Seit 1. Januar 2025 müssen Unternehmen E-Rechnungen empfangen können. Ein Meilenstein der Digitalisierung! Doch wo Vorteile entstehen, lauern neue Risiken: Cyberkriminalität bei E-Rechnungen – also Cyberangriffe über manipulierte Rechnungen oder gefälschte E-Mails. Wie Betriebe sich wirksam schützen.
Die Vorteile der E-Rechnungen für die Betriebe liegen auf der Hand:
- schnellere Verarbeitung
- geringere Kosten
- weniger Papier
Und für den Staat erleichtern die E-Rechnungen die Kontrolle über die Zahlung der Mehrwertsteuer. Doch der neue Standard öffnet auch eine gefährliche Tür: Denn in der Praxis erfolgt der Versand per E-Mail – ein Übertragungsweg, der ohne zusätzliche Sicherheitsmaßnahmen zu einem der größten Einfallstore für Cyberkriminalität wird.
Cyberkriminalität bei E-Rechnungen: Neue Angriffsflächen durch ungesicherte E-Mail-Übertragung
Das Herzstück vieler E-Rechnungen ist eine XML-Datei, die sensible Informationen wie IBAN, BIC und Zahlungsziele im Klartext enthält. Fehlen digitale Signaturen und Verschlüsselung, sind diese Informationen frei lesbar – wie auf einer Postkarte. Cyberkriminelle nutzen das aus – etwa, indem sie Bankdaten manipulieren, Schadsoftware einschleusen oder täuschend echte Phishing-Mails versenden.
So greifen Cyberkriminelle bei E-Rechnungen an
- Phishing und Spoofing: gefälschte E-Mails mit betrügerischen Zahlungsanweisungen
- Manipulierte XML-Dateien: geänderte Bankverbindungen oder Beträge
- Malware: infizierte Anhänge oder Links
- Identitätsdiebstahl: Nutzung von Firmenadressen für betrügerische Rechnungen
Daraus folgt: Datensicherheit beginnt beim richtigen Übertragungsweg.
Wie Betriebe ihre E-Rechnungen lückenlos absichern
„Unternehmen, die sich für den Versand von E-Rechnungen per E-Mail entscheiden, sollten den gesamten Prozess bestmöglich absichern, um Phishing- und Manipulationsversuche zu verhindern. Elektronische Signaturen können beispielsweise die Integrität und Nachvollziehbarkeit der Rechnungen erhöhen, da nachträgliche Änderungen erkennbar werden. Ebenso wichtig sind klare organisatorische Prozesse, etwa dass Stammdatenänderungen nur nach Rückruf über bekannte Kontaktdaten erfolgen oder Anomalien wie ungewöhnliche Beträge, neue IBANs oder abweichende Absender automatisch erkannt werden", sagt Felix Lesner, Referent Digitale Geschäftsprozesse beim Digitalverband Bitkom.
Er rät zudem: "Neben dem Versand per E-Mail stehen mit dem Peppol-Netzwerk und verschiedenen Provider-Portalen standardisierte und sichere Kanäle zum Austausch von E-Rechnungen zur Verfügung, bei denen die Angriffsmöglichkeiten auf den Transportweg deutlich reduziert sind. Eine besondere Bedeutung kommt zudem regelmäßigen Schulungen für Mitarbeiterinnen und Mitarbeiter sowie geübten Notfall- und Zahlungsstopp-Prozessen zu. Dabei gilt: Papier- oder Faxrechnungen sind grundsätzlich nicht sicherer“, so Lesner.
Was Unternehmer technisch tun können, um ihre E-Rechnungen zu schützen
- Ende-zu-Ende-Verschlüsselung und digitale Signaturen
- E-Mail-Postfächer speziell für E-Rechnungen mit SPF, DKIM und DMARC-Konfiguration
- Mail-Gateways zur Filterung von Schadanhängen
- regelmäßige Sicherheits- und Zugriffstests nach Standards wie ISO 27001 oder dem Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) (BSI-Grundschutz).
Schulungen: Mitarbeiter als wichtigste Firewall
E-Mails gehören zum Alltag – und sind zugleich das häufigste Einfallstor für Angreifer. Beim Social Engineering nutzen Kriminelle menschliche Eigenschaften wie Vertrauen oder Autorität, um Zugang zu sensiblen Daten zu erlangen. Das BSI warnt: „Der Faktor Mensch ist das schwächste Glied der Sicherheitskette.“ Studien zufolge beruhen rund 88 Prozent aller Cyberangriffe auf menschlichen Fehlhandlungen.
Daher gilt: Sensibilisierung ist Pflicht. Schulungsinhalte sollten sein:
- Misstrauen bei veränderten Bankdaten oder ungewöhnlichen Beträgen
- Telefonische Rückfragen bei Unsicherheiten
- Grundlagen von IT-Sicherheit und Datenschutz
- klare Prozessvorgaben und Mehr-Augen-Prinzip bei Freigaben
Cyberversicherung gegen E-Rechnungsbetrug
Trotz aller Prävention bleibt ein Restrisiko. Eine Cyberversicherung kann im Ernstfall existenzrettend sein – etwa bei Verlusten durch Datenmanipulation oder Betriebsunterbrechungen.
Sie sollte folgende Kosten abdecken:
- Wiederherstellung von Daten und IT-Systemen (dies sollte der IT-Experte des Versicherers übernehmen)
- Ertragsausfälle durch Betriebsunterbrechung
- Haftungsfälle bei Datenschutzverletzungen
- Forensische und rechtliche Unterstützung im Krisenfall
Laut Allianz Commercial geraten zunehmend kleine und mittlere Unternehmen (KMU) in den Fokus, da Angriffe durch KI-gestützte Suche nach Schwachstellen automatisiert erfolgen. Wer dann nicht ausreichend technisch oder versicherungstechnisch abgesichert ist, riskiert wirtschaftliche Schäden bis zur Existenzgefährdung.
Wer haftet bei E-Rechnungsbetrug?
Mit dem neuen IT-Sicherheitsgesetz 2024 verschärft sich die Verantwortung der Unternehmensleitung.
Größere Unternehmen (ab 50 Beschäftigten oder über zehn Millionen Euro Umsatz) müssen einen Cyber-Vorstand benennen, der ein Informationssicherheits-Managementsystem (ISM) implementiert.
Er trägt die Verantwortung für Ressourcen, Risikomanagement und Kontrollen – und haftet persönlich bei Pflichtverletzungen.
Fazit: Schutz ist immer Chefsache!
Die E-Rechnung ist ein wichtiger Schritt zur Effizienzsteigerung, aber ohne Sicherheitsstrategie kann sie teuer werden. Unternehmen sollten daher:
- Sichere Übertragungswege etablieren – zum Beispiel Peppol statt E-Mail
- Mitarbeitende regelmäßig schulen – besonders gegen Phishing und Social Engineering
- Ein ISM-System aufbauen und dokumentieren
- Eine Cyberversicherung prüfen oder abschließen, um das Restrisiko abzufedern
Denn Datensicherheit ist keine reine IT-Aufgabe, sondern Teil der unternehmerischen Verantwortung – und damit auch versicherungspflichtig relevant.
Praxis-Tipp: Unterstützung bei der Umsetzung des E-Rechnungsschutzes
Die Handwerkskammern, das BSI und der Digitalverband Bitkom bieten praxisnahe Leitfäden und Sicherheitschecks zur E-Rechnungs-Sicherheit an.
Wer die Umstellung mit professioneller Beratung und Versicherungsschutz begleitet, schützt nicht nur seine Daten, sondern reduziert auch sein Haftungsrisiko.
