Steuererklärungen ohne Phishing, Betrug und Malware

In vielen Ländern müssen Einkommensteuererklärungen traditionell im Frühling abgegeben werden. Die damit verbundenen Dokumente sind eine echte Goldgrube für Bösewichte. Sie enthalten eine Fülle persönlicher Daten über berufliche Laufbahn, Einkommen, Vermögen, Bankkontodaten und vieles mehr. Keine Überraschung also, dass Betrüger in dieser Zeit besonders aktiv werden. Und so wimmelt es auch jetzt wieder von gefälschten Websites, die den Seiten von Steuerbehörden und anderen staatlichen Einrichtungen täuschend ähnlich sehen.

Da die Zeit drängt und noch Berge von Belegen und Rechnungen eingeordnet werden müssen, kommt es häufig zu Unachtsamkeit. In der Eile wird leicht übersehen, dass eine Website, auf der man seine Finanzdaten eingibt, gar nichts mit dem Finanzamt zu tun hat, oder dass eine heruntergeladene Datei, die angeblich von einem Steuerberater stammt, in Wirklichkeit Malware enthält.

Wir erklären, wie solche betrügerischen Websites von „Steuerbehörden“ in verschiedenen Ländern funktionieren und was du unbedingt vermeiden solltest. Andernfalls sind dein Geld und deine sensiblen Informationen in höchster Gefahr.

Angeln nach Steuerdaten

Auch in diesem Frühjahr haben Angreifer in zahlreichen Ländern Websites von Steuerbehörden gefälscht. Darunter die Seiten offizieller Behörden aus Deutschland, Frankreich, Österreich, der Schweiz, Brasilien, Chile und Kolumbien. Auf diesen betrügerischen Websites stehlen Kriminelle persönliche Daten und Anmeldeinformationen für legitime Dienste. Oder sie versprechen Steuervergünstigungen und hoffen, dass leichtsinnige Opfer ihre Kreditkartendaten eingeben. In manchen Fällen verlangen sie sogar eine Gebühr für die hinterlistigen Dienstleistungen.

Diese Website ahmt die chilenische Steuerbehörde nach. Das Opfer soll seine Kreditkarteninformationen eingeben, um eine Steuerrückerstattung zu erhalten: umgerechnet etwa 375 US-Dollar. Stattdessen wird das Geld vom Konto des Opfers abgebucht und direkt an die Betrüger überwiesen

Zur Taktik gehören manchmal auch Beschuldigungen, die von gefälschten Behörden erhoben werden. Auf der folgenden Abbildung informiert beispielsweise der „Leiter der Steuerprüfung“ aus Paris das Opfer über unvollständige Einkommensangaben. Um einer Strafe zu entgehen, soll der Nutzer ein Dokument herunterladen und Korrekturen vornehmen. Und zwar möglichst schnell. Die PDF-Datei enthält jedoch etwas viel Schlimmeres: Malware.

Statt eines offiziellen Dokuments der französischen Steuerbehörde wird dem Nutzer eine PDF-Datei mit Malware untergeschoben

In Kolumbien fordert die „Nationale Steuer- und Zollbehörde“ (Vorsicht Fake!) die Nutzer zum Download von Dokumenten auf, die dann „mit einem Sicherheitsschlüssel entsperrt“ werden sollen. Tatsächlich ist es aber ein passwortgeschütztes ZIP-Archiv mit bösartigem Inhalt.

Wenn der Nutzer das Passwort eingibt, wird ein schädliches Archiv geöffnet und das Gerät wird infiziert

Unsere Experten entdeckten nicht nur Phishing-Websites, die legitime Ressourcen imitieren. Sie fanden auch falsche Websites, die kostenpflichtige Dienste für das Ausfüllen und Prüfen von Steuerdokumenten versprechen – und stattdessen wertvolle Daten stehlen, z. B. brasilianische Steueridentifikationsnummern (TIN).

