[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 13.11.2024] Gerade in Herbsttagen oft zu beobachten: Eine vermeintlich harmlose E-Mail wird übermittelt – mit dem Betreff: „Ihr exklusiver Black-Friday-Gutschein ist da!“ Günter Esch, Geschäftsführer SEPPmail – Deutschland GmbH, erläutert in seiner aktuellen Stellungnahme: „Solche E-Mails landen derzeit immer häufiger im Posteingang. Die E-Mails sind dabei perfekt gestaltet – mit einem offiziellen Logo, einer persönlichen Anrede und einem Call-to-Action-Button.“ Er warnt: „Ein Klick auf den eingebetteten Link führt jedoch nicht zum versprochenen Rabatt, sondern zu einer gefälschten Website, die Kreditkarteninformationen oder andere persönliche Daten abfragt.“ Dies sei kein ungewöhnlicher Vorfall in einem Monat, der von einer Flut an Rabattaktionen geprägt sei.

Foto: SEPPmail – Deutschland GmbH

Günter Esch: Prävention ist der Schlüssel, denn der „Black Friday“ bringt nicht nur attraktive Schnäppchen, sondern auch erhebliche Risiken mit sich!

„Black Friday“ als eines der lukrativsten Shopping-Events des Jahres lockt Käufer und Betrüger an

Mit Milliardenumsätzen weltweit gehöre der „Black Friday“ zu den lukrativsten Shopping-Events des Jahres. „Das enorme Kaufinteresse, gepaart mit dem Zeitdruck vieler Angebote, schafft ideale Bedingungen für Cyber-Kriminelle. Phishing-Mails nutzen die Hektik und die Schnäppchenjagd gezielt aus.“

Die Angriffe seien dabei nicht nur häufiger, sondern auch deutlich raffinierter geworden. Phishing-Mails enthielten immer öfter personalisierte Inhalte und nutzten Informationen, „die aus früheren Datenlecks stammen, um den Nutzern glaubwürdig zu erscheinen“.

Die größten Gefahren für Unternehmen und Privatpersonen lt. SEPPmail:

Fake-Angebote:
Vermeintliche Gutscheine oder Rabatte lockten Nutzer auf gefälschte Webseiten, um dort sensible Daten preiszugeben oder unbemerkt Schadsoftware herunterzuladen.

Angriffe auf Geschäftskommunikation:
Auch Unternehmen seien ein beliebtes Ziel – Cyber-Kriminelle tarnten sich als Partner oder Dienstleister und versendeten Rechnungen mit gefährlichen Anhängen oder Links.

Ausnutzung mobiler Geräte:
Viele Nutzer shoppten unterwegs auf mobilen Geräten – gefälschte Apps oder schlecht gesicherte WLAN-Netzwerke böten zusätzliche Angriffsflächen.

Wie sich Unternehmen und Nutzer nicht nur in der „Black Friday“-Saison schützen können:

Um sich effektiv gegen die zunehmenden Phishing-Bedrohungen (nicht nur) in der „Black Friday“-Saison zu wappnen, seien verschiedene Maßnahmen erforderlich: „Ein zentraler Ansatzpunkt ist die Aufklärung und Sensibilisierung der Mitarbeiter. Unternehmen sollten gezielt auf die Gefahren von Phishing-Mails hinweisen und regelmäßige Schulungen anbieten, um das Bewusstsein für aktuelle Angriffsmethoden zu schärfen. Nur wer die Tricks der Cyber-Kriminellen kennt, kann entsprechende E-Mails rechtzeitig erkennen und darauf reagieren!“

Ebenso unverzichtbar seien technologische Schutzmaßnahmen: Moderne E-Mail-Sicherheitslösungen, welche beispielsweise auf Maschinelles Lernen (ML) setzten, könnten Phishing-Muster frühzeitig erkennen und blockieren. Ergänzend dazu böten Verschlüsselungstechnologien wie „S/MIME“ und „open PGP“ einen zusätzlichen Schutz, „indem sie sicherstellen, dass geschäftskritische E-Mails nicht manipuliert oder abgefangen werden“.

Mit einer Kombination aus Schulung, Technologie und kritischem Denken könnten sich Unternehmen und Nutzer wirksam gegen die Gefahren im Umfeld des „Black Friday“ absichern. „Prävention ist hier der Schlüssel. Denn der ,Black Friday’ bringt nicht nur attraktive Schnäppchen, sondern auch erhebliche Risiken mit sich“, gibt Esch abschließend zu bedenken.

Weitere Informationen zum Thema:

datensicherheit.de, 24.11.2023
Black Friday: Umsätze im Online-Handel steigen – damit häufen sich auch Betrugsfälle / Datensicherheit gilt es auch im Schnäppchen-Rausch am Black Friday und an anderen saisonalen Sonderverkaufstagen zu beachten

datensicherheit.de, 17.11.2023
Black Friday: Proofpoint rät zur Vorsicht vor betrügerischen E-Mails / Nur sieben der 20 größten Händler in Deutschland schützen laut Proofpoint-Analyse Verbraucher ausreichend vor Betrügereien in ihrem Namen

datensicherheit.de, 23.11.2022
5 DsiN-Tipps zum Black Friday / 13 Prozent der Nutzer laut DsiN-Sicherheitsindex Opfer von Shopping-Betrug

[datensicherheit.de, 11.09.2024] In einer zunehmend digitalisierten und vernetzten Welt ist der Schutz sensibler Informationen offensichtlich von höchster Bedeutung. In diesem Zusammenhang sollte an die NIS-2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) erinnert werden, welche am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde und nun von den EU-Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Stephan Heimel, Prokurist und „Sales Director“ SEPPmail Deutschland GmbH, geht in seiner aktuellen Stellungnahme auf den Aspekt der E-Mail-Verschlüsselung im NIS-2-Kontext ein:

NIS-2-Einführung soll Maßnahmen gegen Cyber-Bedrohungen verstärken

Heimel führt aus: „Durch ihre Einführung sollen Maßnahmen gegen Cyber-Bedrohungen verstärkt und ein einheitlicher europäischer Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die IT-Sicherheit sowie Mindestsicherheitsanforderungen an und Meldepflichten für bestimmte Dienste geschaffen werden.“

Ziel sei es, einheitliche Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der EU erreicht werden solle (Art.1 NIS-2). Heimel kommentiert: „Im Vergleich zur alten NIS-1-Richtlinie würden höhere Sicherheitsstandards gefordert, der Adressatenkreis wurde erweitert und die Strafen für eine Nichteinhaltung signifikant auf das Niveau der EU-DSGVO erhöht (bis zur Haftung der Geschäftsführung mit ihrem Privatvermögen).“

NIS-2: Chef-Sache oder Chef-Haftung

Er warnt: „Auch wenn sich Unternehmen auf den ersten Blick nicht zum Adressatenkreis dazugehörig fühlen, sollten sie sich dennoch nicht in Sicherheit wiegen. Art. 21 II d NIS-2 regelt, dass auch alle Risikomaßnahmen im Bereich der Cyber-Sicherheit die ,Sicherheit der Lieferkette …‘ umfassen müssen.“

Lieferanten, egal wie groß, werden demnach als mögliche Schwachstellen angesehen und tun gut daran, sich an die Sicherheitsstandards zu halten. „Unternehmen werden zunehmend eine Risikobewertung bei der Auswahl ihrer Dienstleister vornehmen und das Risikomanagement vertraglich regeln.“ Eine der Kernmaßnahmen, um diesen Anforderungen gerecht zu werden, sei die Verschlüsselung von E-Mails.

NIS-2-Richtlinie betont Notwendigkeit von IT-Sicherheitsmaßnahmen, um Integrität und Vertraulichkeit zu wahren

E-Mails seien nach wie vor eines der am häufigsten genutzte Kommunikationsmittel im geschäftlichen Umfeld und somit Angriffsvektor Nr. 1. Sie enthