ELSTER-Phishing erkennen
Das Wichtigste in Kürze
- Finanzämter schicken niemals Anmeldelinks per E-Mail: Eine echte ELSTER-Benachrichtigung enthält ausschließlich den Hinweis, dass neue Dokumente im Portal bereitstehen. Es gibt keinen Link und keine Handlungsaufforderung.
- Legitime ELSTER-Benachrichtigungen kommen ausschließlich von Adressen mit der Domain elster.de. Betrüger nutzen optisch ähnliche Adressen wie „e1ster.de" (mit der Zahl 1 statt dem Buchstaben l) oder frei erfundene Domains wie „elster-steuer-portal-2026.de".
- Passwort ändern nur bei tatsächlichem Datenverlust: Wer eine Phishing-Mail erkennt und nichts angeklickt hat, muss sein Passwort nicht ändern. Sofortmaßnahmen wie Passwortänderung, 2FA-Aktivierung und Virenscan sind nur dann notwendig, wenn bereits Daten eingegeben wurden.
- ELSTER-Betrug funktioniert meist über gefälschte Steuererklärungen: Kriminelle reichen im Namen des Opfers eine manipulierte Steuererklärung ein und leiten die Erstattung auf ein fremdes Konto um.
ELSTER ist das Portal für die elektronische Steuererklärung in Deutschland. Es wird von der Finanzverwaltung Deutschland betrieben. Millionen Bürger nutzen es jährlich. Dadurch entsteht eine große Angriffsfläche. Steuerdaten wie die Steuer-ID, Bankverbindungen, Zugangsdaten und Steuerbescheide sind für Cyberkriminelle besonders wertvoll. Diese Daten sind oft das Ziel von Identitätsdiebstahl.
Schützen können Sie sich bis zu einem gewissen Maß gegen die daraus resultierenden Betrugsfälle, indem Sie Steuersoftware wie WISO Steuer oder Taxfix nutzen. Programme und Apps kommunizieren ausschließlich über offizielle ELSTER-Schnittstellen. Erfahren Sie in diesem Ratgeber, worauf Sie achten müssen und wie Sie Risiken minimieren können.
Was ist ELSTER und warum ist es ein Ziel für Phishing?
Darum geht es
- Gespeicherte Zertifikate und Zugänge sind attraktive Ziele.
- Das Finanzamt schickt niemals unaufgefordert Links per E-Mail.
ELSTER steht für „Elektronische Steuererklärung". Es wird von der Finanzverwaltung Deutschland betrieben und ist mit dem Bundesfinanzministerium verbunden. Die offizielle Webseite lautet elster.de.
Für Kriminelle ist ELSTER aus mehreren Gründen attraktiv. Die Steuer-ID ist einmalig und lebenslang gültig. Sie ermöglicht Identitätsmissbrauch auf vielen Ebenen. Das ELSTER-Zertifikat, gespeichert als .pfx- oder .p12-Datei, dient als digitale Unterschrift. Wer dieses Zertifikat stiehlt, kann im Namen des Opfers Steuererklärungen einreichen.
Das Finanzamt schickt niemals einen Anmeldelink per E-Mail. Eine echte Benachrichtigung lautet sinngemäß: „In Ihrem ELSTER-Postfach liegt eine neue Nachricht bereit."
Alternativ führt zertifizierte Steuersoftware Sie durch offizielle Wege durch die Steuererklärung. Das verringert die Wahrscheinlichkeit, auf gefälschten Seiten zu landen.
Wie funktioniert Phishing im Steuerkontext?
Darum geht es
- Phishing bezeichnet den betrügerischen Versuch, Zugangsdaten oder Finanzdaten zu stehlen.
- Angreifer setzen auf psychologischen Druck, Dringlichkeit und täuschend echte Aufmachung.
Bei Phishing (englisch für „Angeln") handelt es sich um den Betrug per E-Mail, SMS oder Telefon. Ziel der Betrüger ist es, sich Zugangsdaten, Bankdaten oder Steuerinformationen zu erschleichen.
Im Steuerkontext nutzen Angreifer verschiedene Techniken. Social Engineering bedeutet, Vertrauen durch gezielte Manipulation aufzubauen. Spear-Phishing bezeichnet personalisierte Angriffe auf bestimmte Zielgruppen, etwa Steuerzahler mit laufender Erklärung. Spoofing meint das Fälschen von Absenderadressen, sodass eine E-Mail von elster.de zu stammen scheint.
Typische Mittel sind Fake-E-Mails mit täuschend echten Logos, Links zu gefälschten Webseiten und Dateianhänge mit Schadsoftware. Dateiendungen mit .exe, .zip oder .docm sollten in diesem Kontext misstrauisch begutachtet werden. In den Dateien können sich Keylogger verbergen, also Software, die Tastatureingaben heimlich aufzeichnet.
Meist funktioniert der Betrug, indem Druck erzeugt, ein Klick provoziert, Daten abgegriffen und die Identität des Opfers missbraucht wird.
WISO Steuer 2026 (Steuerjahr 2025)
- Funktioniert auf allen gängigen Betriebssystemen (Windows, macOS, iOS, Android und Linux)
- Jahresversion für bis zu 5 Steuererklärungen
Taxfix Standard 1 Jahr
- Geeignet für die elektronische Steuererklärung online
- Funktioniert auf Smartphone und Computer
- Erstellt auch die rückwirkende Steuererklärung
- Kostenlos bis zur Berechnung der Erstattung
Wie erkenne ich Phishing?
Darum geht es
- Gefälschte E-Mails, SMS und Webseiten haben erkennbare Muster.
- Ein einfacher Vergleich von echten und betrügerischen Merkmalen kann helfen.
- Echte ELSTER-Mails enthalten niemals Anmeldelinks.
E-Mail-Phishing erkennen
Prüfen Sie den Absender. Offizielle ELSTER-Benachrichtigungen kommen ausschließlich zentral von ELSTER und tragen ausnahmslos die Domain elster.de. Adressen wie „elster-support@steuer-portal.de" oder „finanzamt-benachrichtigung@gmail.com" sowie vermeintliche Adressen von lokalen Finanzämtern sind eindeutig gefälscht.
Analysieren Sie den Ausdruck und die Wortwahl. Generische Anreden wie „Sehr geehrter Steuerzahler" sind ein Warnsignal. Künstliche Dringlichkeit wie „Handeln Sie innerhalb von 24 Stunden" oder Drohungen wie „Ihr Konto wird gesperrt" sind klassische Manipulationsmuster.
Links prüfen Sie mit dem sogenannten Hover-Test. Bewegen Sie die Maus über den Link, ohne zu klicken. Die angezeigte Zieladresse erscheint unten im Browser. Adressen wie „elster-steuer-portal-2026.de" sind gefälscht. Nur „mein.elster.de" und „www.elster.de" sind offiziell.
Öffnen Sie nie Anhänge aus unaufgeforderten E-Mails. Selbst PDF-Dateien können Schadsoftware enthalten.
SMS-Phishing (Smishing)
Smishing (SMS + Phishing) funktioniert über Kurznachrichten. Texte wie „Ihre Steuererklärung muss bestätigt werden – klicken Sie hier" werden häufig genutzt. Kurz-URLs wie bit.ly verbergen das tatsächliche Ziel. Unbekannte Rufnummern sind ein weiteres Warnsignal.
Telefonbetrug (Vishing)
Beim Vishing (Voice + Phishing) melden sich angebliche Mitarbeiter des Finanzamts. Sie fragen nach Passwort, PIN oder Steuer-ID. Aber Finanzämter fragen am Telefon niemals nach Passwörtern oder PINs. Rückrufnummern sollten Sie daher immer selbst recherchieren und nicht aus der eingehenden Nachricht übernehmen.
