31. August ist Deadline zur Einreichung der Steuererklärung – Cyber-Kriminelle missbrauchen Gelegenheit für -Betrug

[datensicherheit.de, 22.08.2024] „Alle Jahre wieder kommt die Zeit, in der sich Schweißperlen auf Ihrer – und der Ihrer Kollegen aus der Finanzabteilung – Stirn bilden, während Sie hektisch alle Rechnungen für die Steuererklärung zusammensuchen. Der Stichtag für die Abgabe steht schließlich schon so gut wie vor der Tür. Und als wäre dieser ganze Prozess nicht schon nervenaufreibend genug erhalten Sie plötzlich E-Mails mit fragwürdigem Inhalt, die vermeintlich vom Finanzamt stammen“, so Dieter Kehl, „Director Sales DACH“ bei OpenText Cybersecurity. Er erinnert daran – „am 31. August ist die ,Deadline’ zur Einreichung der Steuererklärung“ – und klärt in seiner aktuellen Stellungnahme über die Gefahren auf, „die in den dunklen Schatten des Internets auf Steuerzahler warten“; zudem gibt er Empfehlungen, sich davor zu schützen.

Foto: OpenText Cybersecurity

Dieter Kehl rät, insbesondere im Kontext der Steuererklärung aufmerksam zu bleiben, die Software aktuell zu halten und bei verdächtigen E-Mails und Angeboten Vorsicht walten zu lassen

Steuererklärungszeit äußerst rentable Gelegenheit, Steuerzahler mit Scams in den Hinterhalt zu locken

Cyber-Kriminelle wüssten, „dass es sich bei der Steuererklärungszeit um eine äußerst rentable Gelegenheit handelt, Steuerzahler mit Scams in einen Hinterhalt zu locken“. Deren Ziel sei: Identitäten sowie sensible Daten wie Anmelde-, Konto- und/oder Kreditkarteninformationen zu stehlen, Daten zu verschlüsseln oder betroffene Endgeräte in ein sogenanntes Botnet einzugliedern. Es bestehe jedoch kein Grund, die Nerven zu verlieren. Denn jeder könne sich vor solchen Angriffen schützen. Auf welche Attacken Cyber-Kriminelle besonders gerne setzen, erläutert Kehl nachfolgend:

„Achtung, Sie haben Steuerschulden!“: E-Mails im Namen des Fiskus

• Auch im Kontext der Steuererklärung sei die Phishing-E-Mail unter Cyber-Kriminellen einer der beliebtesten Wege, um ahnungslosen Empfängern eine Falle zu stellen. „Dafür geben sie sich als ,ELSTER’-Repräsentanten oder Mitarbeitende des Finanzamts, der Bundeszentrale für Steuern (BZSt) oder des Bundesministeriums für Finanzen aus.“ Für zusätzliche Glaubwürdigkeit dekorierten sie die gefälschten Nachrichten und Anhänge mit den entsprechenden Logos, Briefköpfen und Stempeln.
• Vermeintliche Steuer-E-Mails könnten verschiedene Formen annehmen. So forderten sie zum Beispiel Empfänger dazu auf, ihre „ELSTER“-Daten zu aktualisieren und enthielten in den meisten Fällen einen gefälschten Steuerbescheid. Eine weitere Masche führe den Vorwurf des Steuerbetrugs oder einer Steuerschuld an. „Wenn der Betreff solche Anschuldigungen enthält, kann das auf Empfänger bereits einschüchternd wirken. Nicht selten verleihen Cyber-Kriminelle ihren Steuer-E-Mails mit Hilfe von Drohungen – wie Kontosperrung, Anzeigen und Pfändungen – zusätzlich Nachdruck. Die Wahrscheinlichkeit, dass Empfänger auf die Forderung eingehen, steigt.“
• Als Alternative lockten Cyber-Kriminelle mit E-Mails, die eine satte Steuerrückerstattung versprechen. Dafür müssten die Empfänger angeblich lediglich die Erstattung bestätigen und ihr Konto verifizieren. Ungeachtet des Inhalts hätten diese Phishing-Angriffe eines gemeinsam: „Sie wollen Empfänger dazu bewegen, einen infizierten Anhang herunterzuladen oder auf einer Fake-Webseite sensible Informationen anzugeben.“

Sieht echt aus, ist aber fake: Infizierte Steuer-Software

• App- und Software-Entwickler hätten in der Frustration, welche die Steuererklärung in einigen entfache, eine Nische für sich entdeckt. In den letzten Jahren sei die Anzahl der Tools gestiegen, welche jeden Verbraucher in einfachen Schritten durch den Prozess führe.
• Viele von ihnen böten zusätzlich einen Experten-Service an, in dem (freiberufliche) Steuerberater die Arbeit übernähmen. „In der Regel bezahlen Nutzer für diese Tools – sei es einmalig beim Kauf, nach jeder Übermittlung oder anteilig nach der Rückerstattung. Wer im Internet auf kostenlose Tools stößt, sollte allerdings vorsichtig sein!“
• Denn auch Cyber-Kriminelle wüssten, dass Steuerzahler einfache Wege für ihre Steuererklärung suchten. Dafür manipulierten sie entweder eine bekannte Steuer-Software oder entwickelten ihre eigenen Tools, „die sie online gebührenfrei anbieten“. In Wahrheit versähen sie den Code mit Ransomware, Trojanern oder anderen schädlichen Mechanismen, „die ihrer Zerstörungskraft freien Lauf lassen, sobald sie installiert werden“.

In Sachen Steuererklärung nicht nur bei den eigenen Angaben auf der Hut sein!

Die o.g. beunruhigenden Trends unterstrichen, wie wichtig es sei, in Sachen Steuererklärung nicht nur bei den eigenen Angaben auf der Hut zu sein. Die folgenden „Best Practices“ könnten demnach dabei helfen, das Sicherheitsniveau in dieser und anderen kritischen Zeiten zu stärken:

1. Nehmen Sie E-Mails genau unter die Lupe!

• „Während wir uns früher über die Unbeholfenheit schlecht übersetzter Phishing-E-Mails lustig gemacht haben, staunen wir heute nicht schlecht darüber, wie authentisch sie mittlerweile wirken.“ Deshalb sei es wichtig, E-Mails, aber auch SMS-, Instant-Messaging-Nachrichten und Telefonanrufe, kritisch zu hinterfragen – „vor allem, wenn sie vermeintlich von einer Behörde stammen, nach persönlichen Informationen fragen und/oder künstlich Druck aufbauen“.
• Kehl betont: „Behalten Sie dabei folgendes im Hinterkopf: Offizielle Stellen weisen auf ihren Webseiten darauf hin, dass sie Dokumente wie Zahlungsaufforderungen, Rechnungen oder Rückerstattungen niemals per E-Mail, sondern per Post versenden.“

2. Installieren Sie nicht die erstbeste kostenlose Steuer-Software!

• „Wie bereits erwähnt, sind bis auf ,ELSTER’ so gut wie alle Tools für die digitale Steuererklärung mit Kosten verbunden. Vertrauen Sie also grundsätzlich keinen Apps oder Lösungen, die kostenlos im Internet angeboten werden. Laden Sie das Tool, für das Sie sich entscheiden, immer von den offiziellen Webseiten oder Onlineshops herunter!“
• Daneben gilt laut Kehl: „Halten Sie Ihr Betriebssystem sowie all Ihre Anwendungen und Tools – einschließlich Ihrer Steuer-Lösung – immer auf dem neusten Stand, damit keine Schwachstellen entstehen!“

3. Schützen Sie Ihre persönlichen Informationen mit allen Mitteln!

• „Lagern Sie sensible Daten und Dokumente an einem gesicherten Ort – zum Beispiel in einem externen Speicher – und versenden Sie sie nur über eine verschlüsselte Verbindung!“
• Zudem sollen zusätzliche Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung (MFA) genutzt werden, um das Risiko eines Zugriffs durch unbefugte Dritte zu reduzieren.

Schutz-Maßnahmen ergreifen, um sich gegen Cyber-Angriffe während der Steuererklärungszeit zu schützen!

Mit diesen zuvor aufgeführten Maßnahmen sei man bestens gerüstet, um sich gegen Cyber-Angriffe während der Steuererklärungszeit zu schützen und die eigenen sensiblen Daten sicher zu verwahren.

Kehls Fazit: „Indem Sie aufmerksam bleiben, Ihre Software aktuell halten und bei verdächtigen E-Mails und Angeboten Vorsicht walten lassen, können Sie einige Fallstricke von Cyber-Kriminellen erfolgreich vermeiden!“

Weitere Informationen zum Thema:

ELSTER Ihr Online-Finanzamt
Sicherheit / Wichtiger Hinweis

Bundeszentralamt für Steuern
Betrugs-E-Mails im Namen des BZSt / Warnung

Bundeszentralamt für Steuern
Betrugs-E-Mails / Warnung

SPIEGEL Netzwelt, 17.08.2023
Phishing-Masche Gefälschte E-Mails unterstellen Steuerbetrug

[datensicherheit.de, 04.11.2020] Rechtsanwalt Dr. Helmut Redeker, Vorsitzender des Ausschusses „Informationsrecht“ des Deutschen Anwaltvereins (DAV) hat am 4. November 2020 eine Stellungnahme zum sogenannten Registermodernisierungsgesetz abgegeben – mit diesem möchte der Gesetzgeber demnach die Steueridentifikationsnummer (Steuer-ID) zu einer einheitlichen Identifikationsnummer für die Bürger machen. Der DAV lehnt dieses Gesetz nach eigenen Angaben „entschieden“ ab.

DAV sieht Gefahr der Kompletterfassung

Dr. Redeker: „Es schafft die technischen Voraussetzungen dafür, die einzelnen Bürgerinnen und Bürger in allen Aspekten ihres Lebens zu erfassen. Mit der Identifikationsnummer können theoretisch Gesundheitsdaten, Steuerdaten und Informationen zu möglichen Vorstrafen zusammengeführt werden.“ Das Gesetz erlaube eine solche Kompletterfassung zwar nicht, verbiete sie aber auch nicht ausdrücklich.

Recht der Informationellen Selbstbestimmung laut DAV u.a. bedroht

Ein allgemeines Personenkennzeichen gefährde damit nicht nur das Recht der Informationellen Selbstbestimmung. Es könnte auch verfassungswidrig sein. Das Bundesverfassungsgericht habe bereits zwei Mal – mit dem Mikrozensusbeschluss und dem Volkszählungsurteil – deutlich gemacht, dass der Staat seine Bürger nicht zwangsweise in ihrer ganzen Persönlichkeit registrieren und katalogisieren dürfe. „Sobald Persönlichkeitsprofile erstellt werden können, dürfte es auch nur eine Frage der Zeit sein, bis die Sicherheitsbehörden darauf zugreifen“, warnt Dr. Redeker.

DAV empfiehlt z.B. österreichisches Vorbild

Dass ein Personenkennzeichen für die Behörden praktisch sei, rechtfertige all diese Gefahren nicht. Um doppelte Arbeit für die Behörden zu vermeiden, gebe es „mildere Mittel“ – etwa das in Österreich genutzte System kryptographisch sicherer, auf einzelne Lebensbereiche beschränkter bereichsspezifischer Kennzeichen oder andere moderne Identitätsmanagementsysteme. „Warum es trotzdem ein Personenkennzeichen sein soll, hat der Gesetzgeber nicht überzeugend erklärt. Es wirkt, als schiebe er Praktikabilitätserwägungen vor, um heimlich den Weg hin zum ,gläsernen Bürger‘ einzuschlagen.“ Bürger seien aber keine Fahrzeuge – sie sollten nicht mit einem zentralen Kennzeichen erfasst werden.

Weitere Informationen zum Thema:

datensicherheit.de, 03.08.2011
Warnung des Bundesdatenschutzbeauftragten: Steuer-ID droht zum allgemeinen Personenkennzeichen zu werden

[datensicherheit.de, 09.08.2016] Laut einer Mitteilung des Mittelstands-Beratungsunternehmens DHPG hat die Finanzverwaltung des Bundes mit einem Gesetzentwurf zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen die Regelung zum Einsatz von auslesbaren Kassensystemen verschärft.

Kassenabschlussbelege auf Papier nicht mehr ausreichend

Ab 2017 müssen Unternehmen demnach sämtliche elektronische Daten der Kassensysteme einzeln, vollständig, richtig, zeitgerecht, geordnet und unveränderbar digital speichern. Die alleinige Aufbewahrung von Kassenabschlussbelegen auf Papier sei dann nicht mehr ausreichend.
Ergänzend solle jederzeit ein Zugriff auf die Kassendaten möglich sein, die in einem maschinell auswertbaren Format zur Verfügung stehen müssten. Registrierkassen ohne Datenexportschnittstelle, Einzelaufzeichnungs- und Speichermöglichkeit, die bauartbedingt den Anforderungen des Finanzamtes nicht oder nur teilweise genügen, seien bis zum 31. Dezember 2016 aufzurüsten oder auszutauschen.

Zertifizierte Registrierkassen erforderlich

Ab dem 1. Januar 2020 müssten die Kassenaufzeichnungssysteme durch eine zertifizierte technische Sicherheitseinrichtung geschützt werden, bestehend aus einem Sicherheitsmodul, einem Speichermedium und einer digitalen Schnittstelle. Der Kassenhersteller könne das Zertifikat beim Bundesamt für Sicherheit in der Informationstechnik (BSI) beantragen.
Für bereits angeschaffte Kassensysteme mit Schutz der digitalen Aufzeichnungen, die sogenannten „INSIKA Kassensysteme“, gelte eine abweichende Übergangsfrist bis zum 31. Dezember 2022.

Rechtzeitig mit neuen Regelungen befassen!

Unternehmen sollten sich rechtzeitig mit den neuen Regelungen zur Registrierkasse auseinandersetzen und Schwachstellen ausbessern, denn Verstöße könnten Geldbußen von bis zu 25.000 Euro nach sich ziehen, sagt Klaus Zimmermann, Partner der DHPG.
„Bevor Firmen ihre Ladenkasse austauschen, sollten sie überprüfen, ob die Aufrüstung des Kassenspeichers oder die Auslagerung der Daten auf ein unveränderbares Medium möglich sind. Ist dies nicht der Fall, empfiehlt sich beim Kauf einer neuen Registrierkasse, darauf zu achten, dass die eingesetzte Kassensoftware zertifiziert ist“, so Zimmermann.

Kassen-Nachschau vorgesehen

Eine Neuerung des Gesetzesentwurfes sei auch die Einführung einer „Kassen-Nachschau“, die für die offene Ladenkasse und alle elektronischen Kassensysteme gelte. Hierbei könne der Finanzbeamte ohne vorherige Ankündigung die Kassenaufzeichnungen und Buchungen überprüfen sowie einen Kassensturz durchzuführen. Bei der Feststellung von Mängeln sei eine Betriebsprüfung ohne vorherige Prüfungsanordnung möglich.