Gefälschte Rechnungen

„Invoice Fraud“ – b-pi sec erklärt Ihnen in Kürze, was es damit auf sich hat 👇

Mit „Invoice Fraud“ sind Fälle gemeint, in denen gefälschte oder manipulierte Rechnungen per E-Mail eingehen, kurz gesagt: „Rechnungsbetrug“. Seit Anfang 2025 sind sog. „E-Rechnungen“ im B2B-Bereich sogar verpflichtend. Somit besteht eine größere Angriffsfläche für Betrugsfälle.

In den meisten Fällen verschaffen sich die Täter über illegal beschaffte Zugriffsdaten Zugriff zum E-Mail-Postfach ihrer anvisierten „Opfer“. Dort wird dann die E-Mail nebst Anhang gelesen und anschließend derart manipuliert, dass z.B. die angegebene Kontonummer verändert wird. Die Überweisung des richtigen Rechnungsbetrages erfolgt somit gutgläubig auf das falsche Konto. Die Folge: Der Anspruch auf Zahlung besteht weiter fort, sodass die Person, die die manipulierte E-Mail empfangen hat, zwei Mal bezahlen muss.

⚖️ Anders sieht dies das OLG Schleswig in seinem heiß diskutierten Urteil vom 18.12.2024, Az.: 12 U 9/24:
Wenn das rechnungsstellende Unternehmen die Rechnung per E-Mail nicht „Ende-zu-Ende“ verschlüsselt, mithin kein PGP oder S/MIME verwendet, besteht kein Zahlungsanspruch mehr. Eine reine Transportverschlüsselung via TLS reiche nicht aus, so das OLG Schleswig. In diesen Fällen hat der Rechnungsempfänger einen Gegenanspruch wegen Nichteinhaltung der erforderlichen technischen und organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO.

Dieses Urteil ist jedoch auch mit Blick auf die Informationssicherheit als kritisch zu bewerten, zumal PGP oder S/MIME nicht als gängige Methoden zur Verschlüsselung verbreitet sind. Eine Transportverschlüsselung via TLS 1.2 bzw. 1.3 ist i.d.R. ausreichend.

Um einem „Invoice Fraud“ vorzubeugen, gilt es folgende Tipps bei der Rechnungsstellung und den Versand zu beachten:

  1. Den eigenen E-Mail-Server mit einer Transportverschlüsselung (TLS 1.2 oder 1.3) einrichten. Dies ist gem. Art. 32 DSGVO eine gebotene Schutzmaßnahme.
  2. Die TLS-Verschlüsselung verpflichtend einführen.
  3. Alternativ ein Rechnungsportal nutzen, auf dem die Rechnungsempfänger einen Account eingerichtet bekommen.

Zurück zur Übersicht

Weitere Blog-Beiträge

08.12.2025

BfDI erkennt erstmals Cookie-Manager an

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hat am 17. Oktober erstmals einen Cookie-Manager gemäß §25 Abs. 1 T3DG…

Mehr lesen
01.12.2025

Team-Meeting 11/2025

Team-Meeting mit Überraschungsgast! 🎅 Unser jüngstes Team-Meeting fand in einer nagelneuen, richtig schönen Location statt. Doch der besondere Moment kam völlig unerwartet: Der Niko...

Mehr lesen
24.11.2025

Mehr Klarheit, weniger Einfluss: Die EU verschärft Regeln für politische Werbung im Netz

Ab dem 10. Oktober 2025 gilt in der Europäischen Union eine neue Regelung, die die politische Online-Kommunikation unmittelbar betrifft und mehr Transparenz und Fairness schaffen…

Mehr lesen