DSFA

Das Warten hat ein Ende
Ailance™ DSFA ist da!

Phishing bei Finanzbehörde HMRC: 47 Millionen Pfund Schaden durch gefälschte Steuerkonten

Scammer haben über das britische Finanzamt HMRC (Her Majesty’s Revenue and Customs) rund 47 Millionen Pfund über betrügerisch eröffnete Steuerkonten erbeutet.
Kategorien:

Das britische Finanzamt HMRC (Her Majesty’s Revenue and Customs) hat mitgeteilt, dass Cyberkriminelle rund 47 Millionen Pfund über betrügerisch eröffnete Steuerkonten erbeutet haben. Über 100.000 Personen sind davon betroffen, oft ohne es zu wissen. Dabei handelte es sich nicht um einen klassischen Hack, sondern um eine Phishing-basierte Social-Engineering-Kampagne. Die Angreifer missbrauchten legitime Zugangsdaten, um sich als Steuerzahler auszugeben und Rückerstattungen zu beantragen.

Phishing statt technischer Kompromittierung

Der Angriff auf HMRC war kein klassischer IT-Sicherheitsvorfall, bei dem ein System durch Malware kompromittiert oder ein technischer Exploit eingesetzt wurde. Es handelte sich vielmehr um eine ausgeklügelte Phishing-Kampagne.

Die Kriminellen versendeten betrügerische E-Mails, die darauf abzielten, sensible personenbezogene Informationen wie Namen, Geburtsdaten und nationale Versicherungsnummern von Bürgerinnen und Bürgern zu erbeuten. Mithilfe dieser Informationen richteten die Angreifer in betrügerischer Absicht neue Steuerkonten bei HMRC ein, über die Steuerpflichtige normalerweise ihre Rückerstattungen beantragen oder ihre Steuerdaten verwalten können.

Durch die Erstellung dieser Fake-Konten im Namen realer Personen versuchten die Angreifer, unrechtmäßig Steuererstattungen zu beantragen und sich auszahlen zu lassen. Besonders perfide: Viele der betroffenen Personen hatten nie zuvor ein Online-Konto bei HMRC eingerichtet und konnten somit nicht im Entferntesten erahnten, dass in ihrem Namen betrügerische Aktivitäten stattfanden.

Das Vorgehen zeigt deutlich, wie effizient Social Engineering im Zusammenspiel mit mangelhafter Identitätsprüfung wirken kann. Ein technisches Einbrechen in Systeme war nicht notwendig, denn die Schwachstelle lag in der Authentifizierungslogik und der Annahme, dass die Anmeldedaten einer echten Identität automatisch auch einen legitimen Zugang bedeuten. Genau an dieser Stelle setzten die Angreifer an und konnten so eine große Anzahl gefälschter Accounts erstellen, ohne dass dies zunächst auffiel.

Reaktion und Risikoeinschätzung durch HMRC

Die britische Steuerbehörde HMRC betonte in einer Mitteilung ausdrücklich, dass keine Gelder direkt von den betroffenen Bürgerinnen und Bürgern gestohlen wurden. Vielmehr war HMRC selbst das Ziel der Angriffe. Die Betrüger nutzten gestohlene Identitätsdaten, um in betrügerischer Absicht Steuererstattungen zu beantragen und die Behörde um Millionen zu prellen.

In der Folge wurden Tausende kompromittierte Accounts identifiziert und gesperrt. HMRC leitete Maßnahmen ein, um die Legitimität bestehender Konten wiederherzustellen und neuen Missbrauch zu verhindern. Laut eigenen Angaben war es besonders herausfordernd, nachträglich zwischen echten Kundinnen und Kunden und den Angreifern zu unterscheiden, da viele der betroffenen Personen bislang gar kein Online-Konto bei HMRC hatten.

Zudem wurde Kritik an der internen und externen Kommunikation von HMRC laut. Die Mitglieder des Treasury Select Committee erfuhren erst aus der Presse von dem Vorfall. Dies wurde  parlamentarisch gerügt. Diese Kritik verdeutlicht, wie essenziell klar definierte Meldewege und transparente Kommunikation für das Krisenmanagement in solchen Fällen sind.

Lese-Tipp: Vorsicht vor ESMA-Betrug – so schützen Sie sich vor gefälschten Identitäten

Einordnung für Compliance- und IT-Berater

Risiko durch Identitätsmissbrauch auf Plattformen mit Self-Service-Charakter

Dieser Vorfall unterstreicht die Notwendigkeit, bei Plattformen mit hoher Automatisierung (z. B. Online-Steuerportale, Banking-Apps, Kunden-Self-Service) über das reine technische Hacking hinauszudenken. Social Engineering und Identitätsmissbrauch sind nicht nur ein IT-Risiko, sondern auch ein Governance-Problem.

KYC und Identitätsverifikation sind auch für öffentliche Stellen entscheidend

Dass das HMRC neue Konten auf Basis erbeuteter Daten so leicht akzeptiert, zeigt Defizite in der Identitätsverifikation (Know Your Customer). Auch öffentliche Stellen müssen Mechanismen wie die Zwei-Faktor-Authentifizierung, Biometrie oder das Video-Ident-Verfahren implementieren, um solche Missbräuche zu vermeiden.

Transparenz und Kommunikation als Teil der Compliance-Strategie

Die parlamentarische Rüge an HMRC, weil das Parlament erst aus den Medien von dem Vorfall erfuhr, ist eine klare Mahnung an alle Organisationen, dass bei Cybervorfällen auch die interne und externe Kommunikation einem Protokoll folgen muss. Incident Response und Reporting sollten fester Bestandteil eines IT-Sicherheits- und Compliance-Plans sein.

Strategische Lehren aus dem HMRC-Vorfall

Der HMRC-Fall zeigt eindrucksvoll, dass Phishing nach wie vor zu den effektivsten Angriffsvektoren von Cyberkriminellen zählt. Bemerkenswert ist, dass es dabei nicht zu einem klassischen technischen Angriff kam, sondern die Angreifer ihre Ziele durch geschicktes Social Engineering und den Missbrauch gestohlener Identitätsdaten erreichen konnten. Der Vorfall macht deutlich, dass die größten Schwachstellen nicht zwangsläufig in der IT-Infrastruktur selbst liegen, sondern häufig in mangelhaften organisatorischen Prozessen, unzureichenden Identitätsprüfungen und fehlender Sensibilisierung.

Es reicht nicht aus, technische Sicherheitslösungen wie Firewalls, Verschlüsselung oder Intrusion-Detection-Systeme zu implementieren. Vielmehr muss ein ganzheitlicher Sicherheitsansatz verfolgt werden, der auch organisatorische und menschliche Faktoren einbezieht. Dazu gehören robuste Identitätsverifikationsverfahren, klare interne Kommunikations- und Meldewege sowie kontinuierliche Awareness-Programme für alle Beteiligten.

Nur durch diese umfassende Perspektive lässt sich eine echte Resilienz gegen moderne Cyberbedrohungen aufbauen. Das Ziel muss darin bestehen, nicht nur Angriffe zu verhindern, sondern auch im Ernstfall handlungsfähig zu bleiben, um Risiken schnell zu erkennen, einzugrenzen und zu bewältigen.

Quelle: Mitteilung der HMRC zu dem Phishing-Vorfall
Quelle: Scammers stole £47m from HMRC in phishing attack (BBC)

Tags:
Share this post :
de_DEGerman