Im Vorfeld der US-Steuersaison beobachten Sicherheitsexperten von Microsoft eine deutliche Zunahme gezielter Phishing-Angriffe, die auf Steuerzahler, Finanzabteilungen und insbesondere Steuerprofis zielen. Unter dem Vorwand vermeintlicher Rückerstattungen, Formularpflichten oder IRS-Prüfungen versuchen Angreifer, Zugangsdaten zu stehlen und heimlich Remote-Access-Software auf den Systemen ihrer Opfer zu platzieren.
Phishing im Steuerzeitraum: Warum die Masche so gut funktioniert
Nach Erkenntnissen von Microsoft Threat Intelligence und Microsoft Defender Security Research tarnen die Täter ihre E-Mails als Benachrichtigungen zu Steuererstattungen, Lohn- und Gehaltsformularen, Fristenerinnerungen oder Anfragen angeblicher Steuerberater. In der Hochphase der Steuererklärung wirken derartige Nachrichten plausibel und fallen daher seltener als verdächtig auf.
Während viele Kampagnen auf Privatpersonen und deren personenbezogene und finanzielle Daten zielen, richten sich besonders lukrative Angriffe gegen Steuerberater, Buchhalter und Wirtschaftsprüfer. Diese Berufsgruppen verwalten sensible Finanzunterlagen zahlreicher Mandanten und verfügen oft über weitreichende Zugriffsrechte auf Buchhaltungs- und ERP-Systeme. Eine kompromittierte Mailbox oder ein gehacktes Endgerät kann Angreifern unmittelbar ein Einfallstor in die Infrastruktur mehrerer Unternehmen verschaffen.
Zur schnellen Skalierung der Angriffe setzen Kriminelle zunehmend auf Phishing-as-a-Service (PhaaS)-Plattformen. Diese Dienste liefern vorgefertigte, täuschend echte Phishing-Seiten, die Oberflächen von Banken, Steuerportalen oder Cloud-Speichern imitieren. Selbst technisch wenig versierte Täter können so professionelle Kampagnen orchestrieren – ein Trend, der von mehreren Sicherheitsanbietern seit Jahren beobachtet wird.
Großangriff am 10. Februar 2026: Gefälschte IRS-Hinweise und ScreenConnect
Am 10. Februar 2026 registrierte Microsoft eine besonders umfangreiche Phishing-Welle, die mehr als 29.000 Nutzer in rund 10.000 Organisationen betraf. Rund 95 % der Ziele befanden sich in den USA. Überdurchschnittlich häufig traf es Unternehmen aus den Bereichen Finanzdienstleistungen (19 %), Technologie und Software (18 %) sowie Einzelhandel und Konsumgüter (15 %).
Die Angreifer verschickten E-Mails, die scheinbar von der US-Steuerbehörde Internal Revenue Service (IRS) stammten. Im Fokus stand dabei die EFIN (Electronic Filing Identification Number), eine Kennung für elektronische Steuerübermittler. Den Empfängern wurde suggeriert, unter ihrer EFIN seien verdächtige Steuererklärungen eingereicht worden. Zur Überprüfung sollten sie einen angeblich offiziellen „IRS Transcript Viewer“ herunterladen.
Technisch setzten die Täter auf Amazon Simple Email Service (SES), um E-Mails mit scheinbar legitimer Versand-Infrastruktur auszuliefern und so einfache Spamfilter zu umgehen. Ein Download-Button leitete auf die Domain smartvault[.]im, die visuell an die Dokumentenplattform SmartVault angelehnt war. Der Phishing-Host war zusätzlich über Cloudflare abgesichert, wodurch automatisierte Scanner und viele Sicherheits-Crawler ausgesperrt wurden, während echte Nutzer die eigentliche Schadseite zu sehen bekamen.
Als Nutzlast wurde ein speziell gepackter Client von ConnectWise ScreenConnect (früher ConnectWise Control) ausgeliefert – ein legitimes Remote Monitoring and Management (RMM)-Werkzeug. Im Unternehmensalltag wird ScreenConnect für Fernsupport genutzt; in diesem Szenario diente es als persistenter, schwer erkennbarer Fernzugriff für die Angreifer. Nach der Installation konnten diese Daten exfiltrieren, Zugangsdaten abgreifen, weitere Malware nachladen und sich lateral im Netzwerk ausbreiten.
Missbrauch von RMM-Tools: von der Admin-Hilfe zum Angriffsvektor
Die beobachteten Kampagnen beschränken sich nicht auf ScreenConnect. Laut einem aktuellen Bericht von Huntress ist der Missbrauch legitimer RMM-Lösungen um 277 % innerhalb eines Jahres gestiegen. Neben ConnectWise ScreenConnect werden unter anderem Produkte wie Datto oder SimpleHelp zweckentfremdet, um unauffällige Fernzugriffe aufzubauen.
Das Grundproblem: RMM-Software ist in vielen IT-Umgebungen essentieller Bestandteil des Betriebs. Wie Forscher der Elastic Security Labs betonen, werden diese Tools häufig grundsätzlich als vertrauenswürdig eingestuft. Ihre Kommunikation ist verschlüsselt, signiert und verläuft über bekannte Cloud-Infrastrukturen – exakt die Eigenschaften, die Angreifer ausnutzen. Verdächtige Aktivitäten gehen im Rauschen regulärer Verwaltungsaufgaben unter und werden von Sicherheitslösungen oft nicht konsequent hinterfragt.
Schutzmaßnahmen: So lassen sich IRS-Phishing und RMM-Angriffe eindämmen
Organisationen, die mit Steuer- und Finanzdaten arbeiten, sollten mehrere Verteidigungsebenen kombinieren. Ein zentrales Element ist Mehrfaktor-Authentifizierung (MFA) für alle Konten, insbesondere für Administratoren sowie Finanz- und Buchhaltungsnutzer. Ergänzend helfen Conditional-Access-Richtlinien, Logins aus ungewöhnlichen Regionen, anonymen Proxys oder nicht verwalteten Geräten zu blockieren oder zusätzlich abzusichern.
E-Mail- und Web-Sicherheit sollten moderne Filter einsetzen, die Anhänge, Links und QR-Codes analysieren, Domain-Reputation prüfen und Spoofing über SPF, DKIM und DMARC erschweren. Ein besonderes Augenmerk ist auf neu registrierte Domains mit Steuerbezug zu legen, die sich in Kampagnen als gefälschte IRS- oder Steuerberaterseiten tarnen können.
Für RMM-Tools ist eine strikte Inventarisierung und Governance notwendig. Unternehmen sollten genau definieren, welche Lösungen erlaubt sind, von welchen Quellen sie installiert werden dürfen und welche Rollen Installationsrechte besitzen. Regelmäßige Audits sollten verdächtige Installationen von ConnectWise ScreenConnect, Datto, SimpleHelp oder ähnlichen Produkten identifizieren – insbesondere auf Systemen, für die kein legitimierter Fernwartungsbedarf besteht.
Ebenso wichtig ist die gezielte Sensibilisierung von Fachabteilungen. Mitarbeitende in Buchhaltung, Controlling, Steuerabteilungen und externe Steuerberater sollten lernen, IRS-Phishing zu erkennen: etwa durch genaue Prüfung von Absenderdomains, vorsichtige Behandlung unerwarteter Anhänge und Vermeidung direkter Logins über in E-Mails eingebettete Links. Insbesondere „dringende“ oder mit Sanktionen drohende Nachrichten sollten immer über einen zweiten, bekannten Kommunikationsweg verifiziert werden.
Die aktuellen Kampagnen verdeutlichen, wie wirksam Cyberkriminelle soziale Ingenieurskunst, Cloud-Infrastrukturen und legitime RMM-Software kombinieren, um klassische Sicherheitskontrollen zu umgehen. Wer mit sensiblen Finanz- und Personaldaten arbeitet, sollte jetzt seine Sicherheitsprozesse überprüfen, MFA und E-Mail-Schutz stärken, die Nutzung von Remote-Access-Tools klar regeln und Schulungsprogramme für besonders exponierte Rollen etablieren. Je früher diese Maßnahmen greifen, desto geringer ist das Risiko, dass die nächste scheinbar harmlose „Steuerbenachrichtigung“ den Beginn eines schwerwiegenden Sicherheitsvorfalls markiert.
