Cyberangriffe auf Steuerexperten

Genauso wie Banken, Versicherungen oder Technologieunternehmen ist auch das Steuerumfeld vor Cyberangriffen nicht gefeit. In den USA warnte der Internal Revenue Service (IRS) kürzlich vor neuen Phishing-Versuchen, die gezielt Steuerberichterstattungsfirmen und Steuervorbereitungs-Experten anvisieren. Diese Phishing-E-Mails werden speziell entwickelt, um sensible Steuerinformationen zu sammeln, die es Kriminellen ermöglichen, betrügerische Steuererklärungen vorzubereiten und einzureichen.

Cyberangriffe in Form von Phishing-E-Mails

Dieser Betrug wird in zwei Stufen ausgeführt: Zuerst erhält der Steuerexperte eine E-Mail von einem potenziellen Kunden, der nach spezifischen Steuerdienstleistungen nachfragt. Wenn der Steuerexperte auf die E-Mail antwortet, sendet der Kriminelle in einem nächsten Schritt eine zweite E-Mail, die entweder einen bösartigen eingebetteten Link oder einen PDF-Anhang mit einem eingebetteten Link enthält. Wenn der Steuerexperte auf den Link klickt, sammeln die Betrüger die E-Mail-Kontoinformationen und Passwörter des Opfers (oder sogar noch mehr Informationen). Solche Phishing-E-Mails können auch so geschickt getarnt sein, dass sie von einer scheinbar legitimen Quelle kommen (beispielsweise jemand aus der eigenen Kontaktliste).

Ein Allheilmittel gibt es nicht

Wenn Cyberangreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen nur eine einzige Schwachstelle finden, um Schaden anzurichten. Vor allem Menschen sind die Einfallstore Nummer eins. Häufig sind es arglose Mitarbeiter, die schädliche E-Mails öffnen oder auf einen anderen Trick der Kriminellen hereinfallen. Gegen Social–Engineering-Attacken wie z.B. Phishing oder Ransomware bleibt eine der besten Schutzmassnahmen kontinuierliches Awareness-Training, d.h., dass man die "menschliche Abwehrschicht" stärkt, indem man den Mitarbeitern hilft und ihnen aufzeigt, wie sie verdächtige E-Mails erkennen und wo sie diese melden können.

Für Unternehmen bedeutet das, jede auch nur erdenkliche Lücke im Vorfeld zu identifizieren und Mitarbeiter zu sensibilisieren. Eine mühsame, kleinteilige Arbeit, die viel Zeit und kostenintensive Tests voraussetzt. Doch es ist unumgänglich. Wie ein Einbrecher verfolgt auch die organisierte Cyberkriminalität in der Regel eine kühle Kosten-Nutzen-Rechnung. Muss ein Hacker mehr investieren, als er am Ende damit verdient, wird er sich ein leichteres Opfer suchen.

###

Lesen Sie hier weitere Blogbeiträge zum Thema Cyberkriminalität und Digitalisierung im Steuerrecht.