Wachsam sein

Bei Rechnungen, die als PDF-Dateien per E-Mail verschickt werden, können die Zahlungsinformationen durch Betrüger manipuliert werden – das ist seit Längerem bekannt. Seit immer mehr E-Rechnungen verschickt werden, tritt das Problem inzwischen aber auch hier auf. So kam es in jüngerer Zeit bei Mandanten von DATEV-Mitgliedern zu Zahlungen an Betrüger, die E-Rechnungen im ZUGFeRD-Format auf dem E-Mail-Weg abgefangen und verändert hatten. Als das Dokument bei den Empfängern ankam, trug es eine andere Bankverbindung als die des Lieferanten im Original.

In den dokumentierten Fällen hatten die betroffenen Unternehmen die Zahlungen ausschließlich auf Basis des PDF-Teils (der sogenannten Sichtkomponente) der hybriden Rechnungen vorgenommen. Der Betrug hätte nicht funktioniert, wenn die Empfänger sich ausschließlich am XML-Datensatz orientiert hätten, der bei einer E-Rechnung der maßgebliche und damit rechtlich verbindliche Bestandteil ist. Doch selbst bei korrekter Handhabung erweist sich eine per E-Mail verschickte E-Rechnung als angreifbar. Den XML-Datensatz zu korrumpieren ist zwar aufwendiger als beim PDF-Teil, doch auch er lässt sich verändern.

Der sicherste Weg, Betrug vorzubeugen, besteht darin, statt der E-Mail gleich einen sicheren Versandweg zu wählen. DATEV empfiehlt dafür die Nutzung der etablierten Netzwerke TRAFFIQX und Peppol. Mit der Aktivierung des E-Rechnungspostfachs auf der DATEV E-Rechnungsplattform erhalten Kanzleien und Unternehmen automatisch Nutzerkennungen für diese beiden Netzwerke, über die sie ihre Rechnungen sicher elektronisch und standardisiert austauschen können. Eingehende Rechnungen werden auf Viren gescannt, Betrug wird durch Identitätsprüfungen erheblich erschwert. Das bietet ein Höchstmaß an Sicherheit ohne weiteren Aufwand bei den Anwendern.

Wer weiter Rechnungen per E-Mail schicken muss oder möchte, sollte auf jeden Fall Vorsicht walten lassen. Grundsätzlich ist dabei ein genauer Blick auf die Daten zu empfehlen. Wenn etwa schon mehrfach Überweisungen für den gleichen Empfänger an ein anderes als das in der Rechnung ausgewiesene Konto getätigt wurden, kann eine Nachfrage beim jeweiligen Lieferanten helfen. Diese Nachfragen sollten jedoch telefonisch stattfinden, keinesfalls per E-Mail. Die Angreifer könnten sonst die Gelegenheit ergreifen, auch die E-Mail-Antwort auf die Rückfrage zu manipulieren.

Wird dagegen erstmals an einen Rechnungsempfänger gezahlt, ist ein Vergleich der Kontodaten auf der Rechnung mit denen auf der Website des Unternehmens ein guter Anfang. Außerdem sind eine starke Ende-zu-Ende-Verschlüsselung sowie die Absicherung des E-Mail-Kontos über eine Zwei-Faktor-Authentifizierung (zum Beispiel mit DATEV SmartCard, DATEV mIDentity) wichtige und vor allem sichere Maßnahmen.