LGR Reutlingen – 07 Juni 2026 | Ein Phishing-Alarm ELSTER-Betrger locken mit Steuerbescheiden 2026 sorgt derzeit für Aufregung bei den Verbraucherzentralen und Finanzbehörden: In den letzten Tagen haben zahlreiche Steuerpflichtige E‑Mails erhalten, die angeblich vom offiziellen ELSTER‑Portal stammen und einen elektronischen Steuerbescheid für das Jahr 2026 ankündigen. Der Inhalt lockt mit einer vermeintlichen Rückzahlung und fordert die Empfänger auf, einen „Datenprüfungsprozess“ zu durchlaufen, um die Auszahlung zu aktivieren. Darunter verbirgt sich jedoch ein raffinierter Versuch, Login‑Daten und persönliche Informationen zu ergänzen, bevor die Täter weitere finanzielle Straftaten begehen.
Phishing-Alarm ELSTER-Betrger locken mit Steuerbescheiden 2026 – Wie die Masche funktioniert
Die Betrugsnachrichten nutzen eine Kombination aus psychologischer Manipulation und technischer Täuschung. Typisch ist eine personalisierte Anrede, die jedoch oft nur den Vornamen enthält, während der Nachname fehlt – ein erstes Warnsignal für geschulte Augen. Die Absenderadresse stammt selten von einer offiziellen Regierungsdomain, sondern von scheinbar legitimen, aber völlig unabhängigen Anbietern. In den E‑Mails finden sich Links, die auf gefälschte Webseiten führen, die dem echten ELSTER‑Login fast identisch sehen. Dort wird das Opfer aufgefordert, seine Zugangsdaten, das Passwort und sogar die Zwei‑Faktor‑Authentifizierung (2FA) einzugeben. Sobald die Daten im System der Angreifer landen, können sie das echte ELSTER‑Konto übernehmen und weitere finanzielle Transaktionen initiieren.
Ein weiterer Trick besteht darin, das Gefühl einer dringenden Frist zu erzeugen. Die Nachrichten geben häufig an, dass die angebliche Rückzahlung nur für 48 Stunden verfügbar sei. Dieser Zeitdruck reduziert die kritische Prüfung und erhöht die Wahrscheinlichkeit, dass das Opfer unüberlegt handelt. Zusätzlich wird häufig ein angebliches offizielles PDF‑Dokument angehängt, das den Steuerbescheid zu imitieren scheint. Das Dokument enthält jedoch makellose Rechtschreibfehler und Logos, die nicht exakt den Vorgaben des Bundeszentralamtes für Steuern entsprechen – ein Hinweis, den viele Laien übersehen.
Der aktuelle Anstieg solcher Angriffe lässt sich nicht isoliert betrachten. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden im ersten Quartal 2026 über 12 000 Phishing‑Versuche gemeldet, die sich ausschließlich auf Finanzbehörden bezogen. Parallel dazu beobachten internationale Strafverfolgungsbehörden einen Anstieg von Steuer‑Phishing‑Kampagnen, die über soziale Medien wie TikTok und Telegram verbreitet werden. In Großbritannien wurden im Frühjahr 2026 mehrere Personen festgenommen, die über TikTok ein Netzwerk von gefälschten Steuer‑Rückerstattungen betrieben und dabei rund 180 Millionen Euro ergänzt hatten. Diese grenzüberschreitenden Muster verdeutlichen, dass das ELSTER‑System nun zu einem attraktiven Ziel für Cyberkriminelle geworden ist.
Technische Hintergründe: Warum herkömmliche Sicherheitsmechanismen oft versagen
Die meisten Nutzer verlassen sich auf die Zwei‑Faktor‑Authentifizierung, um ihr ELSTER‑Konto zu schützen. Die aktuelle Phishing‑Kampagne nutzt jedoch ein neu aufgetauchtes Phishing‑Kit namens „Kali365Prime“, das seit April 2026 im Darknet über Telegram für etwa 230 Euro pro Monat angeboten wird. Das Kit ist in der Lage, OAuth‑Tokens zu stehlen und damit die MFA zu umgehen. Sobald ein Angreifer das Token besitzt, kann er sich ohne erneute Eingabe des zweiten Faktors in das Konto einloggen und sogar neue Tokens generieren. Damit lässt sich die Sicherheitskette effektiv durchbrechen, ohne dass das Opfer unmittelbar merkt, dass etwas nicht stimmt.
Ein weiteres, weniger bekanntes Risiko ergibt sich aus Voice‑Phishing, kurz Vishing. Eine Gruppe, die sich selbst „Pink“ nennt, gibt sich als IT‑Helpdesk aus und fordert über das Telefon die Eingabe von MFA‑Codes. Die Angreifer setzen eine Frist von 72 Stunden, nach der sie die gestohlenen Daten veröffentlichen wollen – ein erpresserisches Vorgehen, das zunehmend mit Steuer‑Phishing kombiniert wird. Diese Kombination von Social‑Engineering‑Techniken macht es für Betroffene besonders schwer, die Gefahr rechtzeitig zu erkennen.
