ELSTER-Phishing: Aktuelle Warnung vor gefälschten Steuerbescheiden

Aktuelle Warnung vor ELSTER-Phishing: Gefälschte Steuerbescheide im Umlauf

Die Verbraucherzentrale Finanzen und Versicherungen warnt aktuell vor einer massiven Phishing-Welle, die sich gezielt an Steuerzahler in Deutschland richtet. Kriminelle versenden täuschend echt aussehende E-Mails, die angeblich vom Bundeszentralamt für Steuern (BZSt) oder direkt von ELSTER stammen. Diese E-Mails behaupten, dass eine Steuerrückzahlung bereitstehe und fordern die Empfänger auf, persönliche Daten und Bankinformationen preiszugeben. Die Schadenssumme beläuft sich laut BKA-Schätzungen auf mehrere Millionen Euro jährlich.

Besonders perfide: Die gefälschten E-Mails nutzen offizielle Logos, Briefköpfe und teils sogar korrekte Steuernummern, um maximale Glaubwürdigkeit zu erzeugen. Viele Betroffene erkennen den Betrug erst, wenn bereits Geld von ihrem Konto abgebucht wurde oder ihre Identität für weitere Straftaten missbraucht wird.

So funktioniert die ELSTER-Phishing-Masche

Die Betrüger gehen systematisch und professionell vor. Der typische Ablauf einer ELSTER-Phishing-Attacke folgt einem bewährten Muster:

• Schritt 1 — E-Mail-Versand: Sie erhalten eine E-Mail mit Betreffzeilen wie „Ihre Steuerrückerstattung ist bereit", „Wichtige Mitteilung vom Finanzamt" oder „ELSTER: Rückzahlung Nr. DE-2025-XXXXX". Die E-Mail wirkt offiziell und verwendet das ELSTER-Logo.
• Schritt 2 — Gefälschte Webseite: Ein Link in der E-Mail führt zu einer täuschend echten Kopie der ELSTER-Webseite. Die URL weicht jedoch minimal von der echten Adresse ab — zum Beispiel „elster-portal.de" statt „elster.de" oder „mein-elster-online.com".
• Schritt 3 — Dateneingabe: Auf der gefälschten Seite werden Sie aufgefordert, persönliche Daten einzugeben: Name, Adresse, Steuernummer, Geburtsdatum und — das eigentliche Ziel — Ihre IBAN und Bankdaten.
• Schritt 4 — Missbrauch: Mit den erbeuteten Daten führen die Täter Kontoplünderungen durch, eröffnen Konten auf Ihren Namen oder verkaufen die Datensätze im Darknet.

Die Täter operieren häufig aus dem Ausland und nutzen anonymisierte Server. Die technische Infrastruktur hinter den Phishing-Seiten wird regelmäßig gewechselt, um Behörden die Nachverfolgung zu erschweren.

Erkennungsmerkmale gefälschter ELSTER-E-Mails

Die Verbraucherzentrale Finanzen und Versicherungen hat die häufigsten Merkmale gefälschter ELSTER-E-Mails analysiert. Achten Sie auf folgende Warnsignale:

• Aufforderung zur Dateneingabe per E-Mail: ELSTER und das Finanzamt fordern Sie niemals per E-Mail auf, persönliche Daten, IBAN oder Passwörter einzugeben. Dies ist der wichtigste Grundsatz.
• Links zu externen Webseiten: Offizielle ELSTER-Kommunikation enthält keine klickbaren Links zu Login-Seiten. Steuerrückzahlungen werden ausschließlich über das ELSTER-Portal selbst oder per Postweg kommuniziert.
• Dringlichkeit und Fristsetzung: Formulierungen wie „Handeln Sie innerhalb von 48 Stunden" oder „Ihre Rückzahlung verfällt" sind typische Druckmittel. Echte Finanzbehörden setzen angemessene Fristen per Brief.
• Grammatik- und Rechtschreibfehler: Viele Phishing-Mails enthalten subtile sprachliche Fehler, ungewöhnliche Formulierungen oder falsche Umlaute.
• Unpersönliche Anrede: „Sehr geehrter Steuerzahler" statt Ihres tatsächlichen Namens ist ein häufiges Warnsignal.
• Absender-Adresse prüfen: Die tatsächliche Absender-Adresse (nicht der angezeigte Name) weicht von offiziellen Domains ab. Echte E-Mails kommen ausschließlich von @elster.de oder @bzst.bund.de.

