Gefälschte Rechnungen

„Invoice Fraud“ – b-pi sec erklärt Ihnen in Kürze, was es damit auf sich hat 👇

Mit „Invoice Fraud“ sind Fälle gemeint, in denen gefälschte oder manipulierte Rechnungen per E-Mail eingehen, kurz gesagt: „Rechnungsbetrug“. Seit Anfang 2025 sind sog. „E-Rechnungen“ im B2B-Bereich sogar verpflichtend. Somit besteht eine größere Angriffsfläche für Betrugsfälle.

In den meisten Fällen verschaffen sich die Täter über illegal beschaffte Zugriffsdaten Zugriff zum E-Mail-Postfach ihrer anvisierten „Opfer“. Dort wird dann die E-Mail nebst Anhang gelesen und anschließend derart manipuliert, dass z.B. die angegebene Kontonummer verändert wird. Die Überweisung des richtigen Rechnungsbetrages erfolgt somit gutgläubig auf das falsche Konto. Die Folge: Der Anspruch auf Zahlung besteht weiter fort, sodass die Person, die die manipulierte E-Mail empfangen hat, zwei Mal bezahlen muss.

⚖️ Anders sieht dies das OLG Schleswig in seinem heiß diskutierten Urteil vom 18.12.2024, Az.: 12 U 9/24:
Wenn das rechnungsstellende Unternehmen die Rechnung per E-Mail nicht „Ende-zu-Ende“ verschlüsselt, mithin kein PGP oder S/MIME verwendet, besteht kein Zahlungsanspruch mehr. Eine reine Transportverschlüsselung via TLS reiche nicht aus, so das OLG Schleswig. In diesen Fällen hat der Rechnungsempfänger einen Gegenanspruch wegen Nichteinhaltung der erforderlichen technischen und organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO.

Dieses Urteil ist jedoch auch mit Blick auf die Informationssicherheit als kritisch zu bewerten, zumal PGP oder S/MIME nicht als gängige Methoden zur Verschlüsselung verbreitet sind. Eine Transportverschlüsselung via TLS 1.2 bzw. 1.3 ist i.d.R. ausreichend.

Um einem „Invoice Fraud“ vorzubeugen, gilt es folgende Tipps bei der Rechnungsstellung und den Versand zu beachten:

  1. Den eigenen E-Mail-Server mit einer Transportverschlüsselung (TLS 1.2 oder 1.3) einrichten. Dies ist gem. Art. 32 DSGVO eine gebotene Schutzmaßnahme.
  2. Die TLS-Verschlüsselung verpflichtend einführen.
  3. Alternativ ein Rechnungsportal nutzen, auf dem die Rechnungsempfänger einen Account eingerichtet bekommen.

Zurück zur Übersicht

Weitere Blog-Beiträge

Beitragsbild NIS-2 Blogupdate
11.06.2025

Fokus NIS2 (Stand 06/25)

Seit Mai 2025 läuft für Deutschland eine zweimonatige Frist zur Reaktion auf eine Anfrage der EU-Kommission zur überfälligen Umsetzung der NIS2-Richtlinie (Frist war der 17.…

Mehr lesen
Beitragsfoto Team-Meeting Q2 2025
26.05.2025

Team-Meeting Q2/2025

Vergangenen Freitag hatten wir wieder das Vergnügen, ein ganztägiges Team-Meeting im schönen BERNHARDS in Montabaur zu veranstalten – diesmal mit einer kleinen kulinarischen Überraschung: Statt…

Mehr lesen
Beitragsfoto VA Dietzenbach
21.05.2025

Veranstaltung b-pi sec ‚Digitaler Shutdown‘ vom 15.05.25

Die Frage lautet nicht, ob es passiert, sondern wann! Gemeint ist ein erfolgreicher Cyberangriff. Am 15. Mai veranstaltete b-pi sec wieder eine Workshop-Veranstaltung. Das Thema des…

Mehr lesen