📌 Das Wichtigste in Kürze:
- Immer wieder kursieren gefälschte DATEV-Rechnungen und Phishing-Mails – die DATEV warnt selbst vor mehreren aktiven Betrugsversuchen (zuletzt Mitte Oktober 2025)
- 685.000 Nutzer und 1,5 Millionen Unternehmen tauschen täglich sensible Finanzdaten über DATEV online aus – das macht die Plattform zum Hauptziel für Cyberkriminelle
- Durchschnittlicher Schaden bei erfolgreichen Angriffen auf KMU: 95.000 EUR (HDI Cyber-Studie 2022) – bei Kanzleien kommen Mandantendaten, Betriebsausfall und DSGVO-Verstöße hinzu
- 80% der Angriffe gelingen durch Mitarbeiter-Fehler, nicht durch IT-Schwachstellen – nachhaltige Security Awareness ist die einzige wirksame Prävention
- Kernbotschaft: Steuerberater und Wirtschaftsprüfer sind wegen ihrer Mandantendaten und DATEV-Nutzung bevorzugte Angriffsziele. Ohne Bewusstsein keine Sicherheit
Warum werden gerade Steuerberater und WP-Kanzleien zum Hauptziel?
Die Zahlen sprechen für sich: Über 685.000 Nutzer arbeiten laut DATEV mit DATEV online. Bearbeitet werden damit rund 1,5 Millionen Unternehmen, die ihre Belege digital über die Cloud austauschen. Diese enorme Nutzerbasis macht DATEV zur perfekten Zielscheibe für Cyberkriminelle.
Was Angreifer besonders anzieht:
✓ Hochsensible Mandantendaten: Finanzdaten, Bilanzen, Steuererklärungen
✓ Vertrauensverhältnis: Mandanten öffnen E-Mails von ihrer Kanzlei ohne Misstrauen
✓ Zeitdruck im Tagesgeschäft: Fristen und Stress führen zu unachtsamen Klicks
✓ Hohe Zahlungsbereitschaft: Kanzleien zahlen eher Lösegeld, um Mandantendaten zu schützen
Die DATEV selbst warnte erst im Oktober wieder vor einer Phishing-Kampagne mit „gefakten“ DATEV Rechnungs-E-Mails.. Die Betrüger werden dabei professioneller – teilweise sind die gefälschten E-Mails kaum noch von echten zu unterscheiden.
📌 Ein wichtiger Punkt zur Praxis:
Obwohl DATEV Unternehmen online den sicheren Datenaustausch über die Cloud ermöglicht, findet in Kanzleien weiterhin E-Mail-Kommunikation statt. Gründe: Nicht alle Mandanten nutzen DATEV online, DATEV selbst verschickt E-Mails (Rechnungen, Sicherheitswarnungen), die „Upload Mail“-Funktion arbeitet per E-Mail, und für Rückfragen und Terminabsprachen bleibt E-Mail oft der schnellste Weg. Genau diese fortbestehende E-Mail-Kommunikation macht Kanzleien zu attraktiven Phishing-Zielen – denn Mitarbeiter erwarten täglich DATEV-E-Mails und müssen zwischen echt und gefälscht unterscheiden können.
Was passiert gerade konkret? Die aktuellen DATEV-Phishing-Kampagnen (Stand: Oktober 2025)
Die DATEV hat auf ihrer offiziellen Sicherheitsseite drei aktuelle Betrugsversuche dokumentiert:
1. Gefälschte DATEV-Rechnungen mit Dropbox-Links
Betreff: „DATEV-Rechnung Nr. 2141212205 vom 13.10.2025“
So funktioniert der Angriff:
- Button „DATEV-Rechnungen online einsehen“ führt zu einem Dropbox-Link
- Absenderadresse wird gefälscht (z.B. info@amazon*.com)
- Ziel: Zugangsdaten abgreifen oder Schadsoftware installieren
Erkennungsmerkmale:
- Dropbox-Link statt datev.de-Domain
- Verdächtige Absenderadresse (oft @gmail, @amazon, etc.)
