Abgriff persönlicher Daten: Phishing-Welle attackiert Steuerzahler in Deutschland

Gefälschte E-Mails im Umlauf – angeblich vom Bundeszentralamt für Steuern, Finanzamt oder „ELSTER“-Portal

[datensicherheit.de, 21.05.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH meldet, dass derzeit „eine gefährliche Welle von Phishing-Attacken“ auf Steuerzahler in Deutschland zielt: „Betrüger verschicken massenhaft gefälschte E-Mails, die aussehen, als kämen sie vom Bundeszentralamt für Steuern (BZSt), dem Finanzamt oder dem ,ELSTER’-Portal.“ Ziel ist es offensichtlich, darüber sensible persönliche Daten wie Steuer- oder Kontonummern abzugreifen oder Zahlungen zu erzwingen. Die Verbraucherkanzlei Dr. Stoll & Sauer warnt daher „eindringlich vor dieser neuen Betrugsmasche“. Der Schaden für die Verbraucher könne enorm sein.

Kostenlose Ersteinschätzung für von Datenlecks betroffene Verbraucher

Diese Attacken zeigten zudem, wie wichtig es ist, seine Daten gut zu schützen, – und wer Opfer eines Datenlecks ist, sollte zügig seine Ansprüche auf Schadensersatz auch für die Zukunft sichern.

• Dr. Stoll & Sauer bietet von Datenlecks betroffenen Verbrauchern eine kostenlose Ersteinschätzung im „Datenleck-Online-Check“ an.

„Unsere Kanzlei hat beim ,facebook’-Datenleck Schadensersatzsummen von bis zu 3.000 Euro pro Person durchgesetzt und gehört zu den führenden Verbraucherkanzleien Deutschlands.“

Persönliche Daten als Beute: So funktioniert die Phishing-Masche beim Thema Steuern

Die gefälschten E-Mails wirken demnach täuschend authentisch: Sie tragen Absender wie „info [at] bzst-zahlungsfrist [dot] com“ oder „news [at] elsta [dot] de“ und enthalten Hinweise auf angebliche Steuererstattungen oder überfällige Zahlungen. Oft werde Druck aufgebaut – mit Fristen, Strafgebühren oder der Androhung von Vollstreckungsmaßnahmen.

Typische Merkmale solcher Phishing-Mails:

• gefälschte Absender und offizielle Logos
• PDF-Anhänge scheinbar mit Steuerbescheiden
• Links zu täuschend echten, aber gefälschten Websites (z.B. „ELSTER“)
• Formulare zur Eingabe von Steuer-ID, Kontonummer oder Kreditkarteninformationen

Im schlimmsten Fall drohten:

• Identitätsdiebstahl (z.B. Anmeldung auf Steuerportalen im Namen des Opfers)
• unberechtigte Kontoabbuchungen oder Kreditkarten-Missbrauch
• Manipulation steuerlicher Daten
• langfristige Überwachung durch Cyberkriminelle

Rechtslage bei Datenlecks: Schadensersatz auch ohne finanziellen Schaden

Oft gelangten Phishing-Täter an persönliche Daten durch frühere Datenlecks – zum Beispiel bei „facebook“, Mastercard oder Mobilfunkanbietern. „Doch auch wenn Betroffene (noch) keinen finanziellen Verlust erlitten haben, bestehen rechtliche Ansprüche.“

• Europäischer Gerichtshof (EuGH): Schon der unbefugte Abfluss personenbezogener Daten könne einen ersatzfähigen Schaden darstellen. Kontrollverlust, emotionaler Stress oder die bloße Gefahr eines Missbrauchs reichten aus.
• Bundesgerichtshof (BGH): In seinem Urteil vom November 2024 zum „facebook“-Datenleck stellte der BGH klar: Auch bei bloßem Datenabfluss bestehe ein Anspruch auf immateriellen Schadensersatz – mit Entschädigungssummen von 1.000 € oder mehr.

Die Kanzlei Dr. Stoll & Sauer hat nach eigenen Angaben bereits erfolgreich Schadensersatz gegen Unternehmen wie Meta, Mastercard und Samsung durchgesetzt. „Über den ,Datenleck-Online-Check’ prüfen wir unverbindlich, ob und in welcher Höhe ein Anspruch besteht.“

Datensicherheit bedroht: Arten von Cyber-Angriffen auf Verbraucher

Phishing ist nur eine von vielen Bedrohungen, denen sich Verbraucher heute ausgesetzt sehen. „Hier ein Überblick über die häufigsten Maschen – mit Beispielen aus der Praxis:“

• Phishing (E-Mail): Gefälschte E-Mails von Banken oder Behörden fordern zur Eingabe persönlicher Daten auf. Als Beispiel: Gefälschte Finanzamt-Mails verweisen auf angebliche Rückerstattungen – wer klickt, landet auf einer falschen „ELSTER“-Seite.
• Smishing (SMS): Phishing per SMS-Nachricht mit Links zu gefälschten Webseiten. Als Beispiel: Eine angebliche DHL-Benachrichtigung fordert zur Paketverfolgung auf – und fragt persönliche Daten ab.
• Vishing (Telefon): Betrüger rufen als angebliche Support-Mitarbeiter an. Als Beispiel: Vermeintlich meldet sich „Microsoft“ wegen eines Virus-Befalls – tatsächlich wird ein Fernwartungstool installiert.
• Malware / „Trojaner“: Schadsoftware gelangt über Anhänge oder Downloads auf den Rechner. Als Beispiel: Eine gefälschte Rechnung im Anhang installiert beim Öffnen einen „Trojaner“.
• „Fake Shops“: Scheinbar echte Onlineshops locken mit Billigangeboten. Als Beispiel: Sneaker zu 70 Prozent Rabatt – Ware wird bezahlt, aber nie geliefert.
• Identitätsdiebstahl: Gestohlene Daten werden genutzt, um Verträge oder Konten zu eröffnen. Als Beispiel: Nach einem Datenleck wird ein Mobilfunkvertrag im Namen des Opfers abgeschlossen.
• „Credential Stuffing“: Gestohlene Zugangsdaten werden bei anderen Portalen ausprobiert. Als Beispiel: E-Mail und Passwort aus einem Datenleck funktionieren auch bei „PayPal“ – das Konto wird übernommen.

Schutz der eigenen Daten vor Steuer-Cyberkriminellen

Verbraucher werden von E-Mails, SMS-Nachrichten und Anrufen aktuell regelrecht bombardiert. Die Kanzlei Dr. Stoll & Sauer gibt Tipps, wie sich das Worst-Case-Szenario verhindern lässt:

• Seien Sie misstrauisch bei E-Mails mit Zeitdruck („Letzte Mahnung“, „Frist läuft heute ab“)!
• Klicken Sie nicht auf Links oder Anhänge unbekannter Absender!
• Rufen Sie „ELSTER“ oder Steuerportale immer direkt über den Browser auf!
• Prüfen Sie Absenderadressen sorgfältig – kleine Tippfehler sind verdächtig!
• Geben Sie keine sensiblen Daten per E-Mail oder SMS-Nachricht weiter!
• Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei Banken und Steuerportalen!
• Verdächtige Steuer-Phishing-Mails melden an: report [at] bzst [dot] bund [dot] de und phishing [at] bsi [dot] bund [dot] de.

Wer von einem Datenleck betroffen ist, sollte handeln: „Unsere Kanzlei bietet eine kostenlose rechtliche Ersteinschätzung im ,Datenleck-Online-Check’ an.“ Gemeinsam werde dann geprüft, ob ein Anspruch auf Schadensersatz besteht – „und wie Sie Ihre Daten schützen und sich gegen Missbrauch zur Wehr setzen können“. Achtung: „Sind sensible personenbezogene Daten im Internet öffentlich einsehbar, kann eine Phishing-Attacke den Verbraucher auch Jahre später treffen. Das Internet vergisst nichts!“

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Kostenlose Ersteinschätzung von unseren Datenleck-Anwälten direkt online abrufen

datensicherheit.de, 28.01.2025
Cyber-Kriminelle in der Schweiz werfen Köder aus: Versand gefälschter E-Mails des Finanzamts / Proofpoint hat alarmierende Zunahme von Cyber-Kampagnen und bösartigen Domains festgestellt

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen / Cylance gibt zwölf Tipps für bereits und für potenziell Betroffene

datensicherheit.de, 02.07.2012
G DATA warnt vor neuer Betrugskampagne per E-Mail: Cyber-Kriminelle tarnen sich als Finanzämter / Datendiebstahl statt angeblicher Steuerrückerstattung