Fake-Webseiten erkennen
Prüfen Sie die URL immer genau. Nur mein.elster.de ist das echte Portal. Betrüger setzen oft auf sogenannte Homoglyphen-Angriffe (Typosquatting) und ersetzen Buchstaben durch optisch fast identische Zeichen – etwa die Zahl 1 statt dem kleinen Buchstaben l, was zu gefälschten Adressen wie „e1ster.de" führt. Solche Adressen sehen im Browser auf den ersten Blick täuschend echt aus. Designfehler, veraltete Logos oder ein fehlendes Impressum sind weitere Hinweise.
Welche Phishing-Methoden sind 2026 aktuell?
Darum geht es
- KI-generierte Mails und Deepfakes machen Angriffe schwerer erkennbar.
- Quishing (QR-Code-Phishing) umgeht klassische Sicherheitssoftware.
- Fake-Apps und gefälschte Steuerbescheide sind neue Angriffsvektoren.
Angriffe werden 2026 zunehmend gezielter. KI-generierte Phishing-Mails enthalten kaum noch Rechtschreibfehler. Deepfake-Anrufe ahmen Stimmen von Behördenmitarbeitenden nach.
Besonders perfide ist Quishing. Dabei handelt es sich um QR-Codes in E-Mails oder Briefen, die auf gefälschte Webseiten führen. Für Sicherheitssoftware sind QR-Codes in Mails schwerer als Textlinks zu identifizieren. Weil Behörden und Banken QR-Codes für legitime Zwecke nutzen, wirken sie unverdächtig.
Auch relevant sind Fake-ELSTER-Apps in inoffiziellen App-Stores, Phishing mit gefälschten Steuerbescheiden per Post sowie Zahlungsaufforderungen per Bitcoin oder über angebliche Gebührenportale. Diese Forderungen kommen niemals in dieser Form von einem echten Finanzamt.
Was tun bei Verdacht auf ELSTER-Phishing?
Darum geht es
- Sofortmaßnahmen bei verdächtigen Inhalten.
- Bei Datenverlust sofort Bank und ELSTER-Support informieren.
- Angriffe bei offiziellen Stellen melden.
Sofortmaßnahmen im Verdachtsfall:
Szenario A: Sie haben die Phishing-Mail entlarvt und nichts angeklickt
- Reagieren oder antworten Sie keinesfalls auf die Nachricht.
- Sperren Sie den Absender in Ihrer E-Mail-Anwendung.
- Markieren Sie die Nachricht als Spam oder löschen Sie diese.
Hinweis: In diesem Fall ist keine Passwortänderung notwendig, da keine Daten übertragen wurden.
Szenario B: Sie haben einen Link geklickt oder sensible Daten eingegeben
- Ändern Sie sofort das Passwort für Ihr ELSTER-Konto über die offizielle Seite (mein.elster.de).
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA), falls noch nicht geschehen.
- Führen Sie einen vollständigen Virenscan mit aktueller Sicherheitssoftware durch.
- Bei Verdacht auf abgeflossene Bankdaten informieren Sie unverzüglich Ihre Bank, um Konten oder Karten zu sperren.
- Kontaktieren Sie Ihr zuständiges Finanzamt, um zu melden, dass Ihre ELSTER-Identität kompromittiert wurde.
Kriminelle leiten häufig keine Kontozahlungen um, sondern reichen gefälschte Steuererklärungen ein. Das Finanzamt zahlt die Erstattung dann auf ein fremdes Konto aus. Das Opfer haftet dabei grundsätzlich nicht für den entstandenen Schaden, muss aber aktiv Einspruch einlegen. Wer das bemerkt, wendet sich sofort ans zuständige Finanzamt.
Der ELSTER-Support unter elster.de, das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter bsi.bund.de, die Verbraucherzentrale sowie die Polizei beziehungsweise die Cybercrime-Meldestellen der Bundesländer sind offizielle Anlaufstellen.
Wie schützen Sie sich dauerhaft vor ELSTER-Phishing?
