Gefälschte Rechnungen
„Invoice Fraud“ – b-pi sec erklärt Ihnen in Kürze, was es damit auf sich hat 👇
Mit „Invoice Fraud“ sind Fälle gemeint, in denen gefälschte oder manipulierte Rechnungen per E-Mail eingehen, kurz gesagt: „Rechnungsbetrug“. Seit Anfang 2025 sind sog. „E-Rechnungen“ im B2B-Bereich sogar verpflichtend. Somit besteht eine größere Angriffsfläche für Betrugsfälle.
In den meisten Fällen verschaffen sich die Täter über illegal beschaffte Zugriffsdaten Zugriff zum E-Mail-Postfach ihrer anvisierten „Opfer“. Dort wird dann die E-Mail nebst Anhang gelesen und anschließend derart manipuliert, dass z.B. die angegebene Kontonummer verändert wird. Die Überweisung des richtigen Rechnungsbetrages erfolgt somit gutgläubig auf das falsche Konto. Die Folge: Der Anspruch auf Zahlung besteht weiter fort, sodass die Person, die die manipulierte E-Mail empfangen hat, zwei Mal bezahlen muss.
⚖️ Anders sieht dies das OLG Schleswig in seinem heiß diskutierten Urteil vom 18.12.2024, Az.: 12 U 9/24:
Wenn das rechnungsstellende Unternehmen die Rechnung per E-Mail nicht „Ende-zu-Ende“ verschlüsselt, mithin kein PGP oder S/MIME verwendet, besteht kein Zahlungsanspruch mehr. Eine reine Transportverschlüsselung via TLS reiche nicht aus, so das OLG Schleswig. In diesen Fällen hat der Rechnungsempfänger einen Gegenanspruch wegen Nichteinhaltung der erforderlichen technischen und organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO.
Dieses Urteil ist jedoch auch mit Blick auf die Informationssicherheit als kritisch zu bewerten, zumal PGP oder S/MIME nicht als gängige Methoden zur Verschlüsselung verbreitet sind. Eine Transportverschlüsselung via TLS 1.2 bzw. 1.3 ist i.d.R. ausreichend.
Um einem „Invoice Fraud“ vorzubeugen, gilt es folgende Tipps bei der Rechnungsstellung und den Versand zu beachten:
- Den eigenen E-Mail-Server mit einer Transportverschlüsselung (TLS 1.2 oder 1.3) einrichten. Dies ist gem. Art. 32 DSGVO eine gebotene Schutzmaßnahme.
- Die TLS-Verschlüsselung verpflichtend einführen.
- Alternativ ein Rechnungsportal nutzen, auf dem die Rechnungsempfänger einen Account eingerichtet bekommen.
Weitere Blog-Beiträge
Wenn Sicherheit zur Last wird: Die unterschätzte Gefahr der Security Fatigue
Sicherheitsmaßnahmen sind wichtig. Doch was passiert, wenn Mitarbeitende täglich mit immer neuen Warnungen, Freigaben und Sicherheitsanforderungen konfrontiert werden?
Mehr lesen
b-pi sec goes ZDF – Warum Glasfaser für Unternehmen unverzichtbar wird
Anfang des Monats hatten wir die Möglichkeit, gemeinsam mit dem ZDF-Magazin WISO über den Glasfaserausbau und dessen Bedeutung für Unternehmen zu sprechen ...
Mehr lesen
KI-Manipulation durch „Prompt Injection“: Risiko für Unternehmen und Verwaltungen
Künstliche Intelligenz wird in Unternehmen und Verwaltungen immer häufiger eingesetzt – etwa für Recherchen, Textgenerierung, Kundenservice oder interne Prozesse. Doch mit den neuen Möglichkeiten entstehen…
Mehr lesen