Cyberkriminelle versuchen immer wieder, mit täuschend echt wirkenden E-Mails Vertrauen zu erschleichen – diesmal im Namen des „Bundeszentralamt für Steuern“. Die Nachricht wirkt auf den ersten Blick wie ein amtlicher Bescheid und enthält augenscheinlich sogar offizielle Angaben wie Dateinummer, Untersuchungsbeginn und Absenderadresse. Ziel ist es, die Empfänger dazu zu bringen, den Dateianhang zu öffnen und den im Anhang (PDF) angegebenen Betrag auf das Konto der Betrüger zu überweisen.
Bevor man sich von solchen E-Mails verunsichern lässt, lohnt es sich, einen genaueren Blick darauf zu werfen. Denn schon kleine Details können ein Anzeichen dafür sein, dass hier etwas nicht stimmt. Wir nehmen die Phishing-Mail im Folgenden Schritt für Schritt unter die Lupe – und zeigen, woran man erkennt, dass sie nicht echt ist. Wenn du weißt, worauf du achten musst, kannst du dich und andere besser vor solchen Betrugsversuchen schützen.
Inhaltsverzeichnis
- Das Bundeszentralamt für Steuern hat einen Bescheid an Ihre E-Mail-Adresse versendet?
- Analyse der E-Mail: Sieht offiziell aus – ist aber ein Fake!
- Was verrät der E-Mail-Header?
- Schritt-für-Schritt: Was zeigt der Header der betrügerischen Mail?
- Ist diese E-Mail vertrauenswürdig?
- Empfohlene Maßnahmen und Tipps für den Alltag
- Warum sind PDF-Dateien gefährlich?
- So untersuchst du ein verdächtiges PDF sicher
- Was tun, wenn du das PDF versehentlich geöffnet hast?
- Vertrauen ist gut, Kontrolle ist besser!
Das Bundeszentralamt für Steuern hat einen Bescheid an Ihre E-Mail-Adresse versendet?
Abb. 1: Screenshot von der gefälschten, betrügerischen Mail mit dem Titel: „Das Bundeszentralamt für Steuern hat einen Bescheid an Ihre E-Mail-Adresse versendet“
Analyse der E-Mail: Sieht offiziell aus – ist aber ein Fake!
Die E-Mail ist optisch gut gemacht, was typisch für Phishing- und Betrugs-Versuche ist. Solche Mails zielen darauf ab, Vertrauen zu erwecken – und gleichzeitig Angst oder Dringlichkeit zu erzeugen, um zur Handlung zu bewegen (z. B. den Anhang zu öffnen).
1. Das Design wirkt professionell und offiziell
- Nutzt klassische Behörden-Farben: Schwarz, Gold, Grün
- Enthält einen Bundesadler als Logo (verlinkt:
https://steuermeldung-bzst.de/logo.png) - Klare Struktur, viele „behördlich klingende“ Begriffe, siehe Abb. 1, Punkt 2:
- „Finanzaufsicht“
- „Bescheid“
- „Dateinummer“
- „Beginn der Untersuchung“
- Trick: Optisch kann das jeden täuschen. Aber: Ämter verschicken keine PDF-Bescheide per E-Mail ohne vorherige Authentifizierung (z. B. über ELSTER oder das BZStOnline-Portal)!
2. Der Dateiname wurde gezielt personalisiert
Bescheid_Deine_Firmenbezeichnung_GmbH.pdf
- Die Firmenbezeichnung wird korrekt wiedergegeben, denn Individualisierung erhöht das Vertrauen. Die Daten wurden vermutlich durch automatisierte Datengewinnung „gescraped“ (Bots).
- Betrüger nutzen oft Datenlecks oder öffentliche Firmenregister, um echte Daten (Namen, Firmenbezeichnungen) einzusetzen.
Warnzeichen: Je persönlicher ein Fake wirkt, desto wahrscheinlicher ist ein Angriff (z. B. per Trojaner im PDF).
3. Kein Link, aber ein Anhang (PDF) der täuschend echt wirkt
Die Mail spricht von einem PDF-Anhang – aber im HTML selbst ist er nicht eingebunden. Das kann bedeuten:
- Der Anhang wird nachgeladen oder beim Versand ergänzt.
- Oder: die Mail wurde so gestaltet, dass Antivirenfilter getäuscht werden und somit nichts finden.
- Das gefälschte, zweiseitige PDF-Formular wirkt täuschend echt, siehe Abb. 2 und 3.
- Der angegebene Empfänger auf Seite 2: „Zentrale Steuerstelle“ stimmt nicht mit der offiziellen Bezeichnung „Bundeszentralamt für Steuern“ überein.
- Das Länderkürzel der IBAN verrät, dass sich das Konto des Empfängers nicht in Deutschland (DE), sondern in Estland (ES) befindet.
Kritisch: PDF-Anhänge in Mails angeblicher Behörden sind ein beliebtes Mittel für Malware (z. B. Banking-Trojaner, Remote-Zugänge).
4. Impressum & rechtliche Hinweise sind nur Schein-Sicherheit
„USt-IdNr. gem. §27a UStG: DE259582878“
„An der Kippe 1, 53225 Bonn“
- Diese Angaben stimmen zum Teil mit echten Daten des BZSt überein
- Betrüger kopieren Daten aus Impressen, um Vertrauen zu erwecken
Falle: Rechtliche Details allein machen eine Mail nicht sicher. Jeder kann diese Angaben einfach kopieren.
Was verrät der E-Mail-Header?
Header der angeblichen E-Mail vom Bundeszentralamt für Steuern:
Absender: buchung@steuermeldung-bzst.de
Betreff: Bescheid für Firmenbezeichnung XYZ
Return-Path: <buchung@steuermeldung-bzst.de>
Sicherheitsprüfungen: DKIM=pass
Versandserver: mail.steuermeldung-bzst.de (IP: 5.230.132.47)
Was ist ein E-Mail-Header?
Ein E-Mail-Header enthält viele technische Informationen, die für normale Nutzer nur sichtbar sind, wenn in ihrem E-Mail-Client entsprechende Einstellungen vorgenommen worden sind. Zu den im E-Mail-Header mitgelieferten technischen Informationen zählen Angaben wie:
- Wer die E-Mail verschickt hat (Absenderadresse)
- Welcher Server sie gesendet hat
- Ob Sicherheitsprüfungen bestanden wurden
- Wann und wie sie zugestellt wurde
Schritt-für-Schritt: Was zeigt der Header der betrügerischen Mail?
1. Absenderadresse & Domain verdächtig
buchung@steuermeldung-bzst.de
- Das BZSt verwendet die Domain
bzst.de(offiziell). - Die Domain
steuermeldung-bzst.deist nicht authentisch, auch wenn sie „echt“ klingt, siehe Abb. 1, Punkt 1.
Tipp: Bei offiziellen Mails von Behörden immer auf die echte Domain achten. Falsche Domains sind ein Hauptmerkmal von Phishing, Spam oder Scam.
2. Return-Path:
buchung@steuermeldung-bzst.de
Das ist die Adresse, an die Antworten (oder Fehlermeldungen) gesendet werden. Sie ist identisch mit der Absenderadresse.
Vorsicht: Der Return-Path oder aber auch die Absender-Adresse können gefälscht sein – sie geben keine verlässliche Auskunft darüber, ob die Mail wirklich von einer Behörde stammt.
3. Authentication-Results: dkim=pass
Die DKIM-Prüfung ist bestanden. Das bedeutet: Der Absender hat eine digitale Signatur mitgeschickt, die zu seiner Domain passt.
Das klingt gut. Aber: Betrüger können auch Domains kaufen, die echt aussehen, z. B. „steuermeldung-bzst.de“ statt „bzst.de“ (der echte Domainname der Behörde).
4. Received: from mail.steuermeldung-bzst.de ([5.230.132.47])
→ Die Mail kam von einem Server mit dieser IP-Adresse (5.230.132.47).
Verdächtig: Eine schnelle Whois-Abfrage zeigt: Diese IP gehört nicht zum offiziellen Bundeszentralamt für Steuern, sondern zu einem Hostinganbieter.
5. DKIM-Signature
Eine digitale Signatur, die zeigt, dass die Mail von einem Server mit Erlaubnis dieser Domain gesendet wurde.
Das heißt: Die Domain „steuermeldung-bzst.de“ existiert wirklich und hat den Versand technisch korrekt signiert.
Aber: Die echte Seite der Finanzbehörden ist bzst.de (ohne „steuermeldung-“ davor). Das hier ist eine gefälschte Domain, die aussieht wie eine offizielle – ein typischer Trick bei Phishing!
Ist diese E-Mail vertrauenswürdig?
Nein. Es handelt sich dabei um eine betrügerische Mail.
- Die Domain „steuermeldung-bzst.de“ ist keine offizielle Domain des Bundeszentralamtes für Steuern.
- Die IP-Adresse gehört nicht zu einer Behörde und nicht zum Bundeszentralamt für Steuern.
- Der Aufbau und die technischen Details wirken professionell – typisch für gut gemachte Betrugsversuche.
Empfohlene Maßnahmen und Tipps für den Alltag
- Misstrauisch sein bei unbekannten Domains, selbst wenn sie „offiziell“ klingen.
- Bei Behörden immer direkt über die offizielle Website gehen (z. B. www.bzst.de).
- Header prüfen oder prüfen lassen (z. B. von einem IT-Fachmann oder Tools wie „Google Admin Toolbox“).