Darum geht es
- Technische und verhaltensbezogene Schutzmaßnahmen ergänzen sich.
- Passwörter, Updates und Zertifikate sind wichtig.
- Misstrauen bei Zeitdruck oder Drohungen ist immer angebracht.
Technische Schutzmaßnahmen
Nutzen Sie ausschließlich offizielle Kanäle für die Steuererklärung. Verwenden Sie starke, einzigartige Passwörter. Aktualisieren Sie Ihr Betriebssystem und Sicherheitssoftware regelmäßig. Speichern Sie ELSTER-Zertifikate nur auf vertrauenswürdigen, persönlichen Geräten. Führen Sie regelmäßige Datensicherungen (Backups) durch, die vor Datenverlust durch Schadsoftware schützen.
Verhaltensregeln
Geben Sie keine Steuerdaten auf Anfrage per E-Mail, SMS oder Telefon preis. Loggen Sie sich im Zweifel direkt auf elster.de ein. Bei Zeitdruck oder Drohungen in Nachrichten immer misstrauisch sein.
Wer WISO Steuer oder Taxfix nutzt, übermittelt Daten ausschließlich über offizielle ELSTER-Schnittstellen. Der geführte Prozess verringert die Wahrscheinlichkeit, versehentlich auf einer Fake-Seite Daten einzugeben.
WISO Steuer 2026 (Steuerjahr 2025)
- Funktioniert auf allen gängigen Betriebssystemen (Windows, macOS, iOS, Android und Linux)
- Jahresversion für bis zu 5 Steuererklärungen
Taxfix Standard 1 Jahr
- Geeignet für die elektronische Steuererklärung online
- Funktioniert auf Smartphone und Computer
- Erstellt auch die rückwirkende Steuererklärung
- Kostenlos bis zur Berechnung der Erstattung
Welche rechtlichen Aspekte und Haftung gibt es bei Datenklau?
Darum geht es
- Phishing ist in Deutschland strafbar nach § 263a StGB (Computerbetrug).
- Beim ELSTER-Betrug geht es oft um Identitätsdiebstahl, nicht um Kontoabbuchungen.
- Opfer haften grundsätzlich nicht, müssen aber aktiv handeln.
Wer andere durch gefälschte Steuererklärungen schädigt, macht sich nach § 263a StGB (Computerbetrug) strafbar. Das gilt auch für den Diebstahl von Zugangsdaten.
Der typische ELSTER-Betrug unterscheidet sich von Kreditkartenbetrug grundlegend. Kriminelle reichen im Namen des Opfers eine gefälschte Steuererklärung ein. Das Finanzamt überweist die Erstattung dann auf ein fremdes Konto.
Wer Opfer wird, hat Anspruch auf Richtigstellung beim Finanzamt. Einspruch gegen fehlerhafte Steuerbescheide kann innerhalb eines Monats nach Bekanntgabe eingelegt werden. Die DSGVO gibt Betroffenen das Recht auf Auskunft darüber, welche Daten verarbeitet wurden.
Unternehmen und Steuerberater tragen eine besondere Sorgfaltspflicht beim Umgang mit Steuerdaten Dritter.
Welche hilfreichen Tools und Ressourcen zur Prüfung gibt es?
Darum geht es
- Whois und VirusTotal sind kostenfrei und sofort einsetzbar.
- Das BSI bietet eine offizielle Phishing-Meldeplattform.
Folgende Werkzeuge helfen bei der Prüfung verdächtiger Inhalte:
VirusTotal (virustotal.com): Datei oder Link hochladen und auf Schadsoftware prüfen lassen. Der Dienst ist kostenlos und ohne Registrierung nutzbar.
Whois-Abfrage: Über Dienste wie denic.de lässt sich prüfen, wer eine Domain registriert hat und seit wann sie existiert (nur de-Domains). Eine Domain wie „elster-steuer-portal.de", die seit zwei Wochen existiert, ist verdächtig.
BSI-Phishing-Meldestelle: Verdächtige Mails können über bsi.bund.de gemeldet werden.
Browser-Erweiterungen seriöser Sicherheitsanbieter warnen automatisch vor bekannten Phishing-Seiten.
E-Mail-Header analysieren: In jedem E-Mail-Programm lassen sich die vollständigen Kopfzeilen einer Mail anzeigen. Dort ist der tatsächliche Absender-Server sichtbar, der oft vom angezeigten Absendernamen abweicht.
Der ELSTER-Sicherheitsbereich unter elster.de enthält aktuelle Warnhinweise zu bekannten Betrugsmaschen.
[Autor: NF]
Häufige Fragen und Antworten zum ELSTER-Phishing
Antwort: Ja. Loggen Sie sich direkt auf mein.elster.de ein und prüfen Sie unter „Formulare“ -> „Übermittelte Formulare“ bzw. „Posteingang“ die Liste der eingereichten Erklärungen und Bescheide. Taucht dort eine Erklärung auf, die Sie nicht selbst abgeschickt haben, wenden Sie sich sofort an Ihr zuständiges Finanzamt. Zusätzlich können Sie beim Finanzamt das Sperren des Online-Zugangs bzw. das Hinterlegen eines Sperrvermerks für Kontoänderungen beantragen.
Antwort: Ein gestohlenes ELSTER-Zertifikat erlaubt es Angreifern, sich als Sie zu authentifizieren und Steuererklärungen zu übermitteln. Widerrufen lässt sich ein kompromittiertes Zertifikat direkt über mein.elster.de unter „Mein Benutzerkonto“. Dort können Sie ein neues Zertifikat ausstellen und das alte ungültig machen lassen. Danach sollten Sie alle Geräte, auf denen das alte Zertifikat gespeichert war, mit einem Virenscan überprüfen.
Wurde Ihnen auch das Passwort entwendet und haben Sie deshalb keinen Zugriff mehr, dann können Sie das Zertifikat über die öffentliche ELSTER-Sperrhotline oder die ELSTER-Webseite ohne Login (über die Funktion „Zugangserneuerung“ oder „Konto löschen / sperren“) ungültig machen.
Antwort: Nein. Ein VPN schützt Sie nicht vor Phishing. Ein VPN verschlüsselt lediglich die Datenübertragung zwischen Ihrem Gerät und dem VPN-Server. Es verhindert aber weder, dass Sie auf eine gefälschte Webseite gelangen, noch dass Sie dort freiwillig Daten eingeben. Schutz vor Phishing bieten stattdessen ein aktueller Browser mit eingebautem Phishing-Filter, Browser-Erweiterungen seriöser Sicherheitsanbieter und konsequente URL-Prüfung vor jeder Dateneingabe.
Antwort: Die gesetzliche Einspruchsfrist beträgt einen Monat ab dem Tag, an dem der Bescheid als bekannt gegeben gilt. Bei postalischer Zustellung gilt gemäß § 122 AO der dritte Tag nach Aufgabe zur Post als Bekanntgabe. Verpassen Sie diese Frist, wird der Bescheid bestandskräftig. Im Ausnahmefall kann eine Wiedereinsetzung in den vorigen Stand (§ 110 AO) beantragt werden, wenn Sie die Frist ohne eigenes Verschulden verpasst haben. Handeln Sie daher sofort, sobald Ihnen ein unbekannter Bescheid zugeht.
Die Informationen auf dieser Webseite werden ausschließlich zu Informationszwecken bereitgestellt und sollen nicht als Ersatz für eine professionelle Beratung dienen. Alle Angaben sind ohne Gewähr.
Die Webseite kann Verlinkungen zu Webseiten von anderen Anbietern enthalten. Wir kontrollieren oder bewerten den Inhalt dieser Seiten nicht. Wir übernehmen außerdem keine Verantwortung oder Haftung für die Produkte oder Dienstleistungen auf diesen Seiten.