[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 06.01.2025] Während so mancher Solo-Selbstständige die Herausforderung im Herbst 2024 vielleicht noch eher verdrängen wollte, steckten einige Großunternehmen schon mitten in der Vorbereitung oder hatten bereits entsprechende Lösungen implementiert. Klar war indes: Die E-Rechnung kommt – und das schrittweise ab 2025. Doch längst nicht allen Betroffenen sei klar, „was genau eigentlich eine E-Rechnung ist und welche Fristen und Vorgaben es zu beachten gilt“. In seiner Stellungnahme adressiert Nico Bäumer, „Chief Technology Officer“ bei d.velop, die häufigsten Irrtümer und Fehlannahmen zu diesem Thema und gibt hilfreiche Tipps für einen erfolgreichen Start.

Foto: d.velop

Nico Bäumer: Unstrukturierte und nicht maschinenlesbare Dateien gelten nicht als E-Rechnung!

1. Annahme: Eine PDF-Detei ist eine E-Rechnung

Bäumer: „Nein! Eine elektronische Rechnung muss im strukturierten und elektronischen Format ausgestellt, übermittelt und empfangen sowie elektronisch verarbeitet werden können!“ Reine PDF-Dateien gehörten ebenso wie Bilddateien (JPEG etc.) nicht dazu. Er stellt klar: „Alle Dateien, die nicht strukturiert und maschinenlesbar sind, gelten nicht als elektronische Rechnung!“

Stattdessen gebe es dafür spezielle, XML-basierte und damit maschinenlesbare Dateiformate. In Deutschland seien zukünftig „XRechnung“ und „ZUGFeRD“ (ab der Version 2.0.1) zugelassen. Durch individuelle Vereinbarungen könnten auch weitere Formate zum Einsatz kommen, „sofern sie mit der CEN-Norm EN 16931 interoperabel sind“.

2. Annahme: Die E-Rechnung wird bereits ab Januar 2025 für alle Pflicht

„Jein.“ Ab dem 1. Januar 2025 müsse indes jedes Unternehmen E-Rechnungen empfangen und archivieren können. Anschließend gebe es eine Übergangsregelung (bis zum 31.12.2026), während der alle Unternehmen weiterhin Papierrechnungen oder falls vereinbart, Rechnungen im sonstigen elektronischen Format (z.B. PDF) ausstellen dürften. Für Unternehmen mit einem Vorjahresumsatz unter 800.000 Euro gelte zudem eine verlängerte Übergangsfrist bis zum 31. Dezember 2027. Ab dem 1. Januar 2028 sei dann die Einhaltung der neuen Anforderungen aber für alle B2B-Transaktionen verpflichtend.

Für das Privatkundengeschäft gebe es keine Pflicht zum Versand elektronischer Rechnungen. Daneben gibt es noch weitere Ausnahmen: „So fallen umsatzsteuerbefreite Posten nicht unter die E-Rechnungspflicht, ebenso wie Transaktionen mit im Ausland ansässigen Unternehmen.“ Auch Rechnungen für Kleinbeträge unter 250 Euro oder für Fahrausweise fielen nicht unter diese Vorgabe.

3. Annahme: Die E-Rechnung kann per E-Mail verschickt werden

„Ja, aber unter der Voraussetzung, dass das Format der angehängten elektronischen Rechnung alle gesetzlichen Voraussetzungen erfüllt“, erläutert Bäumer und erinnert nochmals daran: „Eine einfache PDF-Datei im Anhang einer E-Mail ist keine E-Rechnung!“ Außerdem sei der Kommunikationskanal per E-Mail nicht besonders geschützt und Absender erhielten keinen Zustellnachweis.

Dies sei nun bei spezialisierten digitalen Zustelldiensten (wie z.B. „d.velop postbox“) anders. Dort handele es sich um einen hochsicheren, DSGVO-konformen Zustellweg für E-Rechnungen und andere wichtige Dokumente. Eine weitere Möglichkeit sei die Bereitstellung der E-Rechnung zum sicheren Download auf der eigenen Website.

4. Annahme: Für den Empfang und die Zustellung der E-Rechnung muss eine spezielle Software implementiert werden

„Jein: Die Implementierung einer speziellen Software ist nicht verpflichtend, dennoch müssen digitale Belege im E-Rechnungsformat im Eingangsformat GoBD-konform archiviert werden.“ Häufig erfüllten klassische E-Mail-Postfächer diese Anforderung bereits. Dennoch erleichtere eine spezialisierte Software die Umsetzung und sichere zudem die Einhaltung von gesetzlichen Vorgaben.

Ein Dokumentenmanagement-System (DMS) umfasse die Anzeige, Bearbeitung, Archivierung und Löschung von elektronischen Dokumenten und ermögliche damit effiziente und sichere Interaktion mit E-Rechnungen. Ein entscheidender Vorteil dabei sei, dass die Systeme auch E-Rechnungen verschiedener Formate automatisch auslesen und weiterverarbeiten könnten. Anschließend könnten die digitalen Dokumente direkt GoBD-konform archiviert werden. Dieses digitale Archiv sei jederzeit einfach zu durchsuchen und alle benötigten Rechnungen der Vergangenheit seien so schnell zur Hand.

5. Annahme: E-Rechnungen sind unsicherer als Rechnungen in Papierform

„Nein!“, so Bäumer. E- Rechnungen könnten gesetzeskonform gemäß GoBD archiviert werden und seien dadurch leicht auffindbar und nachvollziehbar. Ein Berechtigungsmanagement schaffe zudem Schutz vor unerlaubten Zugriffen, während Versionierung vor Verlust und Manipulation schütze.

Zusätzlich könnten in sensiblen Bereichen qualifizierte elektronische Signaturen oder Siegel genutzt werden, um die Authentizität von Rechnungen zweifelsfrei zu garantieren und maximalen Fälschungsschutz zu gewährleisten.

E-Rechnung-Einführung: In der Pflicht eine echte Chance für die Digitalisierung erkennen!

Bäumers Fazit: „Auch wenn die E-Rechnung für Selbstständige oder Unternehmen vielleicht zunächst als Herausforderung wahrgenommen wird, liegt in ihr auch eine echte Chance für die Digitale Transformation!“

Denn angefangen bei der Buchhaltung ließen sich auch weitere Prozesse und Abteilungen digitalisieren bzw. automatisieren – dies führe zu Zeitersparnis, Vereinheitlichung von Systemen und Produktivitätssteigerung. „Mit einem starken Partner an der Seite und entsprechender Software zum Umgang mit digitalen Rechnungen – und darüber hinaus – gelingt die Umstellung reibungslos.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 01.12.2014] Die gefälschten Rechnungen, die seit Anfang November 2014 massenhaft auch im Namen der Deutschen Telekom verschickt werden, haben eine neue, wenngleich zweifelhafte Qualitätsstufe erreicht. Nach Angaben der Telekom liegen ihr erstmals Beispiele vor, in denen die Betroffenen korrekt mit Vor- und Nachnamen angesprochen werden. Bislang hatte eine personalisierte Ansprache noch gefehlt.

Ein neues Niveau der Täuschung

Damit sei ein neues Niveau der Täuschung erreicht, das es Betroffenen schwerer mache, das Original von der gefälschten E-Mail zu unterscheiden, so die Telekom. Dennoch gebe es bereits jetzt verlässliche Kriterien – diese werden online zur Verfügung gestellt.
Die Deutsche Telekom arbeitet nach eigenen Angaben an neuen Kriterien, mit deren Hilfe Nutzer eine echte Rechnung noch besser von einer Fälschung unterscheiden können. Diese neuen Unterscheidungsmerkmale sollen im ersten Quartal 2015 eingeführt werden.

Aufruf zur Datensparsamkeit

Gleichzeitig rät das Unternehmen, nicht leichtfertig mit seinen Daten umzugehen. Oft werden E-Mailadressen inklusive Vor- und Nachnamen aus Gewinnspielen gehandelt – Kriminelle bedienen sich aus solchen Listen oder aus einem Reservoir gestohlener Identitäten und können so personalisierte gefälschte E-Mails versenden.

Weitere Informationen zum Thema:

Deutsche Telekom AG
Achtung: Erste gefälschte Mails mit persönlicher Ansprache in Umlauf

[datensicherheit.de, 09.01.2012] Nach einer aktuellen Warnung von G DATA gingen Cyber-Kriminelle in einer neuen „eCrime-Kampagne“ einen ungewöhnlichen Weg – statt per Spam-E-Mail Empfänger in die Falle zu locken, versuchten es die Täter mit der „guten alten“ Briefpost.
Der Einsatz leistungsstarker IT-Sicherheitslösungen mit wirkungsvollen Antispam-Technologien sei in den meisten Unternehmen mittlerweile selbstverständlich. Dies erschwere die Arbeit digitaler Trickbetrüger immens und zwinge sie dazu, neue Wege einzuschlagen bzw. alte wieder zu entdecken – „Back to the roots“ scheine in einer aktuellen Kampagne das Motto einer Tätergruppe zu sein, die Pressestellen und PR-Agenturen ins Visier nähmen.
Als IT-Security-Hersteller informierten sieir Internetnutzer regelmäßig über aktuelle Schadcode- oder Spam-Kampagnen, erläutert Ralf Benzmüller, Leiter „G Data SecurityLabs“. Es sei schon sehr ungewöhnlich, dass derartige Angebote wieder per Post versendet werden, wie es bei der aktuellen Masche der Fall sei. Selbst die sogenannte „Nigeria-Connection“ habe schließlich aus Kostengründen schon vor Jahren von Briefpost auf E-Mail umgestellt.
Die Kontaktdaten und Ausschnitte der Pressemitteilungen stammten von frei zugänglichen Presse-Portalen großer kommerzieller Mediendienstleister, die die Täter vermutlich vollautomatisiert per Robot erbeuteten und anschließend in Datenbanken zur Erstellung der Serienbriefe erfasst hätten.

Abbildung: G Data Software AG, Bochum

Die automatisierte Recherche der Täter habe dazu geführt, dass auch G DATA auf die Versandliste rutschte – die Kriminellen versuchten vergeblich, auch beim deutschen IT-Security-Hersteller 1.890 Euro zu erbeuten, so G DATA.

Per Briefpost versendeten Cyber-Kriminelle Rechnungen für die angebliche Online-Verbreitung von Unternehmensmeldungen. Unter dem Namen „Silence Media Network“ firmiere der vermeintliche Dienstleister, der auf seiner Website plakativ mit Logos großer Medienunternehmen und Nachrichtenagenturen werbe, so G DATA. Im aktuellen Betrugsversuch hätten die Täter die frei zugänglichen Informationen großer Online-Presseportale genutzt. Die Versender gingen dabei äußerst professionell vor – der Versand erfolge auf „wertigem Geschäftspapier“, die als Rechnungen getarnten Angebote seien allesamt personalisiert und beinhalteten zudem einen Auszug einer bereits veröffentlichten Meldung.
Die eingeforderte Summe betrage entweder 580 Euro oder 1.890 Euro. Die Zahlungsabwicklung erfolge per niederländischen Payment-Provider. Nach ersten Recherchen handele es sich um eine groß angelegte Versandaktion.
Sollte diese Masche erfolgreich sein, rechnet G DATA nach eigenen Angaben mit einer Ausweitung dieser Masche und dem Aufleben von „Spam“ per Briefpost. Der Mehraufwand eines Versands per Post könne sich nämlich lohnen, so Benzmüller. Diese Kampagne könnte sehr erfolgreich sein, da sie in einem Bereich ansetze, wo man nicht mit Betrugsversuchen rechnet.

Die Masche

Die „Brief-Spam“ alter Schule sei vom Aufbau äußerst professionell gestaltet und auf einem zweifarbigen Geschäftspapier mit rückseitigen AGBs gedruckt. Der „Reminder“ beziehe sich auf eine bereits verschickte Pressemitteilung und beinhalte eine Bearbeitungsnummer für Rückfragen und ein Zahlungsziel. Lediglich im Kleingedruckten sei nachzulesen, dass es sich um ein Angebot handelt.
Bei der Farbwahl hätten die Versender die Grautöne so gewählt, das bei einer digitalen Erfassung und Weiterverarbeitung im Unternehmen der Text „Press Release Reminder/ Offer: 1022“ kaum noch zu lesen sei. Die „Rechnungsstellung“ erfolge personalisiert und richte sich direkt an die vermeintlichen Auftraggeber.

Nach ersten Recherchen der G Data Software AG werde die Internetseite von „Silence Media Network“ in Großbritannien gehostet. Der Anbieter firmiere angeblich als sogenannte Ltd. In Großbritannien und habe seinen Gerichtsstand nach eigener Auskunft auf Zypern.

Weitere Informationen zum Thema:

G DATA, 09.01.2013
Zurück zu den Wurzeln: Onlinekriminelle setzen auf Briefpost / Zielgerichtete Kampagne soll PR-Agenturen und Pressestellen abzocken