In einem früheren Beitrag („Wenn die Behörde wie ein Phisher schreibt“) ging es um die sprachliche und gestalterische Nähe amtlicher Schreiben zu Phishing-Mails – heute betrachten wir den umgekehrten Fall: Was passiert, wenn eine Phishing-Mail so gut gemacht ist, dass sie sich kaum noch von einem offiziellen Schreiben unterscheidet?
Ein aktuelles Beispiel aus dem digitalen Alltag zeigt, wie professionell gefälschte E-Mails inzwischen auftreten:
Kosteninformation zur Steuererklärung 2023
Bitte Anhang beachten
Sehr geehrte Damen und Herren, Hinweis:
Für Ihre verspätete Steuererklärung wurde ein Entgelt gemäß § 152 AO erhoben. Details finden Sie im Anhang.
So gehen Sie vor:
1 Öffnen Sie „Informationsblatt-und-Rechnung.pdf“.
2 Begleichen Sie den Betrag fristgerecht.
Für Rückfragen nutzen Sie bitte unsere Kontaktdaten unten.
Mit freundlichen Grüßen,
BZSt
Dienstsitz Bonn
Bundeszentralamt für Steuern (BZSt)
An der Küppe 1, 53225 Bonn Telefon: +49 (0)228 406-0
E-Mail: info@bzst-zahlung.de
Web: (Der Link wurde gelöscht!)
Was auf den ersten Blick wie eine amtliche Mahnung aussieht, ist in Wahrheit ein täuschend echter Phishing-Versuch. Die Mail imitiert dabei die Tonalität, Struktur und formalen Elemente des Bundeszentralamts für Steuern – inklusive Adresse, Telefonnummer und Signatur. Selbst das Logo fehlt nicht. Lediglich kleine Ungereimtheiten und die unübliche Domain-Endung (bzst-zahlung.de) verraten die Fälschung.
Warum diese Masche funktioniert
Phishing-Mails werden immer raffinierter – und das aus gutem Grund. Behörden genießen ein hohes Vertrauen, und ihre Schreiben werden selten infrage gestellt. Gerade im Steuerkontext herrscht häufig Unsicherheit. Wer eine Frist versäumt hat oder ohnehin auf eine Rückmeldung vom Finanzamt wartet, wird leichter zum Opfer.
Die Täuschung gelingt vor allem durch:
- Authentische Anmutung: Offizieller Ton, Paragraphenangabe (§ 152 AO), klare Handlungsanweisung.
- Emotionaler Trigger: Angst vor Kosten und Fristversäumnis.
- Technische Trägheit: Viele Empfänger öffnen PDF-Dateien arglos, ohne Herkunft oder Inhalte zu prüfen.
Woran man Fakes erkennt – trotz perfektem Schein
Selbst gut gemachte Phishing-Versuche verraten sich oft durch Details:
- Ungewöhnliche Absenderadresse oder Domain (hier: info@bzst-zahlung.de statt bzst.de)
- Dringlichkeit und Zahlungsaufforderung in Kombination
- Anhang statt Portalzugang: Behörden verlinken eher auf ihre Online-Portale (z. B. ELSTER) statt PDF-Anhänge zu versenden
- Fehlende Personalisierung: Keine persönliche Anrede, keine Steuer-ID, keine konkreten Beträge
Was tun bei Verdacht?
- Niemals Anhänge öffnen oder auf Links klicken, wenn Zweifel bestehen
- Header-Daten prüfen: Absenderdomain, IP-Adresse und Mail-Server-Infos
- Beim echten BZSt nachfragen – niemals über Kontaktdaten aus der verdächtigen Mail
- Verdächtige Mails melden – z. B. an cert-bund@bsi.bund.de oder über die Seite verbraucherzentrale.de
Fazit: Digitale Täuschung auf Behördendeutsch
Die Grenze zwischen Behördenkommunikation und Phishing verschwimmt – besonders dann, wenn Sprache, Aufbau und Format professionell imitiert werden. Während die Verwaltung aus juristischer Vorsicht oft unverständlich und distanziert formuliert, profitieren Betrüger genau davon: Sie kopieren den Stil, erzeugen Druck und nutzen die Autorität des Amtes.
Umso wichtiger ist digitale Medienkompetenz – nicht nur bei Bürgerinnen und Bürgern, sondern auch innerhalb der Behörden selbst. Denn der beste Schutz beginnt mit kritischem Lesen.