Viele Steuerzahler erhalten derzeit E-Mails mit einer angeblichen Steuererstattung: Dahinter steckt häufig Phishing. So erkennen Sie die Fälschungen und schützen Ihre Daten.
Viele warten in diesen Wochen auf ihren Steuerbescheid oder hoffen auf eine Steuererstattung. Genau diese Situation nutzen Kriminelle derzeit gezielt aus: So warnt die Verbraucherzentrale aktuell vor einer neuen Welle betrügerischer E-Mails, die angeblich vom ELSTER-Steuerportal stammen. Tatsächlich führen die enthaltenen Links jedoch nicht zum offiziellen Steuerportal, sondern auf gefälschte Internetseiten. Dort sollen Nutzer ihre Zugangsdaten eingeben oder weitere persönliche Informationen preisgeben.
Wie sieht die aktuelle ELSTER Phishing-Mail aus?
Die derzeit kursierenden Nachrichten orientieren sich optisch stark an echten Mitteilungen des Steuerportals. Besonders häufig werden dabei Betreffzeilen wie "Ihr elektronischer Steuerbescheid für 2026 ist abrufbar" oder "Ihre Steuererstattung 2026 steht zur Auszahlung bereit" benutzt. Im Text wird dann behauptet, im persönlichen "Mein-ELSTER-Postfach" liege ein neuer Steuerbescheid oder eine Auszahlung warte auf den Empfänger. Damit soll der Eindruck entstehen, dass lediglich ein Klick erforderlich sei, um wichtige Steuerunterlagen einzusehen.
Auffällig ist, dass viele dieser Phishing-Mails fast identisch aufgebaut sind. Nach einer meist unpersönlichen Anrede wie "Sehr geehrte/r Steuerzahler/in" folgt der Hinweis auf einen angeblich bereitstehenden Steuerbescheid oder eine Steuererstattung. Teilweise wird sogar ein konkreter Erstattungsbetrag genannt, der in zahlreichen Mails identisch ist. Anschließend werden die Empfänger aufgefordert, den beigefügten Link anzuklicken, um die Unterlagen abzurufen oder die Auszahlung zu bestätigen. Die verlinkte Internetseite ähnelt häufig dem offiziellen ELSTER-Portal und übernimmt Farben, Logos oder Gestaltungselemente. Ziel ist es, Vertrauen zu schaffen und Nutzer zur Eingabe persönlicher Zugangsdaten zu bewegen: Wer dort seinen ELSTER-Benutzernamen, das Passwort oder weitere Sicherheitsmerkmale eingibt, übermittelt diese direkt an die Täter.
Die Verbraucherzentrale weist im Rahmen ihres Phishing-Radars darauf hin, dass vor allem eine unseriöse Absenderadresse, eine unpersönliche Anrede, die Aussicht auf eine Steuererstattung und die Aufforderung zum Anklicken eines Links deutliche Warnzeichen sind. Verdächtige Nachrichten sollten daher besonders sorgfältig geprüft werden. Selbst wenn die Mail auf den ersten Blick professionell gestaltet ist, können kleine Abweichungen bei der E-Mail-Adresse oder der Internetadresse der verlinkten Seite auf eine Fälschung hindeuten. So informiert das echte "Mein-ELSTER" zwar über neue Nachrichten im Postfach, fordert Nutzer jedoch nicht dazu auf, ihre Zugangsdaten über einen Link in einer E-Mail einzugeben. Wer einen Steuerbescheid abrufen möchte, sollte das Portal ausschließlich über die selbst eingegebene Internetadresse oder einen bereits gespeicherten Favoriten öffnen und dort prüfen, ob tatsächlich eine neue Mitteilung vorliegt.
Woran erkennt man, dass es sich um eine gefälschte Mail handelt?
Betrüger setzen gezielt auf Situationen, in denen viele Menschen ohnehin auf Post vom Finanzamt warten. Dadurch wirken Hinweise auf einen Steuerbescheid oder eine Steuererstattung besonders glaubwürdig. Dennoch gibt es typische Merkmale, an denen sich die derzeit kursierende ELSTER-Phishing-Mail erkennen lässt. Dazu gehören unpersönliche Anreden, ungewöhnliche Formulierungen, eine auffällige Dringlichkeit sowie Links, die nicht direkt auf die offizielle ELSTER-Seite führen.
Ein häufiges Mittel der Täter ist außerdem ein künstlicher Zeitdruck. Die Empfänger sollen möglichst sofort handeln, bevor sie die Nachricht genauer prüfen. In vielen Phishing-Kampagnen wird behauptet, dass Unterlagen nur für kurze Zeit abrufbar seien oder eine Auszahlung verfällt, wenn der Link nicht umgehend angeklickt wird. Solche Fristen sollen dazu führen, dass Betroffene aus Sorge oder Neugier vorschnell reagieren. Dieses Vorgehen nutzen Betrüger nicht nur bei ELSTER, sondern regelmäßig auch bei Banken, Krankenkassen oder Zahlungsdiensten. Die Internetadresse hinter dem Link liefert ebenfalls wichtige Hinweise: Bereits ein zusätzlicher Buchstabe, eine ungewöhnliche Domain-Endung oder eine scheinbar offizielle Adresse mit kleinen Abweichungen kann auf eine Fälschung hindeuten. Auf Smartphones ist die vollständige Zieladresse häufig nicht sofort sichtbar. Deshalb empfiehlt es sich grundsätzlich, keine Links aus unerwarteten E-Mails zu öffnen, sondern bekannte Internetseiten immer selbst aufzurufen.
Wie unter anderem auch der NDR berichtet, enthalten viele Phishing-Mails zudem sprachliche Auffälligkeiten: Dazu gehören ungewöhnliche Groß- und Kleinschreibungen, Übersetzungsfehler, unpassende Formulierungen oder wechselnde Schriftarten. Zwar werden die Fälschungen technisch immer professioneller, dennoch finden sich häufig kleine Ungereimtheiten, die bei genauerem Lesen auffallen. Auch fehlende persönliche Daten oder allgemein gehaltene Formulierungen sollten misstrauisch machen.