante daran: Acht Staaten bedeuten acht unterschiedliche Portale, acht Sprachen, acht Behördenlogos – und trotzdem einen einheitlichen Angriffsablauf. Wer eine Kampagne in dieser Breite fährt, arbeitet nicht mit Copy-Paste-Amateurwerk. Da steckt Infrastruktur hinter, Templates für jedes Land, vermutlich automatisierte Übersetzung und Personalisierung. Genau das macht die Sache brisant: Diese Angreifer skalieren wie ein Software-Unternehmen, nur dass das Produkt Ihr Bankkonto ist.

So funktioniert der Trick: Anatomie einer gefälschten Steuer-Mail

Die Masche selbst ist im Kern uralt, nur das Kostüm wechselt. Eine E-Mail oder SMS gibt vor, von der nationalen Finanzbehörde zu stammen – in Deutschland etwa mit Bezug auf ELSTER oder das BZSt, in Frankreich mit DGFiP-Branding. Typische Aufhänger: eine angebliche Steuererstattung, ein neuer elektronischer Steuerbescheid, eine dringende Kontobestätigung. Wer den Betreff liest, denkt: klingt behördlich, klingt nach Papierkram, klingt nach genau der Art Mail, die man eben schnell abarbeitet, ohne groß nachzudenken. Genau darauf ist die Kampagne gebaut.

Der Clou liegt im Detail der technischen Umsetzung. Statt eines plumpen Links setzen manche Varianten auf QR-Codes, die vermeintlich zum „sicheren“ Abruf des Steuerbescheids führen sollen. Praktisch für die Angreifer: Klassische Linkfilter in E-Mail-Gateways greifen bei einem Bild mit QR-Code schlechter als bei einer nackten URL. Wer den Code mit dem Smartphone scannt, landet auf einer Nachbildung des echten Portals, Logo und Layout bis ins Detail kopiert, und tippt dort Zugangsdaten, Kontonummer oder gleich die komplette Steuer-ID ein.

Andere Varianten kommen klassischer, mit E-Mail-Anhängen, die als „Steuerbescheiddatenübermittlung“ oder Rechnung getarnt sind. Wer den Anhang öffnet, installiert im schlechtesten Fall Schadsoftware, statt einen Bescheid zu lesen. Die Faustregel bleibt simpel: Steuerverwaltungen verschicken Steuerbescheide grundsätzlich nicht als E-Mail-Anhang. Wer diesen einen Satz verinnerlicht, hat schon die Hälfte der Kampagne entschärft.

Die Infrastruktur dahinter: Wie die Angreifer operieren

Was diese Kampagne von früheren Wellen unterscheidet, ist die erkennbare professionelle Infrastruktur. Sicherheitsanalysen deuten darauf hin, dass die Täter auf ein Netzwerk kurzlebiger Domains setzen, die wenige Tage vor dem Versand registriert werden – oft über Privacy-Dienste, die den wahren Inhaber verschleiern. Die nachgebauten Portale laufen auf gehosteten Servern in Jurisdiktionen, in denen Takedown-Anfragen europäischer Behörden nur schleppend bearbeitet werden. Das Ergebnis: Eine Phishing-Seite kann 48 bis 72 Stunden aktiv bleiben, bevor sie abgeschaltet wird – mehr als genug Zeit, um tausende Zugangsdaten abzugreifen.

Besonders tückisch ist der Einsatz sogenannter Reverse-Proxy-Techniken. Dabei leitet das gefälschte Portal die eingegebenen Daten nicht nur an die Angreifer weiter, sondern meldet sich gleichzeitig im echten Namen des Opfers beim offiziellen Steuerportal an. Der Nutzer sieht eine plausible Fehlermeldung oder eine angebliche Wartungsseite, während im Hintergrund seine Session übernommen wird. Diese Methode macht den Diebstahl für das Opfer praktisch unsichtbar, bis die ersten unberechtigten Änderungen im Steuerkonto auftauchen.

Warum ausgerechnet Steuerportale das perfekte Ziel sind

Steuerthemen funktionieren als Phishing-Köder besonders gut, und das hat einen einfachen psychologischen Grund: Fast jeder erwartet irgendwann echte Post vom Finanzamt. Wer gerade seine Erklärung abgegeben hat, rechnet mit einer Rückmeldung. Wer eine Erstattung erwartet, klickt schneller auf „Jetzt Betrag ansehen“, als er „Absenderadresse prüfen“ buchstabieren kann. Die Angreifer nutzen also keine Fantasie-Szenarien, sondern echte, alltägliche Erwartungshaltung – das ist der eigentliche Unterschied zu plumperen Betrugsmails mit angeblichen Lotteriegewinnen.

Kommt dazu: Behördenkommunikation wird selten hinterfragt. Ein Paket-Tracking-Link von einer unbekannten Nummer löst bei vielen Nutzerinnen und Nutzern inzwischen Skepsis aus, ein Schreiben mit Bundesadler oder EU-Sternenkranz dagegen kaum. Genau diese Autoritätswirkung machen sich die Täter zunutze, und sie tun es mit wachsender handwerklicher Präzision: saubere Grammatik, korrekt formatierte Aktenzeichen, Layouts, die kaum vom Original zu unterscheiden sind. Der Amateur-Phishing-Stil mit Rechtschreibfehlern und krummen Formulierungen ist bei dieser Kampagne offenbar Geschichte.

Social Engineering im Finanzsektor: Warum Aufklärung allein nicht reicht

Die aktuelle Welle zeigt exemplarisch, wie sich gezieltes Social Engineering im Finanzsektor systematisch weiterentwickelt hat. Die Täter kombinieren behördliche Autorität mit situativem Zeitdruck – etwa indem sie Mails kurz vor bekannten Abgabefristen versenden oder angebliche Nachzahlungen mit kurzen Fristen versehen. Diese Taktik umgeht rationale Sicherheitsüberlegungen, weil sie emotionale Reaktionsmuster triggert: Angst vor Sanktionen, Hoffnung auf Erstattung, oder schlicht der Impuls, eine vermeintliche Pflicht schnell zu erledigen.

Für Steuerberater und Buchhaltungsbüros ist die Bedrohungslage zusätzlich verschärft, da sie nicht nur eigene Zugänge schützen müssen, sondern auch Mandantendaten in ihren Systemen halten. Ein erfolgreicher Phishing-Angriff auf eine einzelne Sachbearbeiterin kann hier eine komplette Kette von Mandantenkonten kompromittieren. Die Verantwortung liegt also nicht nur beim einzelnen Steuerpflichtigen, sondern bei der gesamten beratenden Infrastruktur rund um Finanz- und Steuerthemen.

Wer betroffen ist: Von ELSTER bis DGFiP

Die Warnungen von BZSt und DGFiP stehen exemplarisch für ein europäisches Muster. Acht Mitgliedstaaten meldet CERT-Bund als betroffen – welche im Detail, ist behördlich noch nicht vollständig aufgeschlüsselt, doch Deutschland und Frankreich zählen mit ihren jeweiligen Warnungen sichtbar dazu. Für deutsche Steuerpflichtige bedeutet das konkret: Wer eine Mail erhält, die sich auf ELSTER, das Finanzamt oder das BZSt bezieht und zu einer Anmeldung, Bestätigung oder Zahlung auffordert, sollte reflexhaft misstrauisch werden. In Frankreich läuft dieselbe Logik über DGFiP-Branding.

Bemerkenswert ist die Reichweite über klassische Steuerzahler hinaus. Parallel zu dieser aktuellen Behördenwarnung kursieren seit einiger Zeit auch Kampagnen, die gezielt Kryptowährungs-Investoren adressieren – mit angeblich dringenden Krypto-Steuererklärungen, die auf nachgebaute Regierungsportale führen und am Ende Wallet-Zugriffe abgreifen sollen. Das zeigt: Die Angreifer differenzieren ihre Zielgruppen und passen den Köder an das jeweilige Vermögen an. Wer Kryptowerte hält, sollte bei Steuer-Mails also nicht entspannter, sondern eher wachsamer sein.

Smartphone zeigt gefälschte SMS mit QR-Code zu angeblichem Steuerbescheid im Rahmen der Phishing-Kampagne
QR-Codes in angeblichen Steuerbescheiden gelten als neues Warnsignal. (Symbolbild)

Phishing erkennen: Die Checkliste für den Alltag

Wie erkennt man eine solche Mail, bevor man in die Falle tappt? Ein paar Prüfschritte lassen sich ohne Fachwissen anwenden, und genau die sollten jetzt zur Routine werden.