Neue Varianten mit KI-generierten Texten

Seit 2024 setzen Betrüger zunehmend auf KI-generierte Texte, die nahezu fehlerfrei sind und sprachlich kaum von echten Behördenschreiben zu unterscheiden sind. Grammatikfehler allein sind daher kein verlässliches Erkennungsmerkmal mehr. Umso wichtiger ist es, den grundsätzlichen Kommunikationsweg zu beachten: ELSTER kommuniziert Steuerrückzahlungen ausschließlich über das eingeloggte Portal oder per Post.

Gefälschte Absender und Domains

Die Betrüger registrieren gezielt Domains, die der echten ELSTER-Webseite ähneln. Die Verbraucherzentrale Finanzen und Versicherungen hat folgende Typen identifiziert:

• Typosquatting: Domains mit Tippfehlern wie „elstre.de", „elster-online.de" oder „my-elster.de"
• Subdomain-Tricks: Adressen wie „elster.de.steuern-portal.com" — hier ist „steuern-portal.com" die tatsächliche Domain
• Ähnliche TLDs: „elster.info", „elster.org" oder „elster.net" statt der echten „elster.de"
• Behörden-Imitation: „bundesfinanzamt-online.de" oder „bzst-rueckzahlung.de"

Die einzige echte ELSTER-Webseite ist www.elster.de bzw. mein.elster.de. Geben Sie diese Adresse immer manuell in Ihren Browser ein und klicken Sie niemals auf Links in E-Mails.

Die IBAN-Abfrage-Falle

Das Kernziel der meisten ELSTER-Phishing-Angriffe ist die Erbeutung Ihrer Bankverbindung. Die Betrüger behaupten, Ihre IBAN müsse „verifiziert" oder „aktualisiert" werden, damit eine angebliche Steuerrückzahlung überwiesen werden könne. In Wahrheit gilt:

• Das Finanzamt kennt Ihre Bankverbindung bereits — sie ist in Ihrer Steuererklärung hinterlegt.
• Steuerrückzahlungen werden automatisch überwiesen — auf das dem Finanzamt bekannte Konto, ohne dass Sie aktiv werden müssen.
• ELSTER fragt niemals per E-Mail nach IBAN-Daten — eine solche Aufforderung ist immer betrügerisch.

Wenn Sie Ihre Bankverbindung ändern möchten, geschieht dies ausschließlich über Ihre nächste Steuererklärung oder durch schriftliche Mitteilung an Ihr zuständiges Finanzamt — niemals über einen Link in einer E-Mail.

BSI-Warnung und behördliche Hinweise

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt regelmäßig vor ELSTER-Phishing und stuft diese Betrugsform als eine der häufigsten Cyberbedrohungen für Privatpersonen in Deutschland ein. Laut BSI-Lagebericht ist Phishing im Bereich Finanzen und Steuern seit Jahren unter den Top-3-Bedrohungen.

Auch das Bundeszentralamt für Steuern (BZSt) weist auf seiner Webseite ausdrücklich darauf hin, dass es keine E-Mails mit der Aufforderung zur Eingabe persönlicher Daten oder Kontoinformationen versendet. Das BZSt empfiehlt, verdächtige E-Mails umgehend zu löschen und keinesfalls auf enthaltene Links zu klicken.

Das Bundeskriminalamt (BKA) verzeichnet jährlich tausende Anzeigen im Zusammenhang mit Steuer-Phishing. Die Dunkelziffer liegt laut Experten deutlich höher, da viele Betroffene den Betrug aus Scham nicht melden.