Steuerfreie Krypto-Gewinne

Angreifer haben bekanntlich eine besondere Vorliebe für Krypto-Besitzer. Ein gefälschtes Online-Finanzamt verlangt, dass Wallet-Besitzer ihre „Kryptowährungsbestände digital bestätigen“, und verweist dabei auf EU-Steuervorschriften. Natürlich hat die falsche ELSTER auch eine „gute Neuigkeit“ parat: Sie behauptet, Krypto-Einnahmen seien steuerfrei! Um diesen willkommenen Vorteil zu genießen, müssen die Nutzer jedoch eine „Bestätigung“ abgeben. Auch an Sicherheit ist gedacht: Die Daten werden angeblich mit dem Protokoll „2048-Bit SSL“ verschlüsselt.

Zum Abschluss der Bestätigung werden die Nutzer aufgefordert, ihre Seed-Phrase einzugeben – eine eindeutige Kombination aus Wörtern, die mit einem Krypto-Wallet verknüpft ist und der vollständigen Wiederherstellung dient. Die Abfrage ist mit einer Drohung verbunden: Eine Verweigerung der Datenbereitstellung kann empfindliche rechtliche Konsequenzen nach sich ziehen. Etwa eine Geldbuße von bis zu einer Million Euro oder strafrechtliche Verfolgung.

Mit einem ähnlichen Trick wurde auch versucht, französische Nutzer hereinzulegen. Die Angreifer erstellten ein ebenfalls fiktives „Portal für steuerliche Konformität im Kryptobereich“. Das Design ist der Seite des französischen Ministeriums für Wirtschaft, Finanzen und digitale Souveränität nachempfunden. Die Phishing-Website fordert Einwohner von Frankreich sehr nachdrücklich dazu auf, eine „Deklaration digitaler Vermögenswerte“ abzugeben.

Zuerst werden persönliche Daten abgefragt. Dann soll der Nutzer entweder die Seed-Phrase eintippen oder das Krypto-Wallet mit dem Portal „verlinken“. Wenn er dies tut, ist es um sein Kryptoguthaben geschehen. Ziele sind hier Wallets von MetaMask, Binance, Coinbase, Trust Wallet und WalletConnect.

Kann KI bei der Steuererklärung helfen?

Text generieren und Tabellen ausfüllen – alles kein Problem für die KI. Warum sollte man den langweiligen Bürokram nicht einfach der KI überlassen? Die Versuchung ist groß. Leider können die Folgen gravierend sein. Erstens verarbeiten alle gängigen Chatbots die eingegebenen Daten auf ihren Servern. Risiko: Deine vertraulichen Informationen könnten durchsickern. Zweitens macht KI manchmal ganz törichte Fehler, die zu Ärger mit dem Finanzamt führen können.

Bevor du einem Chatbot oder einem KI-Agenten erzählst, wie viel Geld du im letzten Jahr verdient hast, und ihm persönliche Informationen und Bankdaten überreichst, solltest du daran denken, wie häufig bei KI-basierten Diensten Datenlecks auftreten. Dieses Risiko sollte keinesfalls unter den Tisch gekehrt werden. Du solltest dein Einkommen nicht mit der KI besprechen. Behalte persönliche Daten (Name, Adresse usw.) für dich. Und lade niemals Fotos oder Nummern wichtiger Dokumente hoch (Personalausweis, Versicherungsdaten oder Sozialversicherungsnummer). Dateien, in denen sich vertrauliche Informationen befinden, sollten in verschlüsselten Containern aufbewahrt werden, z. B. mit Kaspersky Password Manager.

Wenn du trotzdem KI-Tools verwenden möchtest, führe sie lokal aus. Dies ist auch auf einem gewöhnlichen Laptop kostenlos möglich. Am Beispiel von DeepSeek haben wir bereits erklärt, wie man lokale Sprachmodelle einrichtet. Zugegeben, die Antwortqualität lokaler Modelle lässt oft zu wünschen übrig. Es kann auch sein, dass die manuelle Überprüfung einer KI-generierten Antwort länger dauert, als den Papierkram gleich von Hand zu erledigen. Nicht zu vergessen: Bei Fehlern bist du gegenüber dem Finanzamt verantwortlich, nicht der KI.

