Gefälschte Rechnungen

„Invoice Fraud“ – b-pi sec erklärt Ihnen in Kürze, was es damit auf sich hat 👇

Mit „Invoice Fraud“ sind Fälle gemeint, in denen gefälschte oder manipulierte Rechnungen per E-Mail eingehen, kurz gesagt: „Rechnungsbetrug“. Seit Anfang 2025 sind sog. „E-Rechnungen“ im B2B-Bereich sogar verpflichtend. Somit besteht eine größere Angriffsfläche für Betrugsfälle.

In den meisten Fällen verschaffen sich die Täter über illegal beschaffte Zugriffsdaten Zugriff zum E-Mail-Postfach ihrer anvisierten „Opfer“. Dort wird dann die E-Mail nebst Anhang gelesen und anschließend derart manipuliert, dass z.B. die angegebene Kontonummer verändert wird. Die Überweisung des richtigen Rechnungsbetrages erfolgt somit gutgläubig auf das falsche Konto. Die Folge: Der Anspruch auf Zahlung besteht weiter fort, sodass die Person, die die manipulierte E-Mail empfangen hat, zwei Mal bezahlen muss.

⚖️ Anders sieht dies das OLG Schleswig in seinem heiß diskutierten Urteil vom 18.12.2024, Az.: 12 U 9/24:
Wenn das rechnungsstellende Unternehmen die Rechnung per E-Mail nicht „Ende-zu-Ende“ verschlüsselt, mithin kein PGP oder S/MIME verwendet, besteht kein Zahlungsanspruch mehr. Eine reine Transportverschlüsselung via TLS reiche nicht aus, so das OLG Schleswig. In diesen Fällen hat der Rechnungsempfänger einen Gegenanspruch wegen Nichteinhaltung der erforderlichen technischen und organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO.

Dieses Urteil ist jedoch auch mit Blick auf die Informationssicherheit als kritisch zu bewerten, zumal PGP oder S/MIME nicht als gängige Methoden zur Verschlüsselung verbreitet sind. Eine Transportverschlüsselung via TLS 1.2 bzw. 1.3 ist i.d.R. ausreichend.

Um einem „Invoice Fraud“ vorzubeugen, gilt es folgende Tipps bei der Rechnungsstellung und den Versand zu beachten:

  1. Den eigenen E-Mail-Server mit einer Transportverschlüsselung (TLS 1.2 oder 1.3) einrichten. Dies ist gem. Art. 32 DSGVO eine gebotene Schutzmaßnahme.
  2. Die TLS-Verschlüsselung verpflichtend einführen.
  3. Alternativ ein Rechnungsportal nutzen, auf dem die Rechnungsempfänger einen Account eingerichtet bekommen.

Zurück zur Übersicht

Weitere Blog-Beiträge

22.04.2025

KI in Deutschland – Perspektiven aus Bevölkerung & Unternehmen

Der Digitalverband Bitkom e.V. hat eine „Studie zur Künstlichen Intelligenz aus Sicht von Unternehmen und der Bevölkerung in Deutschland“ herausgebracht. Ergänzend zum KI-Workshop, den b-pi…

Mehr lesen
Beitragsbild Ostern 2025
18.04.2025

b-pi sec wünscht frohe Ostern 2025

Das Team von b-pi sec wünscht Ihnen frohe Ostern und erholsame Feiertage 🥕 🐣! Genießen Sie die Auszeit im Kreise Ihrer Liebsten 🐰

Mehr lesen
16.04.2025

Geteilte Postfächer

Organisatorische Unterstützung durch geteilte E-Mail-Postfächer birgt datenschutzrechtliche Risiken. b-pi sec zeigt Ihnen, wie Sie diesen Risiken entgegenwirken können 👇 Eine allseits bekannte und gängige Praxis:…

Mehr lesen