Phishing-Attacke auf Steuerzahler: Gefälschte Finanzamt-Mails im Umlauf

Eine gefährliche Welle von Phishing-Attacken zielt derzeit auf Steuerzahler in Deutschland. Betrüger verschicken massenhaft gefälschte E-Mails, die aussehen, als kämen sie vom Bundeszentralamt für Steuern (BZSt), dem Finanzamt oder dem ELSTER-Portal. Ziel ist es, sensible persönliche Daten wie Steuer- oder Kontonummern abzugreifen oder Zahlungen zu erzwingen. Die Verbraucherkanzlei Dr. Stoll & Sauer warnt eindringlich vor dieser neuen Betrugsmasche. Der Schaden für die Verbraucher kann enorm sein. Und die Attacke zeigt, wie wichtig es ist, seine Daten gut zu schützen, und wer Opfer eines Datenlecks ist, sollte zügig seine Ansprüche auf Schadensersatz auch für die Zukunft sichern. Dr. Stoll & Sauer bietet von Datenlecks betroffenen Verbraucher eine kostenlose Ersteinschätzung im Datenleck-Online-Check an. Unsere Kanzlei hat beim Facebook-Datenleck Schadensersatzsummen von bis zu 3.000 Euro pro Person durchgesetzt und gehört zu den führenden Verbraucherkanzleien Deutschlands.

So funktioniert die Phishing-Masche beim Thema Steuern

Die gefälschten E-Mails wirken täuschend authentisch. Sie tragen Absender wie „info@bzst-zahlungsfrist.com“ oder „news@elsta.de“ und enthalten Hinweise auf angebliche Steuererstattungen oder überfällige Zahlungen. Oft wird Druck aufgebaut – mit Fristen, Strafgebühren oder der Androhung von Vollstreckungsmaßnahmen.

Typische Merkmale der Phishing-Mails:

• Gefälschte Absender und offizielle Logos
• PDF-Anhänge mit scheinbaren Steuerbescheiden
• Links zu täuschend echten, aber gefälschten Webseiten (z. B. ELSTER)
• Formulare zur Eingabe von Steuer-ID, Kontonummer oder Kreditkarteninformationen

Im schlimmsten Fall drohen:

• Identitätsdiebstahl (z. B. Anmeldung auf Steuerportalen im Namen des Opfers)
• Unberechtigte Kontoabbuchungen oder Kreditkartenmissbrauch
• Manipulation steuerlicher Daten
• Langfristige Überwachung durch Cyberkriminelle

Rechtslage Datenlecks: Schadensersatz auch ohne finanziellen Schaden möglich

Oft gelangen Phishing-Täter an persönliche Daten durch frühere Datenlecks – zum Beispiel bei Facebook, Mastercard oder Mobilfunkanbietern. Doch auch wenn Betroffene (noch) keinen finanziellen Verlust erlitten haben, bestehen rechtliche Ansprüche.

• Europäischer Gerichtshof (EuGH): Schon der unbefugte Abfluss personenbezogener Daten kann einen ersatzfähigen Schaden darstellen. Kontrollverlust, emotionaler Stress oder die bloße Gefahr eines Missbrauchs reichen aus.
• Bundesgerichtshof (BGH): In seinem Urteil vom November 2024 zum Facebook-Datenleck stellte der BGH klar: Auch bei bloßem Datenabfluss besteht ein Anspruch auf immateriellen Schadensersatz – mit Entschädigungssummen von 1.000 € oder mehr.

Die Kanzlei Dr. Stoll & Sauer hat bereits erfolgreich Schadensersatz gegen Unternehmen wie Meta, Mastercard und Samsung durchgesetzt. Über den Datenleck-Online-Check prüfen wir unverbindlich, ob und in welcher Höhe ein Anspruch besteht.

Welche Cyber-Angriffe drohen Verbrauchern?

Phishing ist nur eine von vielen Bedrohungen, denen sich Verbraucher heute ausgesetzt sehen. Hier ein Überblick über die häufigsten Maschen – mit Beispielen aus der Praxis:

• Phishing (E-Mail): Gefälschte Mails von Banken oder Behörden fordern zur Eingabe persönlicher Daten auf.
  Beispiel: Gefälschte Finanzamt-Mails verweisen auf angebliche Rückerstattungen – wer klickt, landet auf einer falschen ELSTER-Seite.
• Smishing (SMS): Phishing per SMS mit Links zu gefälschten Webseiten.
  Beispiel: Eine angebliche DHL-Benachrichtigung fordert zur Paketverfolgung auf – und fragt persönliche Daten ab.
• Vishing (Telefon): Betrüger rufen als angebliche Support-Mitarbeiter an.
  Beispiel: „Microsoft“ meldet sich wegen eines Virus – tatsächlich wird ein Fernwartungstool installiert.
• Malware / Trojaner: Schadsoftware gelangt über Anhänge oder Downloads auf den Rechner.
  Beispiel: Eine gefälschte Rechnung im Anhang installiert beim Öffnen einen Trojaner.
• Fake-Shops: Scheinbar echte Onlineshops locken mit Billigangeboten.
  Beispiel: Sneaker zu 70 % Rabatt – Ware wird bezahlt, aber nie geliefert.
• Identitätsdiebstahl: Gestohlene Daten werden genutzt, um Verträge oder Konten zu eröffnen.
  Beispiel: Nach einem Datenleck wird ein Handyvertrag im Namen des Opfers abgeschlossen.
• Credential Stuffing: Gestohlene Zugangsdaten werden bei anderen Portalen ausprobiert.
  Beispiel: E-Mail und Passwort aus einem Datenleck funktionieren auch bei PayPal – Konto wird übernommen

Wie schützen Sie Ihre Daten vor den Steuer-Cyberkriminellen?

Verbraucher werden von Mails, SMS und Anrufen aktuell regelrecht bombardiert. Wie lässt sich das Worst-Case-Szenario verhindern?

• Seien Sie misstrauisch bei E-Mails mit Zeitdruck („Letzte Mahnung“, „Frist läuft heute ab“)
• Klicken Sie nicht auf Links oder Anhänge unbekannter Absender
• Rufen Sie ELSTER oder Steuerportale immer direkt über den Browser auf
• Prüfen Sie Absenderadressen sorgfältig – kleine Tippfehler sind verdächtig
• Geben Sie keine sensiblen Daten per Mail oder SMS weiter
• Aktivieren Sie die Zwei-Faktor-Authentifizierung bei Banken und Steuerportalen
• Verdächtige Steuer-Phishing-Mails melden an:

report@bzst.bund.de

phishing@bsi.bund.de

Jetzt Anspruch prüfen lassen – bevor es zu spät ist

Wer von einem Datenleck betroffen ist, sollte handeln. Unsere Kanzlei bietet eine kostenlose rechtliche Ersteinschätzung im Datenleck-Online-Check an. Gemeinsam prüfen wir, ob ein Anspruch auf Schadensersatz besteht – und wie Sie Ihre Daten schützen und sich gegen Missbrauch zur Wehr setzen können. Sind sensible personenbezogene Daten im Internet öffentlich einsehbar, kann eine Phishing-Attacke den Verbraucher auch Jahre später treffen. Das Internet vergisst nichts.