Steuerberater gehackt: 12.000 Mandantendatensätze durch kompromittiertes E-Mail-Konto gestohlen
Ein Steuerberater verliert durch einen Phishing-Angriff Zugriff auf sein E-Mail-Konto. 12.000 Mandantendatensätze werden abgegriffen — der finanzielle Schaden ist verheerend.
Phishing
€1.6 Mio.
€420.000 DSGVO-Bußgeld
Der Vorfall
Am Montag, den 3. März 2025, um 8:17 Uhr, loggte sich Steuerberater Jürgen Wiesner in sein E-Mail-Postfach ein. Oder besser gesagt: Er versuchte es. Das Passwort funktionierte nicht. Er tippte es erneut ein. Nichts. Ein dritter Versuch. „Falsches Passwort."
Jürgen Wiesner, 54 Jahre alt, Inhaber der Steuerkanzlei Wiesner & Schreiber in Augsburg, hielt es für ein technisches Problem. Er rief seinen IT-Dienstleister an. Der Techniker prüfte das System und wurde blass. Das Passwort war vor 38 Stunden geändert worden — am Samstagabend um 22:41 Uhr. Und es war nicht Jürgen Wiesner, der es geändert hatte.
Die Rekonstruktion des Angriffs ergab ein erschreckendes Bild. Am Freitag, den 28. Februar, um 14:23 Uhr, hatte Wiesner eine E-Mail von seinem vermeintlichen Kammerbeitragssystem erhalten. Betreff: „Wichtig: Aktualisierung Ihrer DATEV-Zugangsdaten erforderlich — Frist 01.03." Die E-Mail war professionell gestaltet, mit DATEV-Logo, korrekter Absenderadresse (die tatsächlich eine geschickt gefälschte Domain war: datev-sicherheit.de statt datev.de) und einem Link zu einer täuschend echten Login-Seite.
Wiesner gab seine E-Mail-Adresse und sein Passwort ein. Er nutzte dasselbe Passwort für sein DATEV-Konto und sein geschäftliches E-Mail-Konto. Keine Multi-Faktor-Authentifizierung. Kein Passwort-Manager. Ein Passwort für alles.
Was zwischen Freitag, 14:23 Uhr, und Montag, 8:17 Uhr, geschah, war eine systematische Plünderung. Die Angreifer hatten 58 Stunden ungestörten Zugang zu einem E-Mail-Konto, das über acht Jahre Mandantenkorrespondenz enthielt.
In diesem Postfach lagen: 12.347 E-Mails mit Anhängen. Steuererklärungen, Jahresabschlüsse, Lohnabrechnungen, Personalausweiskopien, Vollmachten, Bankverbindungen, SCHUFA-Auszüge. Die komplette finanzielle Lebensgeschichte von 1.843 Mandanten — Privatpersonen, Freiberufler und mittelständische Unternehmen.
Die Angreifer leiteten sich die gesamte Korrespondenz an eine externe Adresse weiter. Dann änderten sie das Passwort, richteten eine Weiterleitung aller eingehenden E-Mails ein und verschwanden.
Die Eskalation
Montag, 3. März, Mittag: Der IT-Dienstleister stellte die Weiterleitung fest und deaktivierte sie. Aber der Schaden war bereits angerichtet. Die komplette E-Mail-Historie war kopiert worden. Der IT-Dienstleister empfahl, sofort einen Incident-Response-Spezialisten hinzuzuziehen.
Montag, 3. März, Abend: Die externe Forensik-Firma bestätigte: Alle E-Mails mit Anhängen waren exfiltriert worden. 12.347 E-Mails, insgesamt 34 Gigabyte an Daten. Die Angreifer hatten auch Wiesners DATEV-Zugang genutzt, um auf weitere Mandantendaten zuzugreifen. Das Ausmaß wuchs mit jeder Stunde der Analyse.
Dienstag, 4. März: Meldung an die Datenschutzbehörde nach Art. 33 DSGVO. Wiesner stand vor der Aufgabe, 1.843 Mandanten über die Datenpanne zu informieren. Für einen Steuerberater — dessen Geschäftsmodell auf absolutem Vertrauen basiert — war dies der schlimmste vorstellbare Schritt.
Woche 2: Die ersten Mandanten meldeten verdächtige Aktivitäten. Drei Mandanten erhielten Anrufe von angeblichen Finanzamtsmitarbeitern, die detaillierte Kenntnisse über ihre Steuersituation hatten — ein klassischer Spear-Phishing-Angriff mit den gestohlenen Daten. Ein Mandant überwies 24.000 Euro auf ein betrügerisches Konto, bevor der Betrug aufflog.