Vorsicht auch bei KI-Modellen, die „Unterstützung“ bei der Steuererklärung anbieten, in Wirklichkeit aber nur Phishing im Sinn haben. Kaspersky-Experten haben Websites entdeckt, auf denen Nutzer aufgefordert werden, steuerlich relevante Dokumente hochzuladen. Diese Fake-Dienste versprechen, Steuererklärungen automatisch zu erstellen und Rückzahlungen zu berechnen. Dabei sammeln Angreifer jedoch personenbezogene Daten – zum Verkauf im Darknet oder für künftige Phishing-Angriffe, Erpressungen und Drohungen.

Ein betrügerisches KI-Tool fordert die Nutzer auf, Steuerdokumente hochzuladen. Es wird versichert, dass die Website keine Benutzerdaten speichert. Tatsächlich landen sämtliche eingegebenen Informationen in den Händen von Cyberkriminellen – Name, Adresse, Dokumente, Kontaktperson und Telefonnummer

Noch ein wichtiger Punkt: Legitime KI-Dienste warnen ihre Nutzer ausdrücklich davor, vertrauliche Daten zu teilen. Und Steuerdokumente fallen eindeutig in diese Kategorie. Deshalb sind alle KI-Tools, die versprechen, dir bei der Steuererklärung zu helfen, ganz einfach Betrug.

So kannst du dich und deine Daten schützen

• Mach deine Steuererklärung selbst. Das Risiko, auf Betrüger zu stoßen, ist extrem hoch. Selbst einem legitimen Beratungsunternehmen gibst du unweigerlich personenbezogene Daten weiter: Ausweisdaten, Informationen zu Beschäftigung und Einkommen, deine Adresse und vieles mehr. Und Hacks und Datenpannen kommen leider auch bei den ehrlichsten Diensten vor.
• Vorsicht mit gefälschten Websites! Verwende eine zuverlässige Sicherheitslösung, die den Besuch von Phishing-Websites und das Herunterladen bösartiger Dateien verhindert.
• Bewahre alle wichtigen Dokumente verschlüsselt auf. Immer wieder gibt es Fotos, Notizen, Dateien und Nachrichten, die man sich für später merken will. Solche Daten auf dem Desktop zu speichern oder in einer Messaging-App zu markieren ist jedoch keine sichere Methode für vertrauliche Daten. Ein Datentresor wie Kaspersky Password Manager kann nicht nur Passwörter und Kreditkarteninformationen sicher aufbewahren. Er schützt auch Dokumente und sogar Fotos.
• Vertraue der KI nicht. Sogar die modernsten Chatbots sind anfällig für Fehler und Halluzinationen. Außerdem können Entwickler theoretisch jede Unterhaltung, die du mit ihrer KI führst, mitlesen. Wenn es gar nicht ohne KI geht, installiere und nutze eine lokale Version auf deinem Computer.
• Vertraue nur den offiziellen Kanälen. Die „Leiterin des Bundeszentralamts für Steuern“ oder der Leiter des örtlichen Finanzamts meldet sich bestimmt nicht persönlich bei dir: Hochrangige Beamte und Amtsleiter haben Wichtigeres zu tun. Nimm nur auf dem offiziellen Weg Kontakt mit den Steuerbehörden auf und überprüfe den Absender aller eingehenden E-Mails sorgfältig. Achte besonders auf geringfügige Abweichungen bei Namen oder Adressen. Oft lassen sich Phishing-Kampagnen an solchen Kleinigkeiten enttarnen.

Hier findest du weitere Informationen zu Phishing und Datensicherheit:

• Phishing und Spam: Die wildesten Kampagnen von 2025
• Phishing und Betrug mit KI
• Was geschieht mit Daten, die per Phishing gestohlen wurden?
• So verschwindest du aus dem Internet
• Warum Datenbroker Dossiers über dich erstellen und was du dagegen tun kannst