Cybercrime Trend 2026: Identitätsdiebstahl bei Holdings und Steuerberatergesellschaften

Dezember 2025

Ein neuer, besonders perfider Angriffsvektor zielt auf Gesellschaften, die formal seriös wirken, aber operativ kaum sichtbar sind: reine Holdinggesellschaften ohne Kunden oder Mandanten, ohne Website, teils ohne eigene E-Mail-Strukturen. Genau diese stillen Gesellschaften nutzen Täter, um eine glaubhafte Online-Identitäten zu erfinden und Dritte zu täuschen.

Im Impressum stehen dann die echten (gestohlenen) Daten des Opfer-Unternehmens inkl. Namen der Geschäftsführer, Gesellschafter, Telefonnummern .. doch was machen die Täter mit diesen täuschend echten (gestohlenen) Firmenidentitäten?

In mehreren Fällen aus dem Kreis unserer Mandanten haben die Täter auf diese Weise gefälschte Steuerberatungsunternehmen erschaffen, die bei Steuerberaterkammern eingetragen sind und für ebenfalls gefälschte Unternehmen gefälschte Abschlüsse machen. So gelangen gefälschte Unternehmen kinderleicht an Bankkonten, schließen Kredite ab und nehmen zu rein kriminellen Zwecken am Wirtschaftsleben teil. Dies sind die Geschichten aus unserer Beratungspraxis von Maisch.law Rechtsanwälte.

Identitätsdiebstahl beginnt im Handelsregister

In Deutschland ist Identitätsdiebstahl über das Handelsregister vergleichsweise „einfach“, weil das Register bewusst auf Publizität und Vertrauen ausgelegt ist: Viele zentrale Unternehmensdaten (Firma, Sitz, HR-Nummer, Geschäftsführer, Vertretungsregelung) sind gem. § 8 Abs. 1 GmbHG öffentlich abrufbar und werden von Dritten im Geschäftsverkehr oft als ausreichender Echtheitsnachweis behandelt. Gefundenes Fressen: Das Geburtsdatum und der Wohnort von Geschäftsführern muss im Handelsregister veröffentlicht sein. Einen Anspruch auf Löschung dieser Daten gibt es nach der Rechtsprechung des BGH selbst dann nicht, wenn ein berechtigtes Interesse vorliegt.

Der Geschäftsführer einer GmbH hat weder einen Anspruch auf Löschung seiner persönlichen Daten aus dem Handelsregister, noch kann er der Datenverarbeitung widersprechen oder sie einschränken. Das macht der Bundesgerichtshof in seiner Entscheidung deutlich (BGH, Beschluss vom 23. Januar 2024, Az II ZB 7/23).

Fake-Website, Fake-Mail, Fake-Stempel

Die Täter erstellen eine gefälschte Website und passende E-Mail-Adressen (z. B. unter einer täuschend ähnlichen Domain), kopieren Layouts echter Kanzlei-Websites und reichern sie mit „Seriositätssignalen“ an (Impressum, Leistungen, Fotos, Kontakt). In einem dokumentierten Sachverhalt heißt es, Unbekannte hätten eine gefälschte Website und Fake-E-Mail erstellt sowie gefälschte Stempel/Unterschriften, um unter fremdem Namen scheinbare Leistungen anzubieten.

Das Ziel: Gefälschte Abschlüsse, Kreditlinien, Kontoeröffnungen

Der eigentliche „Monetarisierungshebel“ ist häufig nicht der klassische CEO-Fraud, sondern Dokumentenbetrug rund um Bonität und Legitimationsprozesse:

1) Gefälschte Jahresabschlüsse / Bescheinigungen

Ein beschriebenes Muster: Dritte reichen bei Auskunfteien oder Kreditgebern Jahresabschlüsse ein, die angeblich von einer Steuerberatungsgesellschaft erstellt/unterzeichnet wurden. Im konkreten Fall wurde eine Bescheinigung zur ordnungsgemäßen Erstellung behauptet, inklusive Unterschrift und Rundstempel; beides stammte nach Darstellung nicht vom tatsächlichen Geschäftsführer.

2) Kreditbetrug über „positive Kreditauskünfte“

Der Zweck wird sehr klar benannt: Es soll über die eingereichten Unterlagen eine positive Kreditauskunft bzw. Kreditlinie ermöglicht werden. In der strafrechtlichen Einordnung wird zudem erwähnt, dass gefälschte Urkunden zur Erlangung von Krediten genutzt worden sein sollen (z. B. durch Vorlage bei Auskunfteien/Kreditgebern).

