Steuerbetrug im XXL-Format: Identitätsdiebstahl mit System
Es ist ein Fall, der selbst hartgesottene IT-Forensiker zusammenzucken lässt: Über 56 Millionen Euro sind aus dem britischen Steuerhaushalt direkt in die Hände von Kriminellen gewandert. Der Trick? Simpel – aber hochwirksam: Phishing, also digitaler Identitätsklau.
Die Angreifer haben sich Zugang zu rund 100.000 Benutzerkonten verschafft – entweder durch gefälschte E-Mails oder durch das Anlegen neuer Fake-Accounts. Über das Online-Portal der britischen Finanzbehörde HMRC beantragten sie dann im Namen ahnungsloser Bürger Steuerrückzahlungen, die nie fällig gewesen wären – aber trotzdem ausgezahlt wurden.
„Nur“ 0,2 Prozent – aber 100.000 Betroffene
John-Paul Marks, der neue Chef der britischen Steuerbehörde, musste sich für diesen massiven Datenmissbrauch vor dem Finanzausschuss des Parlaments rechtfertigen. Seine Botschaft: Alles halb so schlimm – es sei ja „nur ein kleiner Teil“ der Bevölkerung betroffen, gerade einmal 0,2 Prozent. Was dabei ein wenig untergeht: Das sind rund 100.000 Menschen – und 47 Millionen Pfund, die jetzt fehlen.
Immerhin: Die Steuerzahler, in deren Namen der Betrug ablief, müssen nicht selbst haften. Die verlorene Summe bleibt allerdings nicht folgenlos – sie wird aus dem allgemeinen Steueraufkommen ersetzt. Oder anders gesagt: Alle zahlen für den Fehler mit.
Wie konnte das passieren?
Genau das fragt sich derzeit ganz Großbritannien – und bekommt bislang keine echten Antworten. Die Finanzbehörde schweigt über technische Details:
- Wie kamen die Phisher an die Zugangsdaten?
- Wie konnten die Zahlungen unbemerkt durchgehen?
- Und wie lässt sich so etwas in Zukunft verhindern?
Sicher ist nur: Die internen Systeme der HMRC wurden nicht direkt gehackt. Der Datenklau fand offenbar vorher statt – wahrscheinlich über Phishing-Mails, die persönliche Informationen abfingen und so den Betrug ermöglichten. Die Behörden sprechen von „organisierter Kriminalität“, die auch international agiert haben soll. Erste Festnahmen gab es offenbar bereits.
Kommunikation? Eher Fehlanzeige
Besonders pikant: Während die Angriffe liefen, versagte auch noch die Telefonanlage der Behörde. Steuerpflichtige, die Hilfe brauchten, kamen nicht durch. Und die Abgeordneten des britischen Parlaments erfuhren erst verspätet von der Betrugswelle. Die Reaktion: Wut, Fassungslosigkeit – und der Eindruck, dass die Digitalisierung schneller ist als die Behörden.
Vizebehördenchefin Angela MacDonald brachte es auf den Punkt:
„Das ist eine Menge Geld, und das ist vollkommen inakzeptabel.“
Was sagt legal data dazu?
Sorry, aber das ist mehr als ein IT-Pannenfall – das ist ein Offenbarungseid der digitalen Verwaltung. Wenn Kriminelle unbemerkt hunderttausende Konten nutzen können, um Millionen zu kassieren, dann stimmt das Grundsystem nicht.
Und: Dass sich die Behörde darauf zurückzieht, dass „nicht die eigenen Datenbanken gehackt wurden“, ist ein schwacher Trost. Es zeigt vielmehr, wie leicht digitale Dienste durch Social Engineering und mangelnde Sicherheitskontrollenausgenutzt werden können.
Unser Fazit: Digitalisierung ja – aber bitte mit Sicherheits-Update. Denn am Ende geht es nicht nur um Daten, sondern um Vertrauen in den Staat. Und das lässt sich mit einem Mausklick ruinieren.
