Heutzutage muss jeder darauf achten, dass seine Steuer- und Finanzinformationen nicht in die falschen Hände gelangen. Da Steuererklärungen zunehmend digitalisiert und in Echtzeit abgegeben werden, um den modernen Nutzergewohnheiten zu entsprechen, vergrößert sich die Angriffsfläche entsprechend. Das gilt vor allem, wenn es noch keine grundlegenden Sicherheitsvorkehrungen und kein entsprechendes Bewusstsein gibt.
Im Rahmen der Besorgnis um den Schutz der Integrität unserer digitalen Identitäten hat sich eine bestimmte Angriffsmethode stark verbreitet. Die Schwere und Häufigkeit von Steuerbetrug und Online-Betrug hat in den letzten Jahren epidemische Ausmaße angenommen.
Die digitale Transformation schreitet bei vielen nationalen und internationalen Regierungsdiensten schnell voran. In den USA reichen im Jahr 2025 die meisten Menschen (zum Zeitpunkt der Veröffentlichung dieses Textes 136 Millionen) ihre Steuererklärungen bereits online ein. Großbritannien hat die verpflichtenden Anforderungen von Making Tax Digital (MTD) für digitalisierte Einkommens- und Ausgabenaufzeichnungen ab April 2026 angekündigt. Auch andere Länder ergreifen ähnliche Maßnahmen. Das mindert jedoch nicht die Notwendigkeit robuster Cybersicherheitsmaßnahmen und eines zuverlässigen Schutzes der digitalen Identität. Das Gegenteil ist der Fall: Diese Entwicklung verdeutlicht noch die Notwendigkeit strengerer und proaktiverer Maßnahmen.
Steuerzahler sollten sich nicht allein durch die Bequemlichkeit und der Zeitersparnis digitaler Steuererklärungsverfahren verleiten lassen. Denn wie mühsam die Verfahren auch vorher waren, empfiehlt es sich nach wie vor, in jeder Phase für Cybersicherheit zu sorgen. Cybersicherheitsexperten halten es für unerlässlich, erkennen zu können, wie sich ein scheinbar legitimer Steuererklärungsprozesses als raffinierter Betrug durch Social Engineering und Informationsdiebstahl tarnen kann. Jeder sollte die Möglichkeit erhalten, persönliche Daten auf vertrauensvolle Weise zu schützen und zugleich die Sicherheitsstandards aufrechtzuerhalten, die einen wichtigen Teil der nationalen Infrastruktur ausmachen.
Gängige Betrugsmaschen bei der Steuererklärung
Eine der häufigsten Arten von Steuerbetrugsmaschen sind Phishing-Kampagnen. Diese erfolgen oft in Form von E-Mails, die vorgeben, von etablierten Behörden wie dem IRS (USA) oder der HMRC (Großbritannien) zu stammen. Diese E-Mails erzeugen durch ihre Formulierungen ein Gefühl der Dringlichkeit und verleiten den Empfänger beispielsweise dazu, eine Rückerstattung zu fordern oder auf strafrechtliche oder rechtliche Anschuldigungen zu reagieren (die allerdings nicht existieren). Durch jüngste Entwicklungen haben sich die Methoden von Phishing-Angriffen jedoch so weit entwickelt, dass die menschliche Psychologie ausgenutzt wird.
Aktuelle Erkenntnisse der Microsoft-Sicherheitsabteilung ergaben, dass zwischen dem 12. und 28. Februar 2025 zahlreiche Phishing-E-Mails mit Bezug zu Steuererklärungen an über 2.300 Organisationen verschickt wurden. In den USA geschah dies hauptsächlich in den Bereichen Ingenieurwesen, IT und Bauwesen. Solche Angriffe werden strategisch geplant und ausgeführt und zielen auf Organisationen ab, die über wertvolles geistiges Eigentum und ausnutzbare Finanzdaten verfügen.
Cybersicherheitsexperten gehen davon aus, dass künstliche Intelligenz (KI) zunehmend dazu genutzt wird, überzeugendere Phishing-Nachrichten und -E-Mails zu verfassen, die „legitimer“ und täuschend menschlich wirken – und dadurch überzeugender sind. Es wird erwartet, dass mithilfe von KI vermehrt gefälschte Schreiben des IRS oder der HMRC erstellt werden könnten, wodurch herkömmliche Schutzmethoden immer unwirksamer werden.
Häufige Warnzeichen für Betrug bei Steuererklärungen
Die erste Verteidigungslinie gegen Betrugsversuche in Bezug auf Finanzen oder Steuererklärungen besteht darin, digitale Zertifikate und sichere Verbindungen zu verstehen.
Seriöse Steuer-Websites, darunter die des IRS, staatliche Steuerbehörden und zugelassene Anbieter von Steuersoftware, nutzen Extended Validation (EV) SSL/TLS-Zertifikate, die ein Höchstmaß an Authentifizierung gewährleisten. Diese Zertifikate werden streng geprüft, um die rechtliche Existenz einer Organisation und ihrer betrieblichen Kontrolle zu bestätigen.
Beim Zugriff auf Webseiten mit Bezug zum Steuerwesen sollten Cybersicherheitsexperten sofort überprüfen, ob in der Adressleiste des Browsers Folgendes vorhanden ist: SSL/TLS-Zertifikate (erkennbar an einem Schloss-Symbol), gültige Zertifikatsketten, die zu vertrauenswürdigen Zertifizierungsstellen zurückverfolgt werden können, und korrekte Domainnamen, die mit Regierungsseiten oder anerkannten Anbietern von Steuersoftware übereinstimmen.
Betrügerische Steuer-Websites erkennt man in der Regel an Zertifikaten vom Typ Domain Validated (DV) oder an gefälschten Zertifikaten. DV-Zertifikate bieten zwar Verschlüsselung, überprüfen aber nicht die Identität der Organisation, die das Zertifikat hostet. Hier kommen E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC ins Spiel, um die Authentizität von steuerbezogenen Mitteilungen zu bestätigen. Diese Protokolle werden von autorisierten Stellen und Behörden genutzt, und ihr Fehlen sollte als Warnzeichen gesehen werden.
Darüber hinaus enthalten authentische Steuerdokumente häufig digitale Signaturen, die mithilfe einer gültigen PKI-Infrastruktur erstellt wurden. Diese kryptographischen Signaturen gewährleisten Nichtabstreitbarkeit und eine Integritätsprüfung, die ohne Zugriff auf private Schlüssel nahezu unmöglich zu fälschen sind.
Neue Bedrohungen durch Finanzbetrug
- Maschinelles Lernen (ML) bei der Betrugserkennung: Da böswillige Akteure vermehrt KI-gestützte Angriffe einsetzen, müssen Organisationen mit stärkeren Erkennungsfähigkeiten darauf reagieren. Moderne Betrugserkennungssysteme müssen mit ähnlich schnell reagierender Technologie ausgestattet sein, die Verhaltensmuster analysiert, Anomalien in Dokumenten (oft auf Pixelebene) erkennt, Querverweise zu mehreren Datenquellen herstellt und Informationen zu Echtzeit-Bedrohungen liefert. Dadurch können menschliche Entscheidungsträger auf der Basis von Informationen handeln, die ihnen bei manuellen Überprüfungen möglicherweise entgehen.
-
Synthetischer Identitätsbetrug: Eine neue Herausforderung bei modernen Steuerbetrugsversuchen besteht in der Schaffung erfundener Identitäten und Persönlichkeiten, die durch die Verschmelzung realer und gefälschter Informationen konstruiert werden. Diese Identitäten können dann grundlegende Überprüfungen bestehen, wodurch betrügerische Aktivitäten fortgesetzt werden können, nachdem die anfänglichen Sicherheitsprotokolle umgangen wurden. Entsprechende Erkennungsfähigkeiten müssen über verschiedene Datenquellen und Plattformen hinweg exponentiell verbessert werden, um die mutmaßliche Fake-Nutzer erkennen und von authentischen Nutzern trennen zu können.
Was können Organisationen gegen den zunehmenden Betrug im Rahmen von Steuererklärungen tun?
Organisationen, die in großem Umfang Steuerdaten verarbeiten, sollten umfassende Rahmenwerke implementieren, beispielsweise:
- Hardware Security Module (HSMs) zum Schutz kryptographischer Schlüssel, die bei der Verarbeitung von Steuerdokumenten und digitalen Signaturen verwendet werden
- Multi-Faktor-Authentifizierung (MFA), bei der ein Faktor die zertifikatsbasierte Authentifizierung ist, was eine starke primäre Ebene der Identitätsprüfung darstellt.
- Zero-Trust-Architektur (ZTA), die jede Transaktion und Zugriffsanfrage unabhängig vom Quellort kontinuierlich validiert.
- Erweiterte E-Mail-Sicherheit mit KI-gestützter Bedrohungserkennung.
- 24/7-Incident Response-Verfahren im gesamten Netzwerk einer Organisation mit regelmäßigen Red-Team-Übungen und Penetrationstests zur Bewertung der Reaktionseffektivität der Sicherheitsteams.
Zudem erfordert der Netzwerkverkehr eine umfassende und gründliche Überwachung, bei der die Schutzstandards aufrechterhalten werden müssen. Das umfasst Folgendes: Zertifikat-Pinning für jegliche Kommunikation mit vertrauenswürdigen und validierten Steuerbehörden (um Man-in-the-Middle-Angriffe zu verhindern), DNS-Filterung, um den Zugriff auf bekannte betrügerische oder anderweitig verdächtige Domains zu blockieren, und Netzwerksegmentierung, um Steuerverarbeitungssysteme von Open-Source-Netzwerken zu isolieren und so eine zusätzliche Sicherheitsebene zu schaffen.
Steuerfachleute sollten darauf achten, dass die Zertifikatsdetails aller Websites mit Bezug zu Steuerthemen und der zugehörigen Software verifizierbar sind. Wo es möglich ist, sollten sichere Dateiübertragungsprotokolle für Dokumente und Maßnahmen zur zertifikatsbasierten Authentifizierung genutzt werden. Nicht zuletzt sollten aktualisierte Bedrohungsanalysen mit ihren Branchenkollegen und dem gesamten Sektor geteilt werden, um die allgemeinen Bemühungen zur Bekämpfung von Betrug und Geldwäsche aufrechtzuerhalten.
Mit GlobalSign können die Sicherheitslage Ihres Unternehmens verbessern.
Durch die zunehmende globale Akzeptanz der digitalen Steuerverwaltung wird der Zusammenhang von Cybersicherheit und Steuerkonformität immer deutlicher. Organisationen, die früh in eine robuste PKI-Infrastruktur, fortschrittliche Bedrohungserkennung und umfassende Sicherheitsframeworks investieren, werden auch für komplexere Herausforderungen bestens gerüstet sein.
Solide Cybersicherheitsverfahren erfordern die Bereitschaft, sich selbstbewusst an neue Gegebenheiten und Entwicklungen anzupassen und durch neueste PKI-Technologien, Zertifikatsmanagement und Bedrohungsanalyse immer raffinierteren Cyberangriffen und entschlossenen Angreifern einen Schritt voraus zu sein.
Weitere Informationen zur Implementierung von PKI-Lösungen und digitalen Zertifikaten für mehr Sicherheit in Bezug auf Steuerthemen finden Sie in den Unternehmenssicherheitslösungen und Zertifikatsverwaltungsplattformen von GlobalSign.
Kontaktieren Sie unser Team, um mehr zu erfahren
Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors bzw. der Autorin und geben nicht unbedingt die von GlobalSign wieder.