Auch die Hardware‑Wallet‑Community bleibt nicht verschont. Nutzer von Ledger‑Geräten erhalten physische Briefe, die angeblich vor einer „Post‑Quanten‑Kryptographie‑Sicherheitsaktualisierung“ bis zum 26. Juni 2026 warnen. In den Briefen steckt ein QR‑Code, der auf eine Phishing‑Seite führt, die das gleiche Layout wie die offizielle Ledger‑Support‑Website aufweist. Die Angreifer nutzen dafür Daten, die bei einem Sicherheitsvorfall von 2020 abgetaucht sind, bei dem rund 270 000 Nutzerinformationen kompromittiert wurden.
Auswirkungen auf Unternehmen und Privatpersonen
Für Unternehmen bedeutet der Anstieg von ELSTER‑Phishing nicht nur ein erhöhtes Risiko für ihre Finanzabteilungen, sondern auch für das gesamte Ökosystem von Dienstleistern, die steuerrelevante Daten verarbeiten. Steuerberater, Buchhaltungssoftware‑Anbieter und Cloud‑Dienstleister müssen ihre internen Prozesse überprüfen, um zu verhindern, dass kompromittierte Konten als Einfallstor für weiterführende Angriffe dienen. Der Finanzsektor reagiert bereits mit verstärkten Monitoring‑Tools, die ungewöhnliche Login‑Muster erkennen und automatisch blockieren. Gleichzeitig rufen die Verbraucherzentralen dazu auf, verdächtige E‑Mails sofort an die jeweiligen Stellen zu melden und nicht zu klicken.
Privatpersonen stehen vor der Herausforderung, zwischen legitimen Mitteilungen des Finanzamts und perfiden Phishing‑Versuchen zu unterscheiden. Ein einfacher, aber wirkungsvoller Schutzmechanismus ist die Nutzung des offiziellen ELSTER‑Portals über die offizielle URL https://www.elster.de und das Ausschalten von automatischen Weiterleitungen in E‑Mail‑Programmen. Darüber hinaus sollten Nutzer regelmäßig ihre Kontoaktivitäten prüfen und bei Unregelmäßigkeiten sofort das Finanzamt kontaktieren. Die Verbraucherzentralen bieten zudem ein kostenloses E‑Book an, das Schritt für Schritt erklärt, wie man das ELSTER‑Portal sicher nutzt – ein Angebot, das insbesondere für weniger technikaffine Steuerzahler sinnvoll ist.
Politische und regulatorische Reaktionen
Die aktuelle Lage hat die Diskussion um strengere Vorgaben für digitale Behördenkommunikation neu entfacht. Im deutschen Bundestag wird derzeit ein Gesetzentwurf diskutiert, der die Authentizität von behördlichen E‑Mails durch digitale Signaturen und zertifizierte Absenderdomänen verbindlich vorschreibt. Experten sehen darin einen wichtigen Schritt, um das Vertrauen in digitale Steuerverfahren wiederherzustellen. Gleichzeitig wird die geplante Mehrwertsteuerreform „21‑10‑0Prime“, die zum 1. Januar 2027 in Kraft treten soll, von Kriminellen bereits als Aufhänger für neue Phishing‑Kampagnen genutzt – ein klassisches Beispiel dafür, wie gesetzliche Änderungen unbeabsichtigt neue Angriffsvektoren schaffen.
International kooperieren nationale Sicherheitsbehörden verstärkt, um Phishing‑Kits wie Kali365Prime zu verfolgen. Das FBI hat bereits mehrere Betreiber solcher Kits festgenommen, doch die dezentrale Verbreitung über verschlüsselte Messenger-Dienste erschwert eine dauerhafte Eindämmung. In Deutschland plant das BSI, ein zentrales Meldeportal für Phishing‑Vorfälle einzuführen, das sowohl Unternehmen als auch Privatpersonen eine schnelle Meldung und Analyse ermöglicht.
Abschließend lässt sich festhalten, dass der Phishing‑Alarm ELSTER‑Betrger locken mit Steuerbescheiden 2026 nicht nur ein kurzfristiges Sicherheitsproblem darstellt, sondern ein Symptom einer breiteren digitalen Vulnerabilität. Die Kombination aus technisch anspruchsvollen Angriffstools, sozialen Manipulationstechniken und aktuellen steuerpolitischen Veränderungen schafft ein günstiges Umfeld für Cyberkriminelle. Nur ein ganzheitlicher Ansatz – von technischer Härtung über Aufklärung bis hin zu regulatorischen Anpassungen – kann die Gefahr nachhaltig eindämmen.
