Steuerbehörden warnen vor Elster-Phishing-Mails
Kriminelle geben sich als Finanzamt aus und erbeuten Zugangsdaten von Steuerzahlern.
Mehr als 15 Millionen Deutsche nutzen das Online-Portal Elster für ihre Steuererklärung – und genau diese Masse an Nutzern macht die Plattform zum lukrativen Ziel für Cyberkriminelle. Aktuell warnen Steuerbehörden in mehreren Bundesländern vor einer neuen Welle gefälschter E-Mails, die im Namen des Finanzamts verschickt werden und Steuerzahler dazu verleiten sollen, ihre Elster-Zugangsdaten preiszugeben.
Wie die Betrugsmasche funktioniert
Die Vorgehensweise der Täter folgt einem klassischen Phishing-Muster, das jedoch technisch zunehmend ausgereifter wird. Die gefälschten Mails wirken auf den ersten Blick täuschend echt: Sie tragen offizielle Logos der Finanzverwaltung, verwenden korrekte Behördenbezeichnungen und sind sprachlich sorgfältig formuliert – anders als die fehlerbeladenen Phishing-Mails früherer Jahrzehnte. Empfänger werden in der Regel darüber informiert, dass ihre Steuererklärung fehlerhaft eingereicht wurde, eine Rückzahlung bereitstehe oder das Elster-Konto aus Sicherheitsgründen verifiziert werden müsse.
In allen Varianten führt ein eingebetteter Link auf eine gefälschte Website, die der echten Elster-Oberfläche optisch stark ähnelt. Wer dort seine Zugangsdaten – also Zertifikatsdatei, Passwort oder persönliche Identifikationsnummer – eingibt, übergibt diese direkt an die Kriminellen. Mit diesen Daten können die Täter auf das reale Elster-Konto zugreifen, persönliche Steuerdaten einsehen, Bankverbindungen ändern und potenziell falsche Steuererklärungen im Namen des Opfers einreichen.
Phishing – abgeleitet vom englischen „fishing", also Angeln – bezeichnet Versuche, über gefälschte digitale Kommunikation sensible Daten zu stehlen. Im Unterschied zu technischen Hacks zielt Phishing nicht auf Sicherheitslücken in Software, sondern auf den Menschen selbst: Das Opfer wird manipuliert, die Daten freiwillig herauszugeben.
Kerndaten: Über 15 Millionen registrierte Elster-Nutzer in Deutschland gelten als potenzielle Ziele der aktuellen Phishing-Kampagne. Laut Bitkom entstand der deutschen Wirtschaft durch Cyberkriminalität – darunter Phishing, Datendiebstahl und Ransomware – zuletzt ein jährlicher Schaden von mehr als 200 Milliarden Euro. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert pro Tag durchschnittlich mehrere hunderttausend neue Schadprogramm-Varianten im deutschen Netz. Finanzthemen zählen laut BSI zu den drei häufigsten Ködern in Phishing-Kampagnen weltweit.
Warum Elster besonders attraktiv für Angreifer ist
Das Elster-Portal bündelt außergewöhnlich sensible Informationen an einem einzigen digitalen Ort. Einkommens- und Vermögensdaten, Bankverbindungen, Sozialversicherungsnummern, Informationen zu Immobilien, Kapitaleinkünften und Familienverhältnissen – wer Zugriff auf ein Elster-Konto erlangt, erhält ein nahezu vollständiges finanzielles Profil des Betroffenen. Das macht gestohlene Elster-Zugangsdaten auf kriminellen Schwarzmärkten besonders wertvoll.
Hinzu kommt der Vertrauensbonus staatlicher Institutionen. Viele Nutzer schenken E-Mails, die scheinbar vom Finanzamt stammen, mehr Glauben als Nachrichten vermeintlicher Online-Shops oder Paketdienste. Dieser psychologische Hebel – Behörden wirken autoritativ und lösen Handlungsdruck aus – wird von den Tätern gezielt eingesetzt. Eine Nachricht mit der Botschaft „Ihre Steuererklärung ist fehlerhaft – handeln Sie jetzt" erzeugt Stress und drängt zur unüberlegten Reaktion.
Laut Angaben von Statista ist die Zahl der in Deutschland gemeldeten Phishing-Vorfälle in den vergangenen Jahren kontinuierlich gestiegen. Die zunehmende Professionalisierung der Tätergruppen – viele operieren aus dem Ausland und nutzen arbeitsteilige Strukturen ähnlich regulärer Unternehmen – macht die Abwehr komplizierter. Sicherheitsforscher des Analystenhauses Gartner weisen darauf hin, dass KI-gestützte Werkzeuge inzwischen dazu genutzt werden, Phishing-Mails sprachlich zu verfeinern und individuell auf Zielpersonen zuzuschneiden, was die Erkennungsrate durch herkömmliche Spam-Filter senkt.
Dieses Phänomen ist kein isoliertes Problem der Steuerverwaltung. Ähnliche Mechanismen werden im politischen Kontext beobachtet, wie ein Blick auf KI-Desinformation vor den Wahlen: Was Forscher warnen zeigt – dort setzen Angreifer ebenfalls auf täuschend echte, KI-generierte Inhalte, um Vertrauen zu erschleichen.
Technische Erkennungsmerkmale gefälschter Elster-Mails
Trotz wachsender Professionalität der Angriffe gibt es Merkmale, anhand derer sich gefälschte Elster-Mails in den meisten Fällen identifizieren lassen. Erstens verschickt die echte Finanzverwaltung grundsätzlich keine E-Mails, die zur direkten Eingabe von Zugangsdaten auffordern. Das Elster-System ist so konzipiert, dass sensible Vorgänge ausschließlich über die offizielle Website beziehungsweise die Elster-App abgewickelt werden.
Zweitens lohnt ein genauer Blick auf die Absenderadresse: Offizielle Mails der Finanzbehörden verwenden ausschließlich verifizierte Behördendomains mit Länderkennzeichnung wie „.de". Abweichungen – etwa zusätzliche Buchstabenfolgen, Bindestriche oder fremde Länderkennungen – sind ein klares Warnsignal. Drittens sollte der im Text eingebettete Link immer vor dem Anklicken durch Hover-over (das Halten der Maus über den Link ohne Klicken) geprüft werden: Die angezeigte Zieladresse weicht bei Phishing-Mails fast immer von der echten Elster-Domain ab.
Viertens erzeugen seriöse Behörden keinen künstlichen Zeitdruck. Formulierungen wie „Handeln Sie innerhalb von 24 Stunden" oder „Ihr Konto wird gesperrt" sind typische Manipulation statt echter Verwaltungspraxis. Und fünftens: Wer unsicher ist, sollte niemals dem Link in der Mail folgen, sondern die offizielle Elster-Website manuell im Browser eintippen oder ein bereits gespeichertes, vertrauenswürdiges Lesezeichen verwenden.
Was Betroffene tun sollten
Wer auf eine Phishing-Mail hereingefallen ist und Zugangsdaten auf einer gefälschten Seite eingegeben hat, sollte unverzüglich handeln. Der erste Schritt ist das sofortige Ändern des Elster-Passworts über den offiziellen Kanal. Parallel dazu empfiehlt das BSI, das zuständige Finanzamt direkt zu kontaktieren und den Vorfall zu melden, damit das Konto vorübergehend gesperrt werden kann. Auch eine Anzeige bei der Polizei ist ratsam – Cyberkriminalitätsdelikte werden in Deutschland inzwischen von spezialisierten Dienststellen bearbeitet, und jede Meldung trägt zur Lageerfassung bei.
Darüber hinaus sollten Betroffene prüfen, ob das kompromittierte Passwort auch bei anderen Diensten verwendet wird. Passwort-Wiederverwendung ist ein weitverbreitetes Sicherheitsproblem: Gelangt ein Passwort in die Hände von Kriminellen, testen automatisierte Systeme dieses sofort bei Hunderten anderen Plattformen – ein Angriffsmuster, das als „Credential Stuffing" bezeichnet wird.
Das Analystenhaus IDC betont in aktuellen Untersuchungen zur IT-Sicherheit, dass die konsequente Nutzung von Zwei-Faktor-Authentifizierung – also die Absicherung eines Kontos durch einen zweiten Bestätigungsschritt neben dem Passwort, etwa per SMS-Code oder Authentifizierungs-App – die Erfolgsrate von Phishing-Angriffen erheblich senkt, selbst wenn Zugangsdaten kompromittiert wurden. Elster unterstützt entsprechende Sicherheitsmechanismen; deren Aktivierung ist allen Nutzern dringend anzuraten.
| Merkmal | Echte Elster-Kommunikation | Phishing-Mail |
|---|---|---|
| Aufforderung zur Dateneingabe per Link | Nie | Zentrales Element der Mail |
| Absenderdomain | Offizielle Behördendomain (.de) | Fremdartige oder leicht abweichende Domain |
| Zeitdruck / Drohung | Nicht vorhanden | Häufig: „Handeln Sie sofort" oder Kontosperrung angedroht |
| Verlinktes Ziel | elster.de (offizielle Domain) | Abweichende URL, oft mit Tippfehler-Domain |
| Sprachqualität | Amtlich, fehlerfrei | Zunehmend fehlerfrei dank KI-Unterstützung |
| Anhänge mit Zertifikatsdateien | Nie unaufgefordert | Häufig gefälschte .pfx- oder .cer-Dateien |
Strukturelle Schwachstelle: Zertifikatsbasiertes Login
Ein Spezifikum des Elster-Systems ist die Nutzung eines digitalen Zertifikats zur Anmeldung – einer Datei, die auf dem eigenen Computer gespeichert wird und als Schlüssel zum Konto dient. Dieses Verfahren bietet im Vergleich zum reinen Passwort-Login grundsätzlich höhere Sicherheit, schafft jedoch eine besondere Schwachstelle: Wer zur Herausgabe dieser Zertifikatsdatei verleitet wird, übergibt den vollständigen Schlüssel zu seinem Steuerkonto. Phishing-Angriffe zielen daher gezielt auf diesen Mechanismus ab und fordern Nutzer auf, die Datei hochzuladen oder per Anhang zu übermitteln.
Die Steuerbehörden betonen ausdrücklich: Weder das Finanzamt noch das Elster-Portal werden jemals per E-Mail zur Übersendung des persönlichen Zertifikats auffordern. Diese Datei gehört ausschließlich auf den eigenen Rechner und sollte dort zusätzlich durch ein starkes Passwort geschützt sein.
Einordnung: Phishing als systemisches Problem der Digitalisierung
Der aktuelle Angriff auf Elster-Nutzer steht exemplarisch für ein breiteres strukturelles Problem: Je stärker staatliche und wirtschaftliche Prozesse digitalisiert werden, desto attraktiver werden digitale Zugangsdaten als Ziel für Kriminelle. Die Verlagerung von Verwaltungsvorgängen ins Netz – von der Steuererklärung über Sozialleistungsanträge bis hin zu Behördenkommunikation – schafft Effizienz, erhöht aber gleichzeitig die Angriffsfläche für Missbrauch.
Bitkom-Daten zufolge fühlt sich eine wachsende Mehrheit der deutschen Bevölkerung unsicher im Umgang mit digitalen Behördendiensten – ein Vertrauensproblem, das durch Vorfälle wie den aktuellen Elster-Phishing-Angriff weiter verstärkt wird. Die Digitalisierung des öffentlichen Sektors ist politisch gewollt und technisch sinnvoll, erfordert aber erhebliche Investitionen in Aufklärung und Nutzerschutz.
Bemerkenswert ist auch der technologische Kontext: Während Mobilfunkbetreiber ihre Infrastruktur modernisieren – etwa beim Abschalten veralteter 2G-Mobilfunkstandards – und der Ausbau moderner Netze voranschreitet, wie die Vodafone-Übernahme von Three zeigt, bleibt der menschliche Faktor die größte Sicherheitslücke im digitalen Alltag. Modernste Netzinfrastruktur schützt nicht vor einer überzeugenden Phishing-Mail.
Auch beim Schutz jüngerer und weniger erfahrener Nutzergruppen besteht Nachholbedarf. Wie schwierig digitale Schutzmaßnahmen in der Praxis durchzusetzen sind, zeigt das Beispiel, dass selbst Kinder Altersverifizierungssysteme kreativ umgehen – ein Hinweis darauf, dass technische Hürden allein kein ausreichendes Schutzkonzept sind.
Die aktuellen Ereignisse rund um Elster verdeutlichen: Digitale Sicherheit ist keine rein technische Frage, sondern eine gesellschaftliche. Aufklärungskampagnen, verständliche Sicherheitshinweise direkt in Behördenportalen sowie niedrigschwellige Meldemöglichkeiten für verdächtige Mails sind ebenso notwendig wie starke Verschlüsselung und sichere Infrastruktur. Investitionen in diesem Bereich – ob durch staatliche Stellen oder private Unternehmen wie jene, die in zukunftsweisende Technologien investieren, wie die Schwarz-Gruppe mit ihrem Engagement im Quantencomputer-Bereich – sind langfristig unverzichtbar für ein belastbares digitales Ökosystem.
Wer seine Steuererklärung digital erledigt, tut dies zu Recht – die Bequemlichkeit überwiegt. Wer dabei wachsam bleibt, gefälschte Absender hinterfragt und sensible Daten niemals auf externen Aufforderungen hin preisgibt, schützt sich wirksam gegen die derzeit grassierende Betrugsmasche. Das zuständige Finanzamt kontaktiert Steuerpflichtige bei echten Problemen per Brief – nicht per Klick-Link in einer E-Mail.
Weiterführende Informationen: BSI Bundesamt fuer Sicherheit
Quelle: Spiegel Netzwelt
