Gefälschte Rechnungen
„Invoice Fraud“ – b-pi sec erklärt Ihnen in Kürze, was es damit auf sich hat 👇
Mit „Invoice Fraud“ sind Fälle gemeint, in denen gefälschte oder manipulierte Rechnungen per E-Mail eingehen, kurz gesagt: „Rechnungsbetrug“. Seit Anfang 2025 sind sog. „E-Rechnungen“ im B2B-Bereich sogar verpflichtend. Somit besteht eine größere Angriffsfläche für Betrugsfälle.
In den meisten Fällen verschaffen sich die Täter über illegal beschaffte Zugriffsdaten Zugriff zum E-Mail-Postfach ihrer anvisierten „Opfer“. Dort wird dann die E-Mail nebst Anhang gelesen und anschließend derart manipuliert, dass z.B. die angegebene Kontonummer verändert wird. Die Überweisung des richtigen Rechnungsbetrages erfolgt somit gutgläubig auf das falsche Konto. Die Folge: Der Anspruch auf Zahlung besteht weiter fort, sodass die Person, die die manipulierte E-Mail empfangen hat, zwei Mal bezahlen muss.
⚖️ Anders sieht dies das OLG Schleswig in seinem heiß diskutierten Urteil vom 18.12.2024, Az.: 12 U 9/24:
Wenn das rechnungsstellende Unternehmen die Rechnung per E-Mail nicht „Ende-zu-Ende“ verschlüsselt, mithin kein PGP oder S/MIME verwendet, besteht kein Zahlungsanspruch mehr. Eine reine Transportverschlüsselung via TLS reiche nicht aus, so das OLG Schleswig. In diesen Fällen hat der Rechnungsempfänger einen Gegenanspruch wegen Nichteinhaltung der erforderlichen technischen und organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO.
Dieses Urteil ist jedoch auch mit Blick auf die Informationssicherheit als kritisch zu bewerten, zumal PGP oder S/MIME nicht als gängige Methoden zur Verschlüsselung verbreitet sind. Eine Transportverschlüsselung via TLS 1.2 bzw. 1.3 ist i.d.R. ausreichend.
Um einem „Invoice Fraud“ vorzubeugen, gilt es folgende Tipps bei der Rechnungsstellung und den Versand zu beachten:
- Den eigenen E-Mail-Server mit einer Transportverschlüsselung (TLS 1.2 oder 1.3) einrichten. Dies ist gem. Art. 32 DSGVO eine gebotene Schutzmaßnahme.
- Die TLS-Verschlüsselung verpflichtend einführen.
- Alternativ ein Rechnungsportal nutzen, auf dem die Rechnungsempfänger einen Account eingerichtet bekommen.
Weitere Blog-Beiträge
🚨Automatisierung stößt an ihre Grenzen: Verwaltungsgericht Bremen schafft Klarheit
Ein aktuelles Urteil des Verwaltungsgerichts Bremen (Az. 2 K 763/23) zeigt: Vollautomatisch erstellte Abfallgebührenbescheide ohne menschliche Prüfung können gegen die DSGVO verstoßen.
Mehr lesen
Frisch eingekleidet: Unsere neuen CI-Team Jacken sind da ✨🎉
Teamspirit, Humor und ein gemeinsames Verständnis für Qualität – nicht nur bei digitaler Sicherheit, sondern auch beim Style, perfekt für den Arbeitsalltag im Team 🤝
Mehr lesen
“Wegen dem Datenschutz geht das nicht“
Als Datenschutzbeauftragte erleben wir im Beratungsalltag leider immer wieder, dass „Datenschutz“ missbraucht wird. Dabei ist Datenschutz nicht das Schwert gegen Arbeitgeber, Unternehmen oder Behörden, sondern…
Mehr lesen