3) „Fake-Steuerberatung“ als Service-Front

Täter bieten „günstige“ Abschlusserstellung an und erzeugen so einen plausiblen Leistungsfluss (Kommunikation, Datenaustausch, PDF-Abschluss). In dem Sachverhalt wird geschildert, man sei per Fake-Mail und Fake-Website mit dem Angebot kontaktiert worden, einen Jahresabschluss günstig zu erstellen.

4) Kontoeröffnungen / Finanzinfrastruktur

In der Praxis wird die Masche auch genutzt, um Bankkonten zu eröffnen, Zahlungsströme aufzusetzen oder Finanzierungsvorhaben zu unterfüttern. Das ist die logische Fortsetzung: Wenn die Identität (Website/Domain/E-Mail/Dokumente) einmal „steht“, lässt sie sich für KYC-, Konto- und Kreditprozesse wiederverwenden.

Risikofaktoren speziell bei Holdings von Steuerberaterstrukturen

Wenn eine Holding Anteile an operativen Steuerberatungsgesellschaften hält, aber selbst nicht aktiv am Markt auftritt, entsteht ein idealer Tarnmantel:

Name klingt nach Kanzlei/Steuerberatung, wirkt legitim.
Wenig digitale Präsenz → kaum Widerspruch zur Fake-Präsenz.
Dritte prüfen oft nur oberflächlich: Website da, Mail da, Stempel da.

Warum ist Identitätsdiebstahl bei einer Holding unser Cybercrime Trend 2026?

Diese Angriffsklasse bündelt mehrere Entwicklungen, die sie für Täter besonders attraktiv machen. Erstens verschiebt sich der Schwerpunkt weg vom klassischen „Hacken“ hin zu Brand- und Identitätsmissbrauch: Statt in IT-Systeme einzudringen, genügt es, eine Organisation glaubwürdig zu imitieren – mit passender Domain, professionell wirkender Website, überzeugenden E-Mail-Signaturen und stimmigen Dokumenten. Der Angriff funktioniert damit auch ohne Malware, Exploits oder technische Angriffskenntnisse, weil die eigentliche Schwachstelle häufig in Prozessen, Vertrauen und oberflächlicher Plausibilitätsprüfung liegt.

Zweitens ist dieses Vorgehen hochgradig automatisierbar und damit skalierbar. Website-Templates, fertige Baukästen, KI-generierte Texte und Bilder, schnell eingerichtete Mailboxen sowie standardisierte Dokumentvorlagen ermöglichen es, in kurzer Zeit mehrere „legitime“ Auftritte parallel aufzusetzen. Täter können Varianten für unterschiedliche Branchen, Standorte oder Firmennamen erzeugen, A/B-Tests bei Ansprache und Dokumenten durchführen und so sehr effizient herausfinden, welche Kombinationen bei Banken, Plattformen oder Geschäftspartnern am ehesten „durchrutschen“.

Drittens verlagert sich der primäre wirtschaftliche Schaden häufig auf Dritte. Betroffen sind etwa Banken, Auskunfteien, Leasinggesellschaften, Lieferanten oder Geschäftspartner, die auf Basis scheinbar plausibler Unterlagen handeln – z. B. Kredite gewähren, Konten eröffnen, Verträge schließen oder Bonitätsauskünfte positiv bewerten. Die tatsächlich missbrauchte Gesellschaft (etwa eine Holding) merkt den Identitätsdiebstahl dagegen oft erst, wenn Rückfragen, Mahnungen oder Ermittlungsanfragen eintreffen. Das macht die Aufklärung schwieriger und erhöht das Risiko, dass der Angriff über Wochen oder Monate unentdeckt bleibt.

Viertens ist „Low visibility“ ein struktureller Verstärker: Gesellschaften ohne aktive Außenkommunikation, ohne eigene Website oder ohne klar erkennbare offizielle Kontaktkanäle betreiben häufig kein konsequentes Monitoring (Domain-Watch, Brand-Protection, DMARC-Reporting, Suchmaschinen-Alerts). Gerade inaktive Holdings oder reine Beteiligungsgesellschaften hinterlassen daher weniger „digitale Fingerabdrücke“, gegen die eine Fälschung auffallen würde. Wo es kaum verlässliche Referenzpunkte gibt, können Täter ihre Legende leichter etablieren – und Dritte haben es schwerer, echte und falsche Kommunikationskanäle schnell zu unterscheiden.

Was tun bei geklauter .de-Domain bei Identitätsdiebstahl?

Wenn Täter eine .de-Domain nutzen oder sogar „kapern“, um eine Holding oder ein steuerberatungsnahes Unternehmen zu imitieren, kommt es vor allem auf vier Dinge an: Beweise sichern, den Schaden begrenzen, einen schnellen Domain-/Hosting-Takedown anstoßen und alle relevanten Stellen strukturiert informieren. In dieser Angriffsklasse ist die Domain der zentrale Hebel, weil darüber Website, E-Mail, Dokumentenversand und häufig der gesamte „Vertriebsprozess“ der Täter laufen.

Deshalb sollte man zuerst gerichtsfeste Nachweise sammeln, bevor irgendjemand Inhalte löscht oder verändert: Screenshots der Website mit URL und Zeitstempel, vollständige E-Mail-Header der Fake-Mails, alle verwendeten Dokumente (Angebote, angebliche Abschlüsse, Bescheinigungen, Stempel/Unterschriften) möglichst im Originalformat sowie technische Daten wie DNS-Einträge (A/AAAA, MX, Nameserver, SPF/DMARC). Bei .de sind Inhaberdaten oft nicht öffentlich, aber Registrar und Nameserver lassen sich meist erkennen – auch das sollte dokumentiert werden. Diese Belege sind später entscheidend für Strafanzeige, Unterlassungsansprüche und die Kommunikation mit Banken oder Auskunfteien.

Parallel muss geklärt werden, ob es sich um eine Lookalike-Domain (Tippfehler, Bindestrich, Zusätze), um einen echten Domain-Hijack (Registrar-Account kompromittiert) oder um eine neu registrierte Domain mit falschen Inhaberdaten handelt. Praktischer Indikator: Besteht noch Zugriff auf den Registrar-Account und die DNS-Verwaltung? Wenn nicht, ist schnelle Eskalation angesagt.

Bei einem echten Hijack sollte der Registrar sofort über Notfall-/Abuse-Kanäle kontaktiert werden, mit der Bitte um sofortiges Lock/Sperre, Account-Reset und Wiederherstellung der vorherigen DNS-Konfiguration. Gleichzeitig müssen alle Zugänge abgesichert werden (Passwörter ändern, MFA erzwingen) und insbesondere E-Mail-Weiterleitungen geprüft werden, weil Täter diese oft zur dauerhaften Überwachung nutzen. Priorität hat zudem die MX-Konfiguration: Sobald Täter E-Mails unter der echten Domain versenden oder empfangen, steigt das Schadenspotenzial massiv; unautorisierte MX-Einträge müssen daher schnell entfernt oder die Domain so konfiguriert werden, dass kein Versand/Empfang über Täter-Server möglich ist.

Handelt es sich „nur“ um eine Fake-/Lookalike-Domain, ist der schnellste Weg häufig nicht der Registrar, sondern der Hosting-/Provider-Takedown über eine sauber belegte Abuse-Meldung: Hoster, Website-Baukästen oder CDN-Anbieter werden mit Belegen darauf hingewiesen, dass Marke, Firma oder Impressum missbräuchlich genutzt werden. Genauso wichtig ist es, den E-Mail-Provider der Täter zu adressieren (aus MX-Records oder Headern ableitbar), um Mailboxen abzuschalten. Zusätzlich helfen Meldungen an Safe-Browsing-Dienste, damit die Website als Phishing markiert wird. Bei .de kann auch die DENIC relevant sein, aber realistisch läuft die operative Abschaltung meist über Registrar und Provider; dennoch kann die Registry-Ebene helfen, wenn Stellen nicht reagieren oder rechtliche Maßnahmen (z. B. einstweilige Verfügung) die Übertragung/Löschung betreffen. In der Praxis ist ein paralleles Vorgehen sinnvoll: schneller Provider-Takedown plus rechtliche Absicherung für nachhaltige Wirkung.

Wesentlich ist außerdem die Kommunikation nach außen, weil der wirtschaftliche Schaden oft bei Dritten entsteht – etwa bei Banken, Auskunfteien, Lieferanten oder Geschäftspartnern, die auf Grundlage gefälschter Unterlagen handeln. Deshalb sollten Auskunfteien und Bonitätsdienste früh informiert werden, damit Warnhinweise oder Flags gesetzt werden, ebenso Hausbanken und zentrale Partner mit einem klaren Verifikationsweg („Wir nutzen ausschließlich diese Domain/Nummer“). Bei steuerberatungsnahen Strukturen kann auch die Information von Kammern/Verbänden helfen, um Warnungen zu streuen. Eine eigene Verifikationsseite – z. B. auf der echten Webpräsenz oder notfalls über ein seriös gepflegtes Unternehmensprofil – kann zusätzlich klarstellen, welche Domains/E-Mails authentisch sind und dass unter anderen Domains Missbrauch stattfindet. Das Ziel ist „stop the spread“: Sobald falsche Kontaktdaten als echt akzeptiert werden, wird der Reputations- und Folgeschaden schwer zu kontrollieren.

Rechtlich empfiehlt sich ein Doppelgleis: Strafanzeige, um Ermittlungsdruck und Auskunftsmöglichkeiten zu schaffen, und zivilrechtliche Schritte wie Unterlassung, Domainübertragung/Löschung oder einstweiliger Rechtsschutz, insbesondere wenn Provider nicht reagieren oder der Täter wiederholt auftaucht. Nach der akuten Phase sollte das Schutzniveau dauerhaft erhöht werden: defensive Domain-Registrierungen (Tippfehler, relevante TLDs), DMARC auf „reject“ mit aktiver Auswertung, Marken-/Namensmonitoring sowie interne Prozesse zur Ausstellung und Verifikation von Bescheinigungen und Abschlüssen. Ein Incident-Playbook mit Textbausteinen, Ansprechpartnern und Eskalationskette hilft, beim nächsten Vorfall schneller zu handeln. Der häufigste Fehler ist, zu lange zu warten, weil „nur eine Website“ online ist – in diesem Trend ist die Website oft nur die Front; der eigentliche Schaden entsteht, wenn über die Domain Dokumente in Kredit- oder KYC-Prozesse gelangen. Je früher man Domain- und E-Mail-Infrastruktur abklemmt und Dritte warnt, desto besser.

Maßnahmenkatalog: So schützen Sie Ihre Holding oder Firma vor Identitätsdiebstahl

A) Prävention (vor dem Vorfall)

Domain-Strategie: Tippfehlerdomains, relevante TLDs sichern (mind. .de / .com).
DMARC/SPF/DKIM konsequent: Spoofing erschweren; DMARC-Reports aktiv auswerten.
Brand-Monitoring: Alerts auf Firmenname + Geschäftsführername + „Steuerberatung“ + Domain-Varianten.
Register-/Verzeichnis-Checks: Regelmäßig prüfen, ob Einträge (z. B. Branchenverzeichnisse) unautorisiert geändert wurden; in einem Fall wird erwähnt, dass falsche Web-/Mail-Daten sogar in einem Verzeichnis auftauchten. Strafanzeige_CRX-Riehl_M
„Legitimation Page“ auf eigener (minimaler) Webpräsenz: Auch Holdings sollten eine einfache Seite haben: „Keine Mandatsannahme, keine E-Mail-Domain, keine Abschlussbescheinigungen.“
Interne Policy: Wer darf Stempel/Unterschriften nutzen? Wie werden Bescheinigungen ausgestellt? (Zentralisieren.)

B) Detektion (frühzeitig erkennen)

Creditreform-/Auskunftei-Kontaktpunkt: Hinterlegen, dass die Holding keine Mandantenleistungen erbringt.
Bank- und Partner-Kommunikation: Standardtext zur Verifikation (Telefonnummern, Maildomains).
Mailgateway-Regeln: Warnbanner für externe Mails mit lookalike-domains.

C) Reaktion (wenn es passiert)

Beweise sichern: Screenshots, Header, WHOIS/Registrar, Logfiles.
Domain/Hosting takedown: In einem Fall wird empfohlen, die Domain-Inhaberschaft zu klären und rasch Löschung zu veranlassen (inkl. DENIC/Hosting-Ermittlung).
Stakeholder informieren: Auskunfteien, Banken, Kammern/Verbände, betroffene Dritte.
Strafanzeige: Dokumentenfälschung und Betrug sind typische Delikte in diesem Zusammenhang; lassen Sie sich anwaltlich beraten, um keine Aspekte zu vergessen, die später hilfreich sein können. Im Idealfall können Sie mit einer Strafanzeige verschiedene Sachverhalte abdecken, um z.B. später Bankkonten zu schließen, die auf die Fake-Firma abgeschlossen wurden oder eine .de-Domain bei der DENIC e.G. löschen zu lassen.
Reputationsmanagement: Kurzes, klares Statement: „Vorfall ≠ Pflichtverletzung“, aber Verifikation anbieten.

Was tun bei Identitätsdiebstahl bei Firmen? Maisch.law hilft!

In zahlreichen Fällen haben wir gefälschte Websites geschlossen, de-Domains von der DENIC zurück oder „nach Hause“ geholt und haben die echten Gesellschaften gegen strafrechtliche Ermittlungen, Pfändungsbeschlüsse usw. erfolgreich vertreten. Sie haben einen digitalen Zwilling Ihres Unternehmens entdeckt? Nichts tun fällt sicher auf die Füße: Nehmen Sie jetzt Kontakt zu uns auf. Wir bieten Unternehmen schnelle, pragmatische Hilfe bei Identitätsdiebstahl und -missbrauch an.