  • Absenderadresse genau lesen, nicht nur den angezeigten Namen. Offizielle Behörden-Mails laufen über amtliche Domains, nicht über kreative Wortkombinationen mit Bindestrich.
  • Keine Links aus der Mail nutzen. Das Portal, um das es angeblich geht, manuell im Browser aufrufen oder über ein gespeichertes Lesezeichen.
  • QR-Codes in angeblichen Behörden-Mails grundsätzlich als Warnsignal werten. Seriöse Steuerverwaltungen setzen aktuell nicht flächendeckend auf QR-Zugänge zu Bescheiden.
  • Keine Anhänge öffnen, die als Steuerbescheid, Rechnung oder Datenübermittlung getarnt sind, wenn die Mail nicht zweifelsfrei zuordenbar ist.
  • Niemals Bankdaten, PIN, Kreditkartennummer oder vollständige Steuer-ID als Antwort auf eine E-Mail-Aufforderung eingeben. Das fordert keine Behörde per Mail an.

Diese Punkte sind keine Raketenwissenschaft, das gebe ich zu. Aber genau darin liegt die Ironie: Die Kampagne funktioniert nicht, weil die Technik so raffiniert ist, sondern weil Menschen unter Zeitdruck oder mit Erwartungshaltung schneller klicken als denken. Persönlich halte ich das für das eigentliche Sicherheitsproblem des Jahrzehnts – nicht die fehlende Firewall, sondern die drei Sekunden zwischen Posteingang und Klick.

Schon geklickt? Was jetzt zu tun ist

Wer bereits Daten eingegeben hat, sollte nicht in Schockstarre verfallen, sondern handeln. Zuerst die betroffenen Zugangsdaten ändern, und zwar überall, wo dasselbe Passwort im Einsatz war – Mehrfachverwendung ist bei solchen Vorfällen der zweite Fehler nach dem Klick selbst. Zweitens die kontoführende Bank informieren, wenn Bankverbindung oder Kreditkartendaten betroffen sind, um Sperrungen und Rückbuchungen zu prüfen. Drittens den Vorfall der zuständigen Stelle melden, etwa über die Meldewege von CERT-Bund oder die Phishing-Meldestellen der Verbraucherzentralen.

Wichtig ist außerdem, die eigene ELSTER- oder Steuerportal-Anmeldung im Blick zu behalten: Gab es unerwartete Änderungen an Kontoverbindungen oder Bescheiddaten? Ein kurzer Blick ins echte Portal schafft Klarheit, ohne dass man dafür auf einen Link aus der verdächtigen Mail angewiesen ist. Wer zusätzlich eine Zwei-Faktor-Authentifizierung aktiviert hat, hat gegen den reinen Zugangsdaten-Diebstahl bereits eine zweite Hürde eingebaut – kein hundertprozentiger Schutz, aber ein spürbarer Zeitgewinn im Ernstfall.

Der Trend hinter dem Angriff: Professionalisierung mit System

Sicherheitsforscher beobachten seit Monaten, dass sich Phishing-Kampagnen mit Steuerbezug nicht mehr auf einzelne Abgabefristen konzentrieren, sondern zu einem Dauerphänomen werden. Fachblogs sprachen bereits im Juni 2026 von mehr als hundert einzelnen Operationen gegen Steuerbehörden und Finanzinstitute innerhalb eines Monats – ein Hinweis darauf, dass hinter solchen Wellen inzwischen arbeitsteilige Strukturen stecken, nicht Einzeltäter mit Excel-Tabelle. Die aktuelle Kampagne mit über 150.000 Meldungen in 72 Stunden fügt sich in dieses Bild eines wachsenden, europaweit koordinierten Marktes für Behörden-Phishing.

Die Vermutung, dass generative KI-Werkzeuge bei der Erstellung dieser Mails eine Rolle spielen, kursiert in Sicherheitskreisen als plausible Einschätzung, auch wenn sie sich für die konkrete Kampagne nicht abschließend belegen lässt. Was aber auffällt: die sprachliche Qualität der Nachrichten ist deutlich gestiegen, Layout und Wortwahl wirken kaum noch wie das übliche Stückwerk vergangener Jahre. Wer sich also auf schlechte Grammatik als Warnsignal verlässt, verlässt sich zunehmend auf ein Kriterium, das langsam aus dem Spiel fällt. Parallel dazu zeigen aktuelle Analysen zum Thema Deepfake-basierter Betrug gegen Unternehmen, dass die Grenzen zwischen technisch gefälschter Kommunikation und authentischer Behördenpost immer schwerer zu ziehen sind – was die Erkennung im Alltag zusätzlich erschwert.

