DATEV warnt vor gezielter Phishing-Welle vor Weihnachten
23.12.2025 - 07:54:12Cyberkriminelle nutzen den Jahresendstress für gezielte Angriffe auf DATEV-Zugänge und SmartLogin-App mit täuschend echten Nachrichten. Experten warnen vor einer neuen Qualität der Bedrohung.
Kurz vor Weihnachten greifen Cyberkriminelle deutsche Unternehmen und Steuerberater mit einer massiven Phishing-Welle an. Sie nutzen den Zeitdruck der Jahresabschlüsse gnadenlos aus und zielen gezielt auf die DATEV-App und Zugangsdaten zu „Unternehmen online“ ab.
Sicherheitsexperten und DATEV selbst warnen vor einer neuen Qualität der Angriffe. Die aktuelle Welle erreichte in den letzten 72 Stunden ihren Höhepunkt und setzt auf täuschend echte Benachrichtigungen statt plumper Massen-Mails.
„Rechnung (1)“: So sieht die perfide Falle aus
Tausende Unternehmen erhalten derzeit E-Mails mit den Betreffzeilen „Per E-Mail senden: Rechnung (1)“ oder „Überfällige DATEV-Rechnung Nr. 2141212205“. Die Nachrichten kopieren das DATEV-Design nahezu perfekt.
In der E-Mail fordert eine Schaltfläche wie „DATEV Rechnung“ oder „Jetzt prüfen“ zum Klicken auf. Der Link führt jedoch nicht zu DATEV, sondern auf gefälschte Seiten – häufig über Domains wie „spoo.me“. Diese simulieren Login-Masken für „DATEV Unternehmen online“.
Aktuelle Phishing‑Wellen zeigen, wie leicht DATEV‑Logins und SmartLogin‑Autorisierungen gekappt werden können – mit katastrophalen Folgen für Firmenbuchhaltung und Lohnabrechnung. Das kostenlose Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie gefälschte Login‑Seiten, manipulierte Push‑Anfragen und CEO‑Fraud erkennen und abwehren. Praxisnah wird gezeigt, wie Fake‑Domains (z. B. spoo.me) enttarnt und interne Meldewege sofort aktiviert werden. Kostenlos zum Download für Entscheider und IT‑Verantwortliche. Anti‑Phishing‑Paket jetzt kostenlos anfordern
Besonders perfide: Die Mails enthalten oft drei angehängte Dateien, die ebenfalls auf die schädliche Domain verweisen. Die Angreifer spekulieren darauf, dass Buchhalter in der Hektik des Jahresendes die Anhänge reflexartig öffnen.
Gefälschte Absender und der Angriff auf die Zwei-Faktor-Authentifizierung
Die Absenderadresse erscheint oft als „DATEV eG“, obwohl sich dahinter manipulierte Freemail-Adressen verbergen. Eine besonders gefährliche Variante zielt direkt auf die DATEV SmartLogin-App ab.
Nutzer, die ihre Daten auf der Phishing-Seite eingeben, erhalten zeitgleich eine Push-Benachrichtigung auf ihre echte App. Die gefälschte Seite fordert sie auf, den Login dort zu bestätigen. Wer dies tut, gibt Kriminellen in Echtzeit Zugriff auf sensible Finanz- und Lohndaten.
Warum die Angriffe gerade jetzt zuschlagen
Der Zeitpunkt ist strategisch gewählt. Der 23. Dezember ist für viele Büros der letzte Arbeitstag vor den Feiertagen. Der Stresspegel ist hoch:
* Weihnachtsgehälter und Boni müssen verbucht sein
* Jahresabschlüsse werden vorbereitet
* Fristen für Umsatzsteuervoranmeldungen rücken näher
In dieser Situation sinkt die Wachsamkeit. Eine E-Mail, die ein Problem mit einer Rechnung suggeriert, löst sofortigen Handlungsdruck aus. Kriminelle wissen: Niemand will über Weihnachten einen gesperrten DATEV-Zugang riskieren.
Die Verbraucherzentrale warnt explizit vor Mails mit Druck-Formulierungen wie „Ihr Zugang wird in 24 Stunden gesperrt“. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert seit Mitte Dezember einen Anstieg von Cyberangriffen auf Finanzdienstleister.
Professionelle Täuschung: KI macht Phishing-Mails perfekt
Experten beobachten eine besorgniserregende Professionalisierung der Angreifer. Die Texte der aktuellen Kampagne sind grammatikalisch einwandfrei und im Tonfall absolut professionell – dank generativer KI.
„Wir sehen hier keine Script-Kiddies mehr“, kommentiert ein IT-Sicherheitsberater die Lage. „Das sind organisierte Banden, die genau wissen, wie die DATEV-Infrastruktur aussieht und wie Buchhaltungsprozesse funktionieren.“
Sogar KI-gestützte Anrufe (Vishing) sind im Einsatz. Dabei gibt sich eine synthetische Stimme als „DATEV Support“ aus und behauptet, ein Sicherheitsrisiko müsse durch eine Bestätigung in der SmartLogin-App behoben werden.
Was Nutzer jetzt tun sollten
Die technische Absicherung durch Firewalls reicht nicht mehr aus, wenn der Mensch als „Sicherheitslücke“ manipuliert wird. Unternehmen müssen ihre Mitarbeiter dringend sensibilisieren.
Diese vier Schritte schützen:
1. Ruhe bewahren: Klicken Sie nicht auf Links in Rechnungs-E-Mails, die Sie nicht explizit angefordert haben.
2. Adress-Check prüfen: Die echte DATEV-Adresse endet immer auf .datev.de. Domains wie spoo.me sind Fakes.
3. App-Kontrolle: Bestätigen Sie niemals eine Anfrage in der SmartLogin-App, wenn Sie sich nicht gerade selbst aktiv am PC einloggen.
4. Meldung: Leiten Sie verdächtige Mails an abuse@datev.de weiter.
Mit dem Jahreswechsel ist keine Entspannung in Sicht. Sicherheitsexperten prognostizieren für Januar 2026 bereits die nächste Welle – dann wahrscheinlich mit Themen wie neuen Steuergesetzen oder fehlenden Sozialversicherungsnachweisen.
PS: Viele Angriffe kommen gerade zum Jahresende – besonders Steuerberater und Buchhaltungsabteilungen sind gefährdet. Das Anti‑Phishing‑Paket liefert eine sofort umsetzbare Notfall‑Checkliste, Vorlagen für interne Warnungen und ein Trainingsscript, damit gefälschte Push‑Anfragen in der SmartLogin‑App nicht zur Eintrittskarte für Kriminelle werden. Ideal für Geschäftsführer, IT‑Leiter und Kanzlei‑Inhaber. Jetzt Anti‑Phishing‑Guide herunterladen