Woche 3: Acht Mandanten erstatteten Strafanzeige. Nicht nur gegen die unbekannten Angreifer, sondern auch gegen die Kanzlei Wiesner & Schreiber. Der Vorwurf: Fahrlässiger Umgang mit vertraulichen Mandantendaten.
Monat 2: Die Angreifer nutzten die gestohlenen Personalausweiskopien und Steuer-IDs für Identitätsdiebstahl. Mindestens 23 Mandanten wurden Opfer: gefälschte Kreditanträge, betrügerische Kontoeröffnungen, fingierte Steuererstattungsanträge beim Finanzamt. Die Schadenssumme durch Identitätsdiebstahl überstieg 340.000 Euro.
Monat 4: Die Datenschutzbehörde schloss ihre Untersuchung ab und verhängte ein Bußgeld von 420.000 Euro.
Der Schaden im Detail
Finanzieller Schaden
| Kostenposition | Betrag |
|---|---|
| DSGVO-Bußgeld | 420.000 € |
| Schadensersatz an Mandanten (Vergleiche) | 480.000 € |
| IT-Forensik und Incident Response | 95.000 € |
| Externe Rechtsberatung | 140.000 € |
| Benachrichtigung der Betroffenen | 35.000 € |
| Neue IT-Sicherheitsinfrastruktur | 120.000 € |
| Identitätsdiebstahl-Folgeschäden (anteilig) | 180.000 € |
| Umsatzrückgang durch Mandantenverlust | 130.000 € |
| Gesamtschaden | 1.600.000 € |
Reputationsschaden
Von den 1.843 Mandanten wechselten 412 innerhalb eines Jahres die Kanzlei — ein Mandantenverlust von 22 %. Der Umsatz der Kanzlei fiel von 1,1 Millionen Euro auf 780.000 Euro. Die Augsburger Lokalzeitung berichtete mehrfach über den Fall, und in Online-Bewertungsportalen häuften sich negative Einträge. Ein Mandant schrieb: „Meine gesamten Finanzdaten sind jetzt in kriminellen Händen, weil mein Steuerberater dasselbe Passwort für alles benutzt hat."
Rechtliche Konsequenzen
Das Bußgeld von 420.000 Euro basierte auf:
- Art. 32 DSGVO (Sicherheit der Verarbeitung): Keine Multi-Faktor-Authentifizierung, identische Passwörter für verschiedene Systeme, keine E-Mail-Verschlüsselung für sensible Anhänge. 250.000 €.
- Art. 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit): Der Schutz der Mandantendaten war unzureichend. 120.000 €.
- Art. 25 DSGVO (Datenschutz durch Technikgestaltung): Sensible Mandantendokumente wurden routinemäßig als unverschlüsselte E-Mail-Anhänge empfangen und archiviert. 50.000 €.
Die Steuerberaterkammer leitete ein berufsrechtliches Verfahren ein. Wiesner erhielt eine Rüge und die Auflage, innerhalb von sechs Monaten ein zertifiziertes IT-Sicherheitskonzept vorzulegen.
Auswirkungen auf den Betrieb
Wiesners Partnerin, Steuerberaterin Kathrin Schreiber, verließ die Kanzlei. Sie gründete eine eigene Praxis und nahm 180 Mandanten mit. Wiesner musste einen Kredit über 500.000 Euro aufnehmen, um die Kosten zu decken. Mit 54 Jahren stand er vor einem Schuldenberg, der seine Altersvorsorge bedrohte.
Was schiefgelaufen ist
1. Ein Passwort für alles: Jürgen Wiesner nutzte dasselbe Passwort für sein E-Mail-Konto, DATEV, sein Online-Banking und mehrere weitere Dienste. Ein einziges kompromittiertes Passwort öffnete alle Türen.
2. Keine Multi-Faktor-Authentifizierung: MFA hätte den Angriff sofort gestoppt. Selbst mit dem richtigen Passwort hätten die Angreifer ohne den zweiten Faktor keinen Zugang erhalten. MFA ist kostenlos verfügbar und in wenigen Minuten einzurichten.
3. E-Mail als Dokumentenarchiv: Das Hauptproblem war nicht nur der gehackte Account, sondern die Tatsache, dass acht Jahre Mandantenkorrespondenz mit sämtlichen sensiblen Anhängen im E-Mail-Postfach lagen. E-Mail ist kein sicheres Dokumentenmanagementsystem. Jede E-Mail mit einem Steuerbescheid, jeder Gehaltsnachweis im Anhang vergrößerte die potenzielle Schadensmasse.
4. Kein sicherer Dokumentenempfang: Mandanten schickten Unterlagen per E-Mail, weil es keinen anderen Kanal gab. Ein sicheres Upload-Portal hätte verhindert, dass sensible Dokumente überhaupt per E-Mail transportiert werden. Die Dokumente wären verschlüsselt auf einem separaten, gesicherten System gelandet — nicht im E-Mail-Postfach.
5. Fehlende Phishing-Erkennung: Wiesner erkannte die Phishing-E-Mail nicht. Die Domain „datev-sicherheit.de" unterschied sich von „datev.de" — aber in der Hektik des Freitagnachmittags fiel das nicht auf. Regelmäßiges Security-Awareness-Training hätte die Alarmglocken läuten lassen.
Die Lehren
Trennen Sie Dokumentenempfang von E-Mail. Wenn Mandanten sensible Unterlagen über sichere Upload-Links einreichen statt per E-Mail, wird das E-Mail-Postfach nicht zum Hochsicherheitstresor, der bei einem Hack alles preisgibt. Dokumente landen verschlüsselt in einem separaten System mit Audit-Trail und Zugriffskontrolle.
Multi-Faktor-Authentifizierung ist Pflicht. Für jeden Dienst, der mit personenbezogenen Daten arbeitet, muss MFA aktiviert sein. Das ist keine Empfehlung — es ist nach Art. 32 DSGVO eine Pflicht, wenn das Risiko hoch ist. Bei Steuerberaterdaten ist das Risiko immer hoch.
Passwörter dürfen niemals wiederverwendet werden. Ein Passwort-Manager generiert und speichert einzigartige, starke Passwörter für jeden Dienst. Kostenlose Optionen existieren. Es gibt keine Ausrede.
E-Mail-Archive regelmäßig bereinigen. Alte E-Mails mit sensiblen Anhängen, die keinem aktiven Zweck mehr dienen, müssen gelöscht werden. Je weniger Daten im E-Mail-Postfach liegen, desto geringer der Schaden bei einem Hack.
Schützen Sie Ihre Mandantendaten vor dem nächsten Phishing-Angriff. Testen Sie SendMeSafe 14 Tage kostenlos — Mandanten reichen Unterlagen über verschlüsselte Upload-Links ein, nicht per E-Mail. Keine Kreditkarte erforderlich.
Häufig gestellte Fragen
Wie häufig werden Steuerberater Opfer von Phishing?
Steuerberater gehören zu den am häufigsten angegriffenen Berufsgruppen, weil sie Zugang zu hochsensiblen Finanzdaten haben. Die Bundessteuerberaterkammer berichtet, dass die Zahl der Cyberangriffe auf Kanzleien zwischen 2023 und 2025 um 67 % gestiegen ist. Die Angreifer werden dabei immer professioneller: KI-generierte Phishing-E-Mails sind kaum noch von echten Nachrichten zu unterscheiden.
Bin ich als Steuerberater persönlich haftbar für einen Datenschutzvorfall?
Als Inhaber einer Einzelkanzlei haften Sie vollumfänglich. Bei Partnerschaften und GmbHs kann die Geschäftsführerhaftung greifen, wenn nachweisbar ist, dass angemessene Sicherheitsmaßnahmen fahrlässig unterlassen wurden. Darüber hinaus können betroffene Mandanten nach Art. 82 DSGVO Schadensersatz geltend machen — sowohl für materielle Schäden (z. B. durch Identitätsdiebstahl) als auch für immaterielle Schäden (z. B. Angst und Kontrollverlust über persönliche Daten).
Wie kann ich den Dokumentenempfang von Mandanten absichern?
Der effektivste Schritt ist die Einführung von sicheren Upload-Links. Statt Mandanten aufzufordern, Dokumente per E-Mail zu senden, erstellen Sie individuelle Upload-Links — mit Passwortschutz, Ablaufdatum und optionalem Dateigrößenlimit. Mandanten öffnen den Link im Browser, laden ihre Unterlagen hoch, und die Dateien landen verschlüsselt in Ihrem SendMeSafe-Konto. Kein E-Mail-Transport, kein Phishing-Risiko, vollständiger Audit-Trail.
Was soll ich tun, wenn ich vermute, auf eine Phishing-E-Mail hereingefallen zu sein?
Sofort handeln: Ändern Sie umgehend das Passwort des betroffenen Kontos. Aktivieren Sie Multi-Faktor-Authentifizierung. Prüfen Sie, ob E-Mail-Weiterleitungen eingerichtet wurden. Informieren Sie Ihren IT-Dienstleister und lassen Sie das Konto forensisch prüfen. Wenn personenbezogene Daten betroffen sein könnten, müssen Sie innerhalb von 72 Stunden die zuständige Datenschutzbehörde informieren (Art. 33 DSGVO).
Häufig gestellte Fragen
Lassen Sie es nicht so weit kommen
Schützen Sie Ihre Daten mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen