Lynx-Erpresser stehlen US-Steuerdaten vor Saisonstart
30.12.2025 - 21:42:12Ein Angriff auf eine US-Steuerkanzlei hat sensible Daten gestohlen, die kurz vor der Steuererklärungssaison 2026 für Identitätsdiebstahl genutzt werden könnten. Die Lynx-Gruppe nutzt die Daten als Druckmittel.
Ein schwerer Datendiebstahl bei einer US-Steuerberatungskanzlei gefährdet kurz vor Beginn der Steuererklärungssaison die Identität zahlreicher Bürger. Die mit Russland in Verbindung gebrachte Lynx-Ransomware-Gruppe hat sensible Steuerunterlagen gestohlen und veröffentlicht.
Die Attacke traf CSA Tax & Advisory aus Massachusetts. Die Cyberkriminellen veröffentlichten am 26. Dezember gestohlene Dokumente in ihrem Darknet-Portal. Darunter befinden sich laut Sicherheitsforschern ungeschwärzte Einkommensteuererklärungen, Sozialversicherungsnummern und IRS-E-File-Autorisierungsformulare. Der Zeitpunkt ist brisant: Die Steuererklärungssaison 2026 beginnt Ende Januar. Die gestohlenen Daten ermöglichen Betrügern, identitätsgesteuerte Steuerbetrug zu begehen.
Passend zum Thema gezielter Datenklau zeigt ein kostenloses E‑Book praxisnah, wie kleine und mittlere Firmen ihr IT‑Risiko reduzieren können. Es erklärt konkrete Maßnahmen zur Netzwerksegmentierung, zu DLP‑Kontrollen und Zugangssicherung sowie einfache Notfallpläne für den Fall eines Datenabflusses – ideal für Geschäftsführer und IT‑Verantwortliche von Steuerkanzleien, die ohne großes Budget wirksame Schutzschritte umsetzen wollen. Gratis Cyber‑Security‑Guide jetzt herunterladen
Gestohlene Daten sind „Goldgrube“ für Identitätsdiebe
Die Kanzlei hat den Umfang des Vorfalls noch nicht öffentlich bestätigt. Analysierte Datenproben deuten jedoch auf einen umfassenden Zugriff hin. Neben persönlichen Daten wie vollständigen Namen und Adressen sind auch interne Firmenkorrespondenzen und Rechnungen betroffen. Für die Opfer entsteht ein unmittelbares Risiko.
„Die Spezifität der Daten macht sie extrem gefährlich“, warnt die Cybersecurity-Community. Betrüger könnten mit den detaillierten Informationen aus Steuererklärungen hochpersonalisierten Phishing-Betrug starten. Eine E-Mail, die auf die konkrete Steuerschuld 2024 verweist, wirkt deutlich glaubwürdiger als ein generischer Köder. Sozialversicherungsnummern sind besonders kritisch, da sie sich kaum ändern lassen. Die Folgen dieses Datendiebstahls könnten die Betroffenen noch Jahre verfolgen.
Lynx-Gruppe verschärft Angriffe auf kritische Sektoren
Der Angriff auf die Steuerkanzlei ist Teil einer Serie. Die Lynx-Gruppe, ein Nachfolger des „INC Ransomware“-Betreibers, tritt seit Mitte 2024 aggressiv in Erscheinung. Sie nutzt ein „Double-Extortion“-Modell: Daten werden vor der Verschlüsselung gestohlen, um den Druck für Lösegeldzahlungen zu erhöhen.
Ihr Fokus hat sich im Dezember deutlich verschoben. Zuvor griff die Gruppe vor allem Organisationen im Gesundheitswesen, der Energieversorgung und sogar einen Vertragspartner des britischen Verteidigungsministeriums an. Die Attacke auf eine Steuerberatungskanzlei zeigt nun eine strategische Anpassung: Kurz vor der Hochsaison versprechen gestohlene Steuerdaten maximale Hebelwirkung für Erpressungen. Das Darknet-Portal der Gruppe listet mittlerweile fast 300 Opfer.
Kleine Steuerkanzleien – lohnende Ziele mit schwacher Abwehr
Der Vorfall beleuchtet ein strukturelles Problem: Kleine und mittlere Steuerberatungskanzleien verwalten hochsensible Finanzdaten, verfügen aber oft nicht über die IT-Sicherheitsressourcen großer Finanzinstitute. Für Erpressungstrojaner-Betreiber sind sie daher lukrative und vergleichsweise leichte Ziele.
Die Lynx-Software operiert als Ransomware-as-a-Service (RaaS). Affiliate-Partner können die Schadsoftware mieten. Diese beendet Sicherheitsprozesse und löscht Backups, bevor sie Dateien verschlüsselt – eine Wiederherstellung ohne Entschlüsselungscode ist nahezu unmöglich. Im Fall von CSA Tax & Advisory gelang es den Angreifern offenbar, große Datenmengen unerkannt abzuschöpfen. Dies deutet auf Lücken in den Systemen zur Verhinderung von Datenverlust (DLP) hin.
Experten raten Betroffenen zu sofortigen Schutzmaßnahmen
Cybersicherheitsexperten empfehlen Kunden betroffener Kanzleien dringend, aktiv zu werden. Zentral sind zwei Schritte:
1. Die Beantragung einer Identity Protection PIN (IP PIN) beim US-Steueramt IRS. Diese PIN verhindert, dass jemand anderes eine Steuererklärung mit der gestohlenen Sozialversicherungsnummer einreicht.
2. Eine Kreditsperre bei den drei großen US-Auskunfteien (Equifax, Experian, TransUnion), um betrügerische Kreditaufnahmen zu blockieren.
Für Unternehmen im Finanzdienstleistungssektor ist eine Überprüfung der Netzwerksegmentierung und Zugangskontrollen essenziell. Angriffe auf die Lieferkette von Steuerdienstleistern werden für 2026 erwartet. Der Erfolg des Lynx-Angriffs könnte andere RaaS-Gruppen ermutigen, ähnliche Schwachstellen auszunutzen. Die Sicherheit der persönlichen Steuererklärung hängt im digitalen Zeitalter unmittelbar von der Verteidigung der bearbeitenden Kanzlei ab.
PS: Wenn Sie konkrete Schutzschritte gegen Ransomware und Datendiebstahl suchen, enthält der Gratis‑Leitfaden Checklisten für DLP‑Prüfungen, Anti‑Phishing‑Maßnahmen und Reaktionspläne nach einem Vorfall – speziell zugeschnitten auf kleine Dienstleister. Schnelle, umsetzbare Empfehlungen helfen, Risiken wie bei CSA Tax & Advisory zu reduzieren. Jetzt kostenloses Cyber‑Security‑E‑Book sichern
