BZSt-Phishing: Betrüger locken mit angeblicher Steuererstattung

Eine neue, aggressive Phishing-Welle nutzt den Namen des Bundeszentralamts für Steuern, um an sensible Daten zu gelangen. Verbraucherschützer warnen vor der perfiden Masche.

In den gefälschten E-Mails wird eine automatische Steuererstattung nach § 218 der Abgabenordnung in Aussicht gestellt. Die Empfänger sollen angeblich ein Guthaben erhalten und werden unter Zeitdruck gesetzt: Ein verlinktes Formular müsse innerhalb weniger Tage ausgefüllt werden, um die Auszahlung zu sichern. Die genannte Frist endet oft bereits heute, am 9. Februar 2026.

Experten identifizieren klare Warnsignale. „Offizielle Schreiben der Finanzverwaltung sind stets personalisiert“, erklärt ein IT-Sicherheitsexperte. „Eine Anrede wie ‚Sehr geehrte Damen und Herren‘ ist ein erstes Alarmsignal.“ Weitere Indizien sind unseriöse Absenderadressen und die Aufforderung, Bankdaten über einen Link einzugeben.

Dieser Link führt nicht auf eine Behördenwebsite, sondern auf eine täuschend echte Phishing-Plattform. Dort werden neben der Steuer-Identifikationsnummer vor allem Bankverbindungen abgefragt. Die Kombination aus verlockendem Geldversprechen und knapper Frist soll die kritische Prüfung durch das Opfer ausschalten.

Gefälschte Behördenmails sind heute besonders überzeugend – und viele Opfer klicken reflexhaft auf Links oder geben Kontodaten ein. Das kostenlose Anti-Phishing-Paket erklärt praxisorientiert in vier Schritten, wie Sie Phishing erkennen, Mitarbeiter schulen und technische Schutzmaßnahmen implementieren. Enthalten sind Checklisten für IT-Verantwortliche, Vorlagen für Sensibilisierungs-Maßnahmen und Beispiele zu CEO-Fraud. Jetzt Anti-Phishing-Paket herunterladen

Behörden: „Nie auf diesem Weg“

Das Bundeszentralamt für Steuern und die Finanzämter kommunizieren Rückzahlungen niemals auf diesem Weg. „Steuerbescheide werden postalisch oder über das gesicherte ELSTER-Portal zugestellt“, stellt eine Behördensprecherin klar. Eine ELSTER-Benachrichtigungsmail enthält nie direkt den Bescheid oder einen Link zur Dateneingabe, sondern nur den Hinweis auf ein neues Dokument im Postfach.

Auch die Bundesnetzagentur warnt aktuell vor den Betrugsmails. Die Aufforderung zur „Aktualisierung der IBAN-Daten“ im Namen einer Behörde ist immer betrügerisch. Die Kriminellen zielen ausschließlich auf den Diebstahl von Daten für weitere Straftaten ab.

Hohes Risiko auch für Unternehmen

Für Firmen stellt die Phishing-Welle ein erhebliches Compliance- und Sicherheitsrisiko dar. Gelangen Mitarbeiterdaten oder die Firmenbankverbindung in falsche Hände, drohen finanzielle Schäden und Imageschaden. Die regelmäßige Sensibilisierung und Schulung der Belegschaft ist daher Teil der unternehmerischen Sorgfaltspflicht.

Die wichtigste Schutzmaßnahme ist einfach: Verdächtige Mails sofort löschen oder als Spam markieren. Keine Links anklicken, keine Anhänge öffnen. Im Zweifelsfall sollte man direkt sein Finanzamt oder den Steuerberater kontaktieren – und zwar über die offiziell bekannten Kanäle. Eine Überprüfung steuerlicher Angelegenheiten erfolgt ausschließlich über „elster.de“.

Professionelle Kriminalität als Dauerbedrohung

Die aktuelle Kampagne zeigt die zunehmende Professionalität von Cyberkriminellen. Sie nutzen gezielt psychologische Tricks und aktuelle Themen, um ihre Angriffe zu tarnen. Betrugsversuche im Namen vertrauenswürdiger Institutionen wie Behörden werden auch künftig eine zentrale Bedrohung bleiben.

Die effektivste Verteidigung bleibt eine dauerhaft hohe Wachsamkeit der Nutzer, gepaart mit technischen Maßnahmen wie aktuellen Spam-Filtern. Das Wissen um die typischen Merkmale von Phishing ist der beste Schutz vor Datenklau.

PS: Unternehmen, die ihre Mitarbeitenden regelmäßig sensibilisieren, reduzieren Phishing-Schäden deutlich. Der Gratis-Guide liefert branchenspezifische Maßnahmen, erklärt psychologische Angriffsmuster und bietet eine sofort umsetzbare 4‑Punkte-Strategie zur Hacker-Abwehr – ideal für Datenschutzbeauftragte und IT-Leiter. Anti-Phishing-Paket jetzt kostenlos sichern