Seit Anfang 2026 rollt eine Phishing-Welle durch deutsche Posteingänge: Gefälschte E-Mails im Namen des Bundeszentralamts für Steuern (BZSt) fordern Krypto-Inhaber auf, ihre Wallet-Daten auf einer täuschend echt aussehenden ELSTER-Seite zu „überprüfen“. Was diese Masche so gefährlich macht, ist ihr präzises Timing. Sie nutzt eine reale, gerade in Kraft getretene EU-Richtlinie als Tarnung. Wenn Sie Bitcoin, Ether oder andere Kryptowährungen besitzen, sollten Sie wissen, wie dieser Angriff funktioniert, woran Sie ihn erkennen und welche rechtlichen Handlungsoptionen Ihnen im Schadensfall offenstehen.
Wie die Phishing-Kampagne aufgebaut ist
Die Masche wurde erstmals am 7. Januar 2026 von heise.de dokumentiert und ist laut OFD Baden-Württemberg (23.03.2026) auch im April 2026 noch aktiv. Die Betrüger versenden E-Mails mit dem Betreff „Amtliches Schreiben: Datenabgleich erforderlich“. Der Text behauptet, beim BZSt seien „Abweichungen bei Krypto-Angaben festgestellt“ worden. Das Schreiben bezeichnet sich als „verpflichtende Maßnahme im Zusammenhang mit Ihrer Steuererklärung“ — ein Satz, der sprachlich auffällt, dem Schreiben jedoch einen pseudo-amtlichen Anstrich verleiht.
Um den Druck zu erhöhen, setzen die Angreifer eine knappe Frist: Innerhalb von fünf Werktagen sei eine „Datenüberprüfung“ erforderlich. Wer diese Frist ignoriert, dem drohen laut der betrügerischen Mail eine Geldbuße von bis zu 50.000 Euro — in manchen Varianten der Kampagne sogar 500.000 Euro. Hinzu kommt die Drohung mit einer Freiheitsstrafe wegen Steuerhinterziehung. Diese Drohkulisse ist psychologisch kalkuliert: Sie soll Panik auslösen und Sie dazu bringen, sofort zu handeln.
Am Ende der Nachricht befindet sich eine Schaltfläche mit der Aufschrift „Zur Datenüberprüfung“. Dahinter verbirgt sich eine gefälschte ELSTER-Seite, die optisch dem Original täuschend ähnelt. Technisch besonders raffiniert: Wer den Link mit einem Desktop-Browser öffnet, wird auf die legitime Webseite von web.de umgeleitet. Nur auf mobilen Endgeräten landet man tatsächlich auf der Phishing-Seite. Dieser Anti-Analyse-Trick soll verhindern, dass IT-Sicherheitsforscher die Schaddomain schnell identifizieren und sperren lassen.
DAC8 als glaubwürdiger Vorwand
Was diese Phishing-Kampagne von früheren Varianten unterscheidet, ist die Einbettung in einen realen regulatorischen Kontext. Die EU-Richtlinie DAC8 — offiziell die achte Erweiterung der Directive on Administrative Cooperation — ist kein Phantom, sondern ein tatsächlich existierendes Regelwerk. Sie wurde am 17. Oktober 2023 auf EU-Ebene verabschiedet, am 19. Dezember 2025 in Deutschland beschlossen und trat damit an Heiligabend 2025 in Kraft. Seit dem 1. Januar 2026 sind Krypto-Dienstleister verpflichtet, Transaktionsdaten und kundenbezogene Informationen automatisch an die zuständigen Finanzbehörden zu übermitteln. Darüber hinaus regelt DAC8 den automatischen Datenaustausch zwischen den Steuerbehörden der EU-Mitgliedstaaten.
Da die Richtlinie noch kaum in der breiten Öffentlichkeit bekannt ist, erzeugt sie genau die Verunsicherung, die Betrüger für ihre Zwecke benötigen. Krypto-Inhaber, die von DAC8 zum ersten Mal hören, können die Behauptung eines behördlichen Datenabgleichs nicht sofort einordnen. Tatsächlich leitet keine Behörde auf Grundlage von DAC8 ein individuelles Prüfverfahren per E-Mail ein. Der automatisierte Datenaustausch läuft vollständig im Hintergrund — ohne persönliche E-Mail-Aufforderungen an einzelne Steuerpflichtige.