Schutzmaßnahmen für Unternehmen und Steuerkanzleien

Für Unternehmen und Steuerberater geht die Bedrohung über den einzelnen Phishing-Klick hinaus. Hier muss die Verteidigung auf mehreren Ebenen greifen: technische Filter auf Mailserver-Ebene, regelmäßige Sensibilisierung aller Mitarbeitenden mit konkreten Beispielen aus dem aktuellen Bedrohungsumfeld, und klar definierte interne Prozesse für den Umgang mit angeblichen Behördenschreiben. Ein Vier-Augen-Prinzip bei der Bearbeitung von Mails mit Zahlungsaufforderungen oder Kontodatenänderungen kann bereits einen Großteil des Schadens verhindern.

Technisch bietet sich der Einsatz KI-gestützter Cybersicherheitslösungen an, die verdächtige Kommunikationsmuster in Echtzeit erkennen und markieren, bevor sie im Posteingang der Mitarbeitenden landen. Solche Systeme analysieren nicht nur Links und Anhänge, sondern auch semantische Auffälligkeiten im Text und Abweichungen von bekannten Behördenkommunikationsmustern. In Kombination mit DMARC-Richtlinien, die das Spoofing offizieller Domains erschweren, entsteht eine mehrstufige Verteidigung, die zumindest die offensichtlichsten Angriffe herausfiltert, bevor sie Schaden anrichten können.

Behördenwarnung mit Wirkung? Die Grenzen der Aufklärung

Die Frage, die sich stellt: Reicht eine offizielle Warnung überhaupt aus, wenn eine Kampagne binnen 72 Stunden schon 150.000 Meldungen produziert? Wahrscheinlich nicht allein. Behördenwarnungen erreichen vor allem jene, die ohnehin aufmerksam sind – Menschen, die Nachrichtenseiten lesen, Newsletter von CERT-Bund abonniert haben, sich generell mit IT-Sicherheit beschäftigen. Genau die Zielgruppe, die am wenigsten auf eine gefälschte Steuer-Mail hereinfällt.

Wirksamer wäre eine Kombination aus technischer Filterung auf Provider-Seite, konsequenter Aufklärung über amtliche Kanäle wie Behördenwebsites und Apps, und einem gesunden Grundmisstrauen gegenüber jeder unerwarteten Zahlungsaufforderung. Bis diese Kombination flächendeckend greift, bleibt die einfachste Verteidigungslinie weiterhin die eigene Aufmerksamkeit im Posteingang. Ein Fachbericht zur Phishing-Welle im Juni 2026 zeigt, dass die Zahl solcher Operationen gegen Steuerbehörden bereits vor dieser aktuellen Kampagne stark gestiegen war – ein Trend, der sich mit den aktuellen Meldezahlen fortsetzt statt abzuflachen.

Was bleibt?

Zwölf Millionen Euro Schaden, acht Staaten, über 150.000 Meldungen in drei Tagen – und das ist nur der bisher öffentlich dokumentierte Teil einer Kampagne, die vermutlich noch läuft, während dieser Artikel entsteht. Die Behördenwarnung von BZSt und DGFiP ist richtig und nötig, ändert aber nichts an der Grundlogik: Wer bei Steuerthemen Autorität und Zeitdruck kombiniert, erreicht Menschen, die sonst wachsam wären. Die eigentliche Frage lautet daher weniger, ob es weitere Wellen gegen Steuerportale geben wird, sondern wann die nächste kommt – und ob die nächste Generation von Phishing-Mails überhaupt noch als solche erkennbar sein wird, wenn KI-Texte und gefälschte Behördenlogos noch eine Stufe besser werden. Bis dahin gilt: Link nicht klicken, Portal selbst aufrufen, Bauchgefühl ignorieren, Fakten prüfen. Und wer die aktuelle Warnung des BZSt-Sicherheitshinweises noch nicht gelesen hat, findet dort die Details zur aktuellen Kampagne, ebenso wie in der CERT-Bund-Meldung vom 17. Juli 2026.

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.