Wird E2EE Standard bei E-Mails zum Standard oder wie werden Rechnungen sicher versendet?

Von: Dr. Thomas Lapp

Vortrag zu aktuellen Anforderungen an die IT-Sicherheit beim Versand von elektronischen Rechnungen im Rahmen der IT SA 365

 

Vorsicht beim Rechnungsempfang per E-Mail: Wenn der Zahlungsweg zur Falle wird

In Zeiten zunehmender Digitalisierung ist der Versand von Rechnungen per E-Mail zur gängigen Praxis geworden. Schnell, kostengünstig und unkompliziert – so scheint es zumindest auf den ersten Blick. Doch immer häufiger nutzen Cyberkriminelle diese Methode, um gefälschte Rechnungen mit manipulierten Kontodaten in Umlauf zu bringen. Das Ergebnis: Zahlungen landen auf falschen Konten, das Geld ist verloren – und im schlimmsten Fall bleibt der Empfänger auf dem Schaden sitzen.

Gefälschte Rechnungen: Ein reales Risiko

Das Vorgehen ist perfide, aber nicht selten: Eine Rechnung wird abgefangen, manipuliert und mit einer geänderten Bankverbindung weitergeleitet. Der Empfänger bemerkt den Unterschied nicht, überweist gutgläubig – und das Geld ist weg. Da es sich oft um professionelle Fälschungen handelt, ist der Betrug auf den ersten Blick kaum erkennbar.

Die Rechtsprechung: Wer trägt die Verantwortung?

Aktuelle Urteile zeigen: Die juristische Bewertung solcher Fälle ist nicht einheitlich.

• OLG Karlsruhe: In einem konkreten Fall stellte das Gericht klar, dass der Rechnungsempfänger die offensichtlichen Unstimmigkeiten hätte bemerken und zumindest Rücksprache mit dem Absender halten müssen. Da dies unterlassen wurde, musste der Betrag ein zweites Mal bezahlt werden. Die Verantwortung wurde also dem Empfänger zugeschoben.

• OLG Schleswig-Holstein: Hier sah das Gericht den Fehler beim Absender der Rechnung. Zwar gibt es keine gesetzliche Pflicht, Rechnungen zu verschlüsseln, jedoch ergibt sich laut Datenschutz-Grundverordnung (DS-GVO) die Verpflichtung, personenbezogene Daten beim Versand zu schützen – nach dem OLG unter anderem durch Ende-zu-Ende-Verschlüsselung. Da dies unterlassen wurde, wurde dem Absender eine zweite Zahlung verweigert.

Gesetzliche Anforderungen: Was sagt das Umsatzsteuergesetz?

Gemäß § 14 UStG muss bei der elektronischen Übermittlung von Rechnungen die Integrität des Inhalts und die Authentizität der Herkunft sichergestellt sein. Diese Anforderungen liegen in der Verantwortung des Absenders. Doch hier besteht ein häufiges Missverständnis:

• Ende-zu-Ende-Verschlüsselung schützt zwar die Vertraulichkeit, also den Zugriff Dritter auf die Daten – sie bietet dem Empfänger aber keine Möglichkeit, die Echtheit des Absenders zu verifizieren.

• Integrität und Authentizität können nur durch den Einsatz einer qualifizierten elektronischen Signatur nachgewiesen werden. Sie stellt sicher, dass die Rechnung nicht verändert wurde und tatsächlich vom angeblichen Absender stammt.

Fazit: Sicherheit ist Pflicht – für beide Seiten

Die aktuelle Rechtslage zeigt: Sowohl Absender als auch Empfänger müssen bei der digitalen Rechnungsstellung und -bearbeitung wachsam sein.

• Für Empfänger gilt: Verdächtige Änderungen – insbesondere bei Kontodaten – sollten stets überprüft und rückbestätigt werden. Im Zweifel lieber nachfragen als doppelt zahlen.

• Für Absender gilt: Wer rechtlich auf der sicheren Seite sein will, kommt an der qualifizierten elektronischen Signatur nicht vorbei.

Nur wenn beide Seiten ihrer Sorgfaltspflicht nachkommen, lässt sich das Risiko von Rechnungsmissbrauch effektiv minimieren.

 

Vortrag am 27.5.2025 ab 9:00 Uhr auf der it sa 365 online

 

 

 

 

 

 

 

 

---