Ergänzend ist der Bezug zu MiCAR relevant: Die EU-Verordnung über Märkte für Kryptowerte (MiCA) schafft parallel einen einheitlichen Regulierungsrahmen für Krypto-Dienstleister in der EU. Betrüger nutzen das Zusammenspiel dieser Regelwerke, um ihre Nachrichten mit offiziell klingenden Begriffen anzureichern und so Seriosität zu simulieren.
Behördliche Warnungen und amtliche Kommunikationsprinzipien
Die Oberfinanzdirektion Baden-Württemberg warnte am 23. März 2026 ausdrücklich vor E-Mails mit Titeln wie „Meldung Ihrer aktuellen Krypto-Bestände“. Laut OFD versuchen Betrüger über gefälschte Webseiten mit ELSTER-Bezug gezielt an persönliche Informationen von Bürgerinnen und Bürgern zu gelangen. Dabei werden ELSTER, das Finanzamt oder das BZSt als Absender vorgetäuscht. Die Empfehlung der Behörde ist eindeutig: Klicken Sie nicht auf eingebettete Links in E-Mails, wenn Sie Zweifel an deren Authentizität haben.
Dabei gilt als oberster Grundsatz: Deutsche Behörden versenden keine Steuerbescheide oder Prüfungsaufforderungen per E-Mail. Dieser Grundsatz war schon vor DAC8 gültig und gilt uneingeschränkt weiter. Wenn Sie eine solche E-Mail erhalten, können Sie sicher sein, dass es sich nicht um ein echtes Behördenschreiben handelt. Amtliche Kommunikation erfolgt auf dem Postweg, gegebenenfalls ergänzt durch Nachrichten im authentifizierten ELSTER-Postfach — nicht jedoch durch unaufgeforderte E-Mails mit externen Links.
Was Opfer riskieren: Identitätsdiebstahl und Folgekriminalität
Wenn Sie Ihre Daten auf der gefälschten ELSTER-Seite eingeben, übergeben Sie den Angreifern weit mehr als einen Benutzernamen. Die Phishing-Seite ist darauf ausgelegt, ELSTER-Zertifikate, Steuernummern, Kontoverbindungen und Wallet-Informationen abzugreifen. Mit diesen Informationen können die Täter Ihre Steueridentität übernehmen, betrügerische Erstattungsanträge stellen und weiteren Datenmissbrauch betreiben. In besonders schwerwiegenden Fällen werden die abgegriffenen Daten für Angriffe auf Ihr Bankkonto genutzt.
Darüber hinaus öffnet eine einmalige Dateneingabe weitere Betrugsmaschen. Wer auf Phishing hereingefallen ist, wird häufig in sogenannte Follow-up-Scams eingebunden, bei denen Betrüger als angebliche „Rückgewinnungshelfer“ auftreten. Außerdem landen kompromittierte Daten oft in Underground-Marketplaces und werden an weitere kriminelle Akteure verkauft. Daher ist schnelles Handeln nach einem Datenverlust entscheidend.
Besonders gefährdet sind Personen, die ihr ELSTER-Zertifikat im selben Browser speichern, mit dem sie auf verdächtige Links klicken. In diesem Fall kann der Angreifer nicht nur Zugangsdaten, sondern auch aktive Sitzungen übernehmen. Mehr zu den technischen Möglichkeiten der Rückverfolgung solcher Angriffe erläutert unser Artikel zum Krypto-Tracing und der Blockchain-Forensik.
Strafrechtliche Einordnung: Was die Betrüger riskieren
Der beschriebene Angriff ist strafrechtlich eindeutig einzuordnen. Das Versenden von E-Mails, die eine Behörde imitieren und Empfänger zur Dateneingabe auf einer gefälschten Seite verleiten, erfüllt den Tatbestand des Computerbetrugs nach § 263a StGB. Zugleich liegt klassischer Betrug nach § 263 StGB vor, da die Täter durch Täuschung einen Irrtum erregen und dadurch einen Vermögensvorteil anstreben. Sollten durch die abgegriffenen Daten Zahlungsvorgänge manipuliert werden, kommt zusätzlich die qualifizierte Variante des § 263a StGB in Betracht.
Soweit die Betrüger erlangte Vermögenswerte verschleiern, erfüllt das den Tatbestand der Geldwäsche nach § 261 StGB. Eine Einziehung ist nach § 73 StGB i.V.m. § 111e StPO möglich — auch dann, wenn die Täter im Ausland sitzen. Für die Einleitung eines Ermittlungsverfahrens genügt nach § 152 StPO in Verbindung mit § 170 StPO eine Strafanzeige mit hinreichenden Verdachtsanhaltspunkten.
Auf zivilrechtlicher Ebene steht Geschädigten ein Schadensersatzanspruch nach § 823 Abs. 2 BGB in Verbindung mit den verletzten Schutzgesetzen sowie nach § 826 BGB wegen vorsätzlicher sittenwidriger Schädigung zu. Haben Sie zudem Zahlungsdienstleistungen genutzt, greift unter Umständen § 675u BGB, der den Zahlungsdienstleister bei nicht autorisierten Transaktionen grundsätzlich in die Pflicht nimmt. Näheres zur Bankenhaftung finden Sie in unserem Überblick zur Bankhaftung bei Kryptobetrug.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Was Sie jetzt konkret tun sollten
Wenn Sie eine der beschriebenen Phishing-Mails erhalten haben, ohne auf den Link geklickt zu haben, ist die empfohlene Reaktion einfach: Löschen Sie die Mail und erstatten Sie Strafanzeige bei Ihrem lokalen Polizeipräsidium oder über die Online-Wache Ihres Bundeslandes. Jede gemeldete Phishing-Mail hilft den Behörden, das Ausmaß der Kampagne zu dokumentieren.
Falls Sie den Link geöffnet und Daten eingegeben haben, ist unverzügliches Handeln geboten. Zunächst ist es erforderlich, Ihr ELSTER-Passwort und Ihr ELSTER-Zertifikat sofort zu sperren und neu auszustellen. Anschließend sollten Sie Ihre Bank kontaktieren, betroffene Konten sperren lassen und eingetretene Schäden dokumentieren. Sichern Sie die Original-E-Mail als vollständige Quelldatei (EML-Format) und fertigen Sie Screenshots der aufgerufenen Seiten an. Diese Unterlagen bilden die Beweisgrundlage für das strafrechtliche Verfahren und etwaige zivilrechtliche Ansprüche.
Darüber hinaus empfiehlt es sich, alle weiteren Konten zu prüfen, bei denen Sie dieselbe E-Mail-Adresse oder dasselbe Passwort verwenden. Aktivieren Sie wo immer möglich die Zwei-Faktor-Authentifizierung. Ähnliche KI-gestützte Betrugsversuche mit Deepfake-Elementen werden in unserem Artikel über KI-Krypto-Betrug und Deepfake-Phishing 2026 behandelt.
Einordnung: Teil einer größeren Betrugswelle
Die ELSTER-Krypto-Phishing-Kampagne steht nicht für sich allein. Sie ist Teil eines wachsenden Musters, bei dem legitime Regulierungsvorhaben als Kulisse für organisierte Cyberkriminalität dienen. Die Täter agieren arbeitsteilig: Eine Gruppe betreibt die Phishing-Infrastruktur, eine andere kümmert sich um die Verwertung der gestohlenen Daten. Die erbeuteten Mittel werden anschließend über Krypto-Mixer oder Scheinkonten gewaschen.
Für Sie als Betroffene oder Betroffener bedeutet das: Der unmittelbare finanzielle Schaden ist häufig nur die Spitze des Eisbergs. Identitätsdiebstahl kann langfristige Folgen für Ihre Kreditwürdigkeit und Ihre Steuersituation haben. Daher reicht eine rein technische Reaktion in vielen Fällen nicht aus. Rechtliche Schritte sind erforderlich, um Haftungsansprüche zu sichern und die Verjährung nicht verstreichen zu lassen.
Vergleichbare Betrugsmuster sind auch über gefälschte Ledger-Briefe bekannt, wie unser Artikel zum Ledger-Wallet-Phishing zeigt. Gegen Nutzer von Trade Republic wurden im Jahr 2026 zudem SMS-basierte Angriffe registriert, die in unserem Beitrag zum Trade Republic Phishing beschrieben werden. Die Methoden ähneln sich — und die rechtlichen Handlungsoptionen auch.
Häufig gestellte Fragen (FAQ)
Wie erkenne ich eine gefälschte ELSTER-Mail?
Echte Behördenkommunikation erfolgt in Deutschland grundsätzlich per Brief, nicht per E-Mail. Wenn Sie eine E-Mail erhalten, die angeblich vom Bundeszentralamt für Steuern oder von ELSTER stammt und Sie zur Überprüfung Ihrer Krypto-Daten auffordert, handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-Mail. Typische Merkmale sind eine unpersönliche Anrede, sprachliche Fehler, eine ungewöhnliche Absenderadresse sowie die Aufforderung, innerhalb weniger Werktage zu handeln — verbunden mit Drohungen wie Geldbuße oder Freiheitsstrafe. Behörden setzen keine Fristen per E-Mail und fordern keine Daten über eingebettete Links ab.
Was ist die DAC8-Richtlinie, und warum nutzen Betrüger sie als Vorwand?
DAC8 (Directive on Administrative Cooperation, 8. Fassung) ist eine echte EU-Richtlinie, die seit dem 1. Januar 2026 in Kraft ist. Sie verpflichtet Krypto-Dienstleister, steuerrelevante Transaktionsdaten automatisch an die zuständigen Finanzbehörden zu melden. In Deutschland wurde die Umsetzung am 19. Dezember 2025 beschlossen. Betrüger greifen dieses reale Regelwerk auf, weil es bei Krypto-Inhabern Unsicherheit erzeugt und die Forderung nach einem Datenabgleich plausibel wirkt. Tatsächlich leitet kein Behördenverfahren auf Basis von DAC8 per E-Mail einen individuellen Prüfvorgang ein — der Datenaustausch läuft ausschließlich zwischen den beteiligten Institutionen.
Was passiert, wenn ich auf den Button „Zur Datenüberprüfung“ geklickt und Daten eingegeben habe?
Wenn Sie Ihre Anmeldedaten auf einer gefälschten ELSTER-Seite eingegeben haben, besteht das Risiko von Identitätsdiebstahl, unberechtigtem Zugriff auf Ihre Steuerkonten und weiteren Betrugsversuchen. Es ist geboten, umgehend Ihre ELSTER-Zugangsdaten zu ändern, Ihre Bank zu informieren und Strafanzeige bei der Polizei zu erstatten. Sichern Sie alle Beweise — die originale E-Mail, Screenshots und Verbindungsprotokolle — bevor Sie die Mail löschen. Diese Nachweise sind für eine spätere rechtliche Geltendmachung unerlässlich.
Welche Straftatbestände erfüllt der ELSTER-Krypto-Phishing-Angriff?
Das Versenden betrügerischer Behörden-E-Mails erfüllt den Straftatbestand des Computerbetrugs nach § 263a StGB sowie des klassischen Betrugs nach § 263 StGB. Eingezogene Vermögenswerte können nach § 73 StGB i.V.m. § 111e StPO sichergestellt werden — auch dann, wenn die Täter im Ausland ansässig sind. Auf zivilrechtlicher Ebene ergibt sich für Geschädigte ein Schadensersatzanspruch nach § 823 Abs. 2 BGB in Verbindung mit den verletzten Strafnormen sowie nach § 826 BGB wegen vorsätzlicher sittenwidriger Schädigung.
Kann ich durch Phishing entstandenen Schaden von meiner Bank zurückfordern?
Ob und in welchem Umfang die Bank haftet, hängt von den konkreten Umständen des Einzelfalls ab. Grundsätzlich sieht § 675u BGB eine Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge vor. Allerdings kann die Bank nach § 675v BGB Einwände erheben, wenn Sie als Kontoinhaberin oder Kontoinhaber grob fahrlässig gehandelt haben — etwa durch die direkte Weitergabe von PIN oder TAN an Dritte. Eine spezialisierte Kanzlei kann einschätzen, ob in Ihrem Fall ein Erstattungsanspruch gegenüber dem Kreditinstitut realistisch ist.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern