Sicherheit bei E-Rechnungen: Schutz vor Betrug und Manipulation
E-Rechnungen können Angriffsziele sein. Erfahren Sie, wie Sie Ihre E-Rechnung-Prozesse absichern und sich vor Betrug und Manipulation schützen.
E-Rechnungen sind nicht per se sicherer als Papierrechnungen – sie sind anders bedroht. Während gefälschte Papierrechnungen meist auffallen, schlüpft eine technisch saubere XML mit verändertem IBAN-Feld leicht durch die automatische Verarbeitung. Wer den Workflow nicht absichert, riskiert Schäden im fünf- bis sechsstelligen Bereich.
Dieser Beitrag fasst die häufigsten Angriffsszenarien zusammen und nennt Maßnahmen, die ohne großen Aufwand wirken.
Die häufigsten Angriffsszenarien
IBAN-Hijacking
Ein Angreifer fängt eine Rechnung ab, ändert die IBAN auf seinem Konto und leitet die Rechnung weiter. Empfänger zahlt – ans falsche Konto. Die Lücke entsteht meist:
- Bei E-Mail-Versand ohne Verschlüsselung.
- Bei kompromittierten Postfächern (Phishing der Zugangsdaten).
- Bei Man-in-the-Middle-Angriffen auf öffentlichem WLAN.
Fake-Invoice / Phishing
Angreifer schicken eine täuschend echte E-Rechnung, oft im Namen eines bekannten Lieferanten. Der Empfänger zahlt, ohne dass je eine echte Lieferung stattgefunden hat. Besonders gefährdet: Empfänger mit hochautomatisierten Workflows ohne Plausibilitätsprüfung.
Manipulation im Posteingang
Ein Angreifer hat Zugriff auf das Rechnungseingangs-Postfach (z. B. [email protected]) und ändert eingehende E-Rechnungen vor der Weiterverarbeitung. Klassischer Insider- oder Phishing-Angriff.
CEO-Fraud kombiniert mit Rechnungsmanipulation
Geschäftsführer-Mail („Bitte dringend an die neue Bankverbindung des Lieferanten zahlen") in Kombination mit einer manipulierten Rechnung. Sehr verbreitet bei mittleren Unternehmen.
Manipulation bei der Archivierung
Wer Rechnungen unverschlüsselt auf einem Netzlaufwerk ablegt, ermöglicht im Zweifel nachträgliche Änderungen – und damit GoBD-Verstöße.
Maßnahmen gegen IBAN-Hijacking
| Maßnahme | Wirkung |
|---|---|
| TLS für SMTP/IMAP erzwingen | verhindert Mitlesen |
| S/MIME oder PGP für besonders sensible Versendungen | Ende-zu-Ende-Schutz |
| Versand über Peppol (AS4) | signiert und verschlüsselt |
| Stammdatenpflege mit IBAN-Lock | IBAN-Änderung erfordert 4-Augen-Prinzip |
| Rückruf bei IBAN-Änderung | telefonische Rückversicherung beim Lieferanten |
Mehr zur Bankverbindung in Bankverbindung.
Maßnahmen gegen Fake-Invoices
- Bestellabgleich: Ohne offene Bestellung keine Zahlung.
- Lieferantenfreigabe: Neue Lieferanten erst nach Stammdatenfreigabe zahlbar.
- Plausibilitätsprüfung: Auffällige Beträge oder fremde Bankverbindung manuell prüfen.
- Schulungen: Mitarbeiter im Eingang und Buchhaltung sensibilisieren.
Maßnahmen für das Eingangs-Postfach
Das Sammelpostfach ist neuralgischer Punkt. Empfehlungen:
- Kein gemeinsam genutztes Passwort. Stattdessen Forwarding-Regel ins Buchhaltungssystem.
- MFA für alle Zugriffe.
- Logging und Alarmierung bei ungewöhnlichen Logins.
- Rechte beschränken (Postfach ist „lesen", nicht „bearbeiten").
Manipulation der XML
Eine XML-Datei lässt sich technisch jederzeit verändern. Schutz dagegen:
- Hash-Wert beim Eingang berechnen und mitarchivieren.
- Dokumente in ein WORM-Archiv schreiben (Write Once Read Many).
- Versionsstand und Zugriffsverlauf nachvollziehbar speichern.
- Bei besonders kritischen Vorgängen elektronische Signatur prüfen.
Mehr in Digitale Unterschrift.
Sichere Archivierung
GoBD verlangt Unveränderbarkeit. Maßnahmen:
- WORM-Speicher oder revisionssichere DMS-Lösung.
- Verschlüsselung at rest.
- Backups verschlüsselt und getrennt vom Produktivsystem.
- Zugriffsrechte streng nach Rolle.
Mehr in Archivierung und Unveränderbarkeit.
Sicherer Versand: Peppol als Goldstandard
Peppol nutzt das Protokoll AS4 mit Verschlüsselung und elektronischer Signatur. Vorteile:
- Datei kann nicht im Transport verändert werden.
- Empfänger ist eindeutig identifiziert.
- Quittungssystem dokumentiert Zustellung.
Für besonders sensible Transaktionen die beste Wahl. Mehr in Peppol.
E-Mail bleibt der Hauptkanal – mit Risiko
Die Realität: 80 % der E-Rechnungen kommen weiter per E-Mail. Mindeststandard:
- TLS für eingehende und ausgehende Mails.
- SPF, DKIM, DMARC korrekt konfiguriert (gegen Spoofing).
- Einbinden eines Spam-Filters mit Phishing-Erkennung.
- Bei besonders sensiblen Daten zusätzlich S/MIME.
Rollen und Berechtigungen
Trennen Sie:
- Rechnung erstellen.
- Rechnung freigeben.
- Zahlung anweisen.
- IBAN ändern.
Niemand sollte alle vier Rollen gleichzeitig haben. Bei kleinen Unternehmen mindestens 4-Augen-Prinzip für Zahlungen über einer definierten Schwelle.
Schulung und Awareness
Technik schützt nur halb. Mindestens jährlich:
- 30-Minuten-Awareness-Training für alle Mitarbeiter mit Zahlungsbezug.
- Phishing-Simulation gegen das eigene Postfach.
- Klare Eskalationsregeln für verdächtige Rechnungen.
Notfallplan bei Vorfall
Wenn es passiert ist:
- Zahlung sofort stoppen, Bank kontaktieren (Rückbuchungsversuch).
- Rechtliche Schritte gegen Empfänger prüfen.
- Vorfall an die Polizei melden.
- Bei Datenleak: DSGVO-Meldung binnen 72 Stunden.
- Internen Vorfallsbericht anfertigen.
Spezialfall: KI-generierte Fälschungen
Mit großen Sprachmodellen sind perfekt formulierte Fake-Mails inklusive Mailverlauf trivial herzustellen. Allein der Sprachstil reicht nicht mehr als Erkennungsmerkmal. Umso wichtiger sind technische Maßnahmen wie SPF/DKIM/DMARC, IBAN-Lock und Bestellabgleich.
Häufige Fragen
Brauche ich eine Signatur für jede E-Rechnung?
Nein. Eine elektronische Signatur ist seit Jahren keine Pflicht mehr. Sie ist ein zusätzliches Sicherheitselement.
Wie erkenne ich eine gefälschte Rechnung?
Auffällige IBAN-Änderung, neuer Lieferant ohne Bestellbezug, ungewöhnlich hoher Betrag, Druck zu schneller Zahlung. Im Zweifel telefonisch beim Lieferanten verifizieren.
Reicht TLS für die E-Mail aus?
Für Standardfälle ja. Bei besonders sensiblen Inhalten (Heilbehandlung, Anwaltsdaten) S/MIME oder Mandantenportal.
Was tun, wenn Rechnungen im Postfach manipuliert wurden?
Postfach prüfen lassen (forensisch), alle Rechnungen der letzten Wochen nachbearbeiten, Lieferanten kontaktieren. DSGVO-Meldung prüfen.
Sind Cloud-Tools sicherer als lokale Lösungen?
Nicht automatisch. Sie sind oft besser gepflegt (Updates, Patches) – aber nur so sicher, wie der Anbieter und Ihre Zugangsdaten es zulassen.