- Anhang auf keinen Fall öffnen! System auf Schadsoftware prüfen, wenn der Anhang versehentlich geöffnet wurde.
- Mail sofort löschen
Wenn du unsicher bist, kontaktiere das BZSt direkt über www.bzst.de – nicht über einen Link in der Mail!
Wie erkennt man einen gefährlichen PDF-Anhang – ohne ihn zu öffnen?
PDF-Dateien gelten als harmlos – schließlich sind es doch „nur Dokumente“, oder? Leider nicht immer. Cyberkriminelle nutzen PDFs häufig, um Viren, Trojaner oder schädliche Skripte zu verstecken. Die größte Gefahr: Man sieht es der Datei nicht an – und durch bloßes Öffnen kann schon ein Schaden entstehen.
Nachfolgend zeigen wir dir Schritt für Schritt, wie du eine verdächtige PDF-Datei untersuchen kannst, ohne sie zu öffnen.
Warum sind PDF-Dateien gefährlich?
PDFs können:
- JavaScript enthalten, das beim Öffnen automatisch ausgeführt wird
- Makros oder eingebettete Dateien verstecken
- Schwachstellen in alten PDF-Readern ausnutzen
- als Tarnung für andere Dateitypen dienen (z. B. eine
.exemit PDF-Symbol)
So untersuchst du ein verdächtiges PDF sicher
Vorab-Regel: NICHT öffnen!
Öffne eine verdächtige Datei nie direkt auf deinem Hauptgerät.
Wenn du Zweifel hast (z. B. nach dem Erhalt einer Phishing-Mail), folge dieser Anleitung:
1. Dateiendung überprüfen
Manche gefährliche Dateien tarnen sich als PDF:
Beispiel:
Rechnung.pdf.exe→ ist ein ausführbares Programm, kein PDFBescheid.pdf.scr→ ist ein Script, kein DokumentDokument.pdf→ mit Leerzeichen oder Sonderzeichen am Ende (unsichtbar!)
So prüfst du das:
- Unter Windows: Rechtsklick → Eigenschaften → Dateityp
- Alternativ: Dateinamen anzeigen lassen mit Dateiendung
2. Dateigröße checken
Normale PDFs mit Text oder Scans sind selten größer als 1–2 MB.
Wenn eine PDF-Datei mehrere Megabyte groß ist, obwohl sie angeblich nur ein kurzes Dokument enthält, kann das verdächtig sein.
Faustregel:
- < 500 KB = eher unauffällig (hier ist allerdings Vorsicht geboten, denn auch „kleine PDFs können potentiell gefährlich sein!)
- 1–3 MB = kritisch prüfen
- > 5 MB = höchst verdächtig, besonders bei angeblichen Steuerbescheiden, Rechnungen etc.
3. Virenscan nutzen (ohne zu öffnen)
Online-Tools wie:
Ziehe die verdächtige Datei dort per Drag & Drop in das Bereichsfeld hinein oder lade sie anonym hoch.
Diese Tools öffnen die Datei NICHT auf deinem PC, sondern analysieren sie in einer sicheren Umgebung.
Tipp: VirusTotal zeigt dir sogar, ob die Datei bekannte Schadsoftware enthält, z. B. Banking-Trojaner oder Remote-Zugriffs-Tools.
4. PDF-Inhalt „lesen“, ohne zu öffnen
Einige Tools oder Dienste können den Inhalt eines PDFs in Textform anzeigen, ohne es komplett zu laden:
- Tools wie PDF Examiner, PDFStreamDumper (für Profis)
- Oder: Öffne die Datei in einer sicheren virtuellen Maschine (nur für fortgeschrittene Nutzer)
Was tun, wenn du das PDF versehentlich geöffnet hast?
- Internetverbindung trennen
- Antivirenprogramm durchlaufen lassen
- System-Backup oder IT-Hilfe nutzen
- Im Zweifel: Gerät von Fachleuten prüfen lassen
Vertrauen ist gut, Kontrolle ist besser!
PDFs sind nicht automatisch sicher. Mit ein paar einfachen Prüfungen kannst du schädliche Dateien erkennen, ohne sie zu öffnen – und damit dein System und deine Daten schützen.
Merksatz:
„Wenn du’s nicht erwartest, dann ist’s verdächtig.“
Besonders bei angeblichen Behördenmails, Rechnungen oder Steuerbescheiden.
In diesem Beitrag erfährst du, wie du prüfen kannst, ob ein PDF-Anhang mit Malware infiziert ist – schnell und ohne technisches Vorwissen. Jetzt lesen und Risiken vermeiden!
Abonniere jetzt unsere Cyber-News!
Ca. alle 4 Wochen erhältst du wertvolle Insights, Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