- Unerwartete Rechnung ohne vorherige Ankündigung
2. Phishing mit „Profilangaben überprüfen“
Betreff: „Vollständigkeit der Unterlagen“ oder „Firmeneinträge pflegen“
So funktioniert der Angriff:
- Aufforderung, MyDATEV-Daten zu „verifizieren“
- Link versteckt hinter Wörtern wie „prüfen“ oder „einsehen“
- Lookalike-Domain: mydatlev.de-einarbeitung.com (beachten Sie den Tippfehler!)
- Handlungsdruck: „Funktion bleibt nur erhalten, wenn Sie sofort tätig werden“
Erkennungsmerkmale:
- Lookalike-Domain (mydatlev statt mydatev)
- Künstlicher Zeitdruck
- Generische Absendernamen wie „Katrin Müller, Leiterin Produktmanagement“
3. „Finanzberichte August zur Einsicht bereit“
Betreff: „Finanzberichte August 2025 zur Einsicht und Prüfung bereit“
So funktioniert der Angriff:
- Behauptung über drei offene Rechnungen
- Download-Button führt zu gefälschter Website
- Absender: @gmail.com oder gefälschte @datev.de-Adressen
Erkennungsmerkmale:
- Gmail-Absender bei angeblichen DATEV-Mails
- Künstlicher Handlungsdruck („zeitnah prüfen“)
- Anhänge mit verdächtigem Titel „Rechnung…“
Wie erkennen Ihre Mitarbeiter DATEV-Phishing zuverlässig?
Selbst IT-affine Mitarbeiter können bei professionell gemachten Phishing-Mails reinfallen. Hier die 4-Punkte-Sofortprüfung:
| Prüfpunkt | Was tun? | Warum wichtig? |
|---|---|---|
| Absenderadresse genau prüfen | Mouse-Over über Absender → nur diese E-Mails sind echt: datev-rechnung@smarttransfer.datev.de, DATEV-RECHNUNG@DATEV.DE, e-invoice@datev.de | E-Mail-Spoofing kann Absender täuschen – deshalb genau hinschauen |
| Link-Ziel vor Klick überprüfen | Mouse-Over über Links → muss auf …datev.de enden | Lookalike-Domains nutzen Tippfehler (mydatlev statt mydatev) |
| Handlungsdruck hinterfragen | Bei „sofort handeln“ oder „sonst verfällt…“ → Pause machen | Zeitdruck ist Manipulation – echte DATEV-Mails setzen keine Fristen |
| Bei Unsicherheit: Direktkontakt | DATEV-Portal direkt im Browser öffnen (nicht per E-Mail-Link!) | Lieber 2 Minuten investieren als 95.000 EUR Schaden |
Praxis-Tipp: Legen Sie die drei offiziellen DATEV-Rechnungs-Absender als Whitelist in Ihrem E-Mail-Programm an und markieren Sie alle anderen als verdächtig.
Was passiert, wenn ein Mitarbeiter doch klickt?
Der typische Ablauf nach einem erfolgreichen Phishing-Angriff auf eine Kanzlei:
Phase 1 (Stunden 0-24):
Zugangsdaten werden abgegriffen → Angreifer verschaffen sich Zugang zu DATEV, E-Mail-Konten, Netzwerk
Phase 2 (Tage 1-7):
Stille Infiltration → Angreifer beobachten, sammeln Mandantendaten, bereiten Ransomware vor
Phase 3 (Tag 7+):
Verschlüsselung aller Daten → Lösegeldforderung → Betriebsausfall → DSGVO-Meldepflicht → Mandanteninformation
Durchschnittliche Kosten laut HDI Cyber-Studie 2022 für KMU:
- Betriebsausfall: 45.000 EUR
- IT-Wiederherstellung: 28.000 EUR
- DSGVO-Bußgeld (bei fehlenden Security-Maßnahmen): 22.000 EUR
- Reputationsschaden: unbezifferbar
Besonderheit bei Kanzleien: Sie haften zusätzlich gegenüber Ihren Mandanten für Datenschutzverstöße – auch wenn „nur“ ein Mitarbeiter eine E-Mail geöffnet hat.