Sofortmaßnahmen bei Verdacht

Wenn Sie auf eine Phishing-E-Mail hereingefallen sind oder den Verdacht haben, Daten preisgegeben zu haben, handeln Sie sofort:

• Bank kontaktieren: Rufen Sie umgehend Ihre Bank an und lassen Sie Ihr Konto bzw. Ihre Karte sperren. Nutzen Sie den Sperr-Notruf 116 116, der rund um die Uhr erreichbar ist.
• ELSTER-Passwort ändern: Melden Sie sich direkt über www.elster.de an und ändern Sie sofort Ihr Passwort. Aktivieren Sie die Zwei-Faktor-Authentifizierung.
• Anzeige erstatten: Erstatten Sie Anzeige bei der Polizei. In vielen Bundesländern ist dies auch online über die jeweilige Internetwache möglich.
• Phishing-E-Mail melden: Leiten Sie die E-Mail an das BSI weiter (trojaner@bsi.bund.de) und an Ihr Finanzamt.
• Kontoauszüge prüfen: Überprüfen Sie Ihre Kontoauszüge engmaschig auf unautorisierte Buchungen und widersprechen Sie diesen schriftlich bei Ihrer Bank.
• SCHUFA-Auskunft einholen: Prüfen Sie über meineSCHUFA.de, ob mit Ihren Daten Konten eröffnet oder Kredite beantragt wurden.

Wie ELSTER wirklich kommuniziert

Um Phishing von echten Mitteilungen unterscheiden zu können, ist es wichtig zu wissen, wie das ELSTER-System tatsächlich arbeitet:

• Steuerbescheide werden per Post zugestellt oder sind im eingeloggten ELSTER-Postfach abrufbar — niemals per E-Mail mit Anhang.
• Steuerrückzahlungen werden automatisch auf Ihr hinterlegtes Konto überwiesen, ohne dass Sie aktiv werden müssen.
• Benachrichtigungs-E-Mails von ELSTER informieren lediglich darüber, dass ein neues Dokument im ELSTER-Postfach bereitliegt — enthalten aber keinen Link zum Login und keine Aufforderung zur Dateneingabe.
• Software-Updates für ElsterFormular werden ausschließlich über die offizielle Webseite bereitgestellt.

Grundregel: Wenn eine E-Mail Sie zu irgendeiner Handlung auffordert, die über das Lesen einer Information hinausgeht, ist höchste Vorsicht geboten.

Prävention und Schutzmaßnahmen

Schützen Sie sich langfristig vor ELSTER-Phishing mit diesen Maßnahmen:

• Lesezeichen verwenden: Speichern Sie die echte ELSTER-Webseite (www.elster.de) als Lesezeichen und rufen Sie sie nur darüber auf.
• Zwei-Faktor-Authentifizierung: Aktivieren Sie die Zwei-Faktor-Authentifizierung bei ELSTER. Selbst wenn Betrüger Ihr Passwort erbeuten, können sie sich nicht einloggen.
• E-Mail-Spam-Filter: Halten Sie Ihren E-Mail-Spam-Filter aktuell. Moderne Filter erkennen viele Phishing-Mails automatisch.
• Antivirensoftware: Nutzen Sie eine aktuelle Antivirensoftware mit Phishing-Schutz. Das BSI empfiehlt regelmäßige Updates.
• Gesunde Skepsis: Hinterfragen Sie jede E-Mail, die Geld verspricht oder Daten fordert. Im Zweifel kontaktieren Sie Ihr Finanzamt telefonisch.

Fazit der Verbraucherzentrale Finanzen und Versicherungen

ELSTER-Phishing gehört zu den gefährlichsten und am weitesten verbreiteten Betrugsmaschen in Deutschland. Die Täter nutzen das Vertrauen in staatliche Institutionen schamlos aus. Die Verbraucherzentrale Finanzen und Versicherungen rät dringend: ELSTER kommuniziert niemals Steuerrückzahlungen per E-Mail. Jede E-Mail, die dies behauptet, ist ein Betrugsversuch.

Informieren Sie auch Ihre Familie und Freunde — insbesondere ältere Angehörige, die mit digitaler Kommunikation weniger vertraut sind und besonders häufig Opfer von Phishing-Attacken werden. Nur durch Aufklärung und Wachsamkeit können wir uns gemeinsam gegen diese Kriminellen schützen.