Verbraucherzentrale warnt: Neue Phishing-Welle zielt auf Steuerzahler

Kriminelle versenden gefälschte ELSTER-Mails mit dem Ziel, an Zugangsdaten und persönliche Informationen zu gelangen. Die neue Phishing-Welle nutzt täuschend echte Nachrichten und künstliche Intelligenz, warnen Verbraucherschützer.

Steuerbescheid erwartet, Phishing-Mail bekommen: Kriminelle missbrauchen derzeit das ELSTER-Steuerportal für eine gezielte Betrugsmasche. Die Verbraucherzentrale warnt aktuell vor einer neuen Welle gefälschter E-Mails, die täuschend echt aussehen – und Nutzer auf gefälschte Internetseiten locken. Wer dort seine Zugangsdaten eingibt oder persönliche Informationen preisgibt, spielt den Tätern direkt in die Hände.

ELSTER-Phishing-Mail 2026: So sehen die gefälschten Nachrichten aus

Optisch orientieren sich die derzeit kursierenden Nachrichten stark an echten Mitteilungen des Steuerportals. Besonders häufig tauchen dabei Betreffzeilen wie "Ihr elektronischer Steuerbescheid für 2026 ist abrufbar" oder "Ihre Steuererstattung 2026 steht zur Auszahlung bereit" auf. Im Text wird dann behauptet, im persönlichen "Mein-ELSTER-Postfach" liege ein neuer Steuerbescheid oder eine Auszahlung warte auf den Empfänger. Damit soll der Eindruck entstehen, dass lediglich ein Klick erforderlich sei, um wichtige Steuerunterlagen einzusehen. Ein eindeutiges Warnzeichen steckt bei diesen Mails bereits im Betreff: Steuerbescheide oder Erstattungen für 2026 kann es noch gar nicht geben. Der ein oder andere wird seine Steuererklärung für 2025 noch nicht mal eingereicht haben, die Ende Juli fällig ist.

Auffällig ist außerdem, dass viele dieser Phishing-Mails fast identisch aufgebaut sind. Nach einer meist unpersönlichen Anrede wie "Sehr geehrte/r Steuerzahler/in" folgt der Hinweis auf einen angeblich bereitstehenden Steuerbescheid oder eine Steuererstattung. Teilweise wird sogar ein konkreter Erstattungsbetrag genannt, der in zahlreichen Mails identisch ist. Anschließend werden die Empfänger aufgefordert, den beigefügten Link anzuklicken, um die Unterlagen abzurufen oder die Auszahlung zu bestätigen. Die verlinkte Internetseite ähnelt häufig dem offiziellen ELSTER-Portal und übernimmt Farben, Logos oder Gestaltungselemente. Ziel ist es, Vertrauen zu schaffen und Nutzer zur Eingabe persönlicher Zugangsdaten zu bewegen: Wer dort seinen ELSTER-Benutzernamen, das Passwort oder weitere Sicherheitsmerkmale eingibt, übermittelt diese direkt an die Täter.

Im Rahmen ihres Phishing-Radars weist die Verbraucherzentrale darauf hin, dass vor allem eine unseriöse Absenderadresse, eine unpersönliche Anrede, die Aussicht auf eine Steuererstattung und die Aufforderung zum Anklicken eines Links deutliche Warnzeichen sind. Verdächtige Nachrichten sollten daher besonders sorgfältig geprüft werden. Selbst wenn die Mail auf den ersten Blick professionell gestaltet ist, können kleine Abweichungen bei der E-Mail-Adresse oder der Internetadresse der verlinkten Seite auf eine Fälschung hindeuten. Das echte "Mein-ELSTER" informiert zwar über neue Nachrichten im Postfach, fordert Nutzer jedoch nicht dazu auf, ihre Zugangsdaten über einen Link in einer E-Mail einzugeben. Wer einen Steuerbescheid abrufen möchte, sollte das Portal ausschließlich über die selbst eingegebene Internetadresse oder einen bereits gespeicherten Favoriten öffnen und dort prüfen, ob tatsächlich eine neue Mitteilung vorliegt.

Typische Erkennungsmerkmale: Woran man gefälschte ELSTER-Mails erkennt

Kriminelle setzen gezielt auf Situationen, in denen viele Menschen ohnehin auf Post vom Finanzamt warten. Dadurch wirken Hinweise auf einen Steuerbescheid oder eine Steuererstattung besonders glaubwürdig. Dennoch gibt es typische Merkmale, an denen sich die derzeit kursierende ELSTER-Phishing-Mail erkennen lässt:

  • Unpersönliche Anrede wie "Sehr geehrte/r Steuerzahler/in" statt des eigenen Namens
  • Versprechen einer Steuererstattung oder Ankündigung eines abrufbaren Steuerbescheids
  • Künstlicher Zeitdruck: Behauptung, Unterlagen seien nur kurze Zeit abrufbar oder eine Auszahlung verfalle
  • Aufforderung, einen Link anzuklicken, um Zugangsdaten einzugeben oder eine Auszahlung zu bestätigen
  • Verdächtige Absenderadresse: kleine Abweichungen von offiziellen Domains wie @elster.de
  • Gefälschte Verlinkung: Die Zieladresse weicht von der offiziellen ELSTER-Seite ab – erkennbar an zusätzlichen Buchstaben, ungewöhnlichen Domain-Endungen oder scheinbar offiziellen Adressen mit kleinen Unterschieden

Ein besonders häufiges Mittel der Täter ist der künstliche Zeitdruck. Die Empfänger sollen möglichst sofort handeln, bevor sie die Nachricht genauer prüfen. Solche Fristen sollen dazu führen, dass Betroffene aus Sorge oder Neugier vorschnell reagieren – eine Methode, die Betrüger nicht nur bei ELSTER, sondern regelmäßig auch bei Banken, Krankenkassen oder Zahlungsdiensten einsetzen. Auf Smartphones ist die vollständige Zieladresse hinter einem Link häufig nicht sofort sichtbar. Deshalb empfiehlt es sich grundsätzlich, keine Links aus unerwarteten E-Mails zu öffnen, sondern bekannte Internetseiten immer selbst aufzurufen.

Wie unter anderem auch der NDR berichtet, enthalten viele Phishing-Mails zudem sprachliche Auffälligkeiten: Dazu gehören ungewöhnliche Groß- und Kleinschreibungen, Übersetzungsfehler, unpassende Formulierungen oder wechselnde Schriftarten. Zwar werden die Fälschungen technisch immer professioneller, dennoch finden sich häufig kleine Ungereimtheiten, die bei genauerem Lesen auffallen. Auch fehlende persönliche Daten oder allgemein gehaltene Formulierungen sollten misstrauisch machen.

Gefährlicher Trend: KI macht Phishing-Mails kaum noch erkennbar

Eine neue Dimension erreicht der Betrug durch den Einsatz künstlicher Intelligenz. Sicherheitsbehörden und Verbraucherschützer beobachten, dass mittlerweile über 80 Prozent aller Phishing-Mails mithilfe von KI-Werkzeugen erstellt werden. Das hat weitreichende Folgen: Früher verräterische Merkmale wie Rechtschreibfehler, holprige Formulierungen oder ungewöhnliche Zeichensetzung treten bei KI-generierten Nachrichten kaum noch auf. Die Texte sind flüssig, wirken behördlich und sind sprachlich kaum von echten Mitteilungen zu unterscheiden – was die Erkennung von Betrugsversuchen deutlich erschwert.

Für ELSTER-Nutzer bedeutet das: Allein auf sprachliche Qualität als Echtheitsmerkmal zu vertrauen, reicht nicht mehr aus. Stattdessen sollten strukturelle Merkmale im Vordergrund stehen – also die Frage, ob eine E-Mail überhaupt einen Link zur Dateneingabe enthält, ob die Absenderdomain exakt stimmt und ob der genannte Sachverhalt zeitlich plausibel ist. Echte Behörden fordern grundsätzlich keine Zugangsdaten per E-Mail-Link an. Wer eine solche Aufforderung erhält, sollte die Nachricht unabhängig von ihrem sprachlichen Erscheinungsbild als Phishing-Versuch behandeln.

Phishing-Mail erhalten: Richtig reagieren und im Ernstfall schnell handeln

Verdächtige Nachrichten sollten – wie auch das Bundesamt für Sicherheit und Informationstechnik empfiehlt – grundsätzlich nicht geöffnet, nicht beantwortet, keine Anhänge geöffnet und keine Links angeklickt werden. Stattdessen sollten solche E-Mails direkt in den Spam-Ordner verschoben werden. Wer eine verdächtige Nachricht erhalten hat, kann sie zusätzlich an die zuständige Mail-Adresse der Verbraucherzentrale weiterleiten. Die eingehenden Meldungen werden anonymisiert ausgewertet und fließen in das regelmäßig veröffentlichte Phishing-Radar ein. Aufgrund der großen Anzahl eingehender Hinweise erfolgt allerdings keine individuelle Antwort auf eingesandte E-Mails.

Ergänzend empfiehlt die Verbraucherzentrale, Phishing-Mails auch an das Unternehmen oder die Behörde weiterzuleiten, deren Identität missbraucht wird. Viele Institutionen stellen dafür auf ihrer Internetseite spezielle Kontaktadressen zur Verfügung. Auf diese Weise können neue Betrugswellen schneller erkannt und andere Nutzer gewarnt werden.

Wer bereits auf den Link geklickt und Zugangsdaten eingegeben hat, sollte umgehend handeln: Das Passwort des ELSTER-Kontos muss sofort geändert werden, sofern der Zugang noch möglich ist. Zusätzlich empfiehlt es sich, die Sicherheitsfunktionen des Kontos zu überprüfen und gegebenenfalls das zuständige Finanzamt zu informieren. Wurden darüber hinaus Bankdaten oder Kreditkarteninformationen eingegeben, sollte unverzüglich die eigene Bank kontaktiert werden, um mögliche Schäden zu begrenzen.

Vorschaubild: © Marijan Murat/dpa/Illustration