Wie schützen sich führende Kanzleien konkret?
Die Investition in Firewall und Endpoint Protection ist wichtig – aber nicht ausreichend. Denn:
„Die beste Firewall ist nutzlos, wenn ein Mitarbeiter seine Zugangsdaten freiwillig eingibt.“
– BSI Lagebericht 2024
Erfolgreiche Kanzleien setzen auf kontinuierliche Security Awareness statt einmaliger Schulungen:
Monatlicher Rhythmus:
✓ 5-10 Minuten Micro-Training pro Monat
✓ Aktuelle Beispiele (wie die Oktober-2025-DATEV-Warnungen)
✓ Konkrete Phishing-E-Mails zum Üben✓ Schnelle Erfolgskontrollen
Warum monatlich?
Einmalige Schulungen haben eine Halbwertszeit von 4 Wochen. Nach einem Monat sind 70% des Gelernten vergessen (Ebbinghaus-Vergessenskurve). Bei täglich neuen Phishing-Varianten ist das fatal.
Dokumentation für Compliance:
Bei Cyber-Versicherungen und DSGVO-Prüfungen müssen Sie nachweisen, dass Sie „angemessene Maßnahmen“ ergriffen haben. Monatliche Schulungsnachweise sind Ihr Schutzschild gegen Haftungsansprüche.
FAQ: DATEV-Sicherheit und Mitarbeiter-Awareness
Wie oft sollten wir das Thema DATEV-Phishing schulen?
Reicht es nicht, wenn nur die IT-Verantwortlichen geschult sind?
Was, wenn ein Mitarbeiter trotz Schulung auf Phishing reinfällt?
Wie werden wir Compliance-Anforderungen (z.B. durch DSGVO, ISO, NIS-2, etc.) gerecht?
Müssen wir externe Berater beauftragen?
Nächste Schritte für Ihre Kanzlei
Sofortmaßnahme (heute):
- Informieren Sie Ihr Team über die drei aktuellen DATEV-Phishing-Kampagnen
- Teilen Sie die offizielle DATEV-Warnseite
- Legen Sie die drei offiziellen DATEV-Rechnungs-Absender als Whitelist fest
Mittelfristig (diese Woche):
- Bewerten Sie Ihre aktuelle Security-Awareness-Strategie
- Planen Sie regelmäßige Info-Mails für das Kanzlei-Team ein
- Überlegen Sie sich einen Schulungs-Plan
Langfristig (ab nächstem Monat):
- Etablieren Sie kontinuierliche monatliche Micro-Trainings
- Dokumentieren Sie alle Schulungen für Compliance-Anforderungen
- Etablieren Sie ein nachhaltiges Security Awareness-Programm
Security Awareness für Steuerberater und Wirtschaftsprüfer – sofort einsatzbereit
Die Security Awareness Toolbox bietet speziell für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte:
Plus-Version (1.490 EUR/Jahr) – speziell für Kanzleien:
✓ 12 monatliche Schulungen (inkl. DATEV-Phishing-Beispiele)
✓ Aktuelle Phishing-E-Mails zum Training
✓ IT-Notfallplan für Kanzleien
✓ Monatlicher Informationsdienst mit aktuellen Warnungen
✓ Dokumentation für DSGVO-Nachweispflicht
Pro-Version (1.990 EUR/Jahr) – für höchste Compliance:
✓ Alles aus Plus
✓ Kompletter Jahresplan für Security Awareness
✓ Checkliste für eigene Phishing-Simulationen
✓ Mandanten-Schulungsunterlagen
Investition: Ab 1.490 EUR/Jahr
Verhinderte Schadenskosten: Durchschnittlich 95.000 EUR pro Vorfall
ROI: Nach dem ersten verhinderten Angriff
→ Mehr zur Security Awareness Toolbox für Steuerberater
Quellen:
Weitere Beiträge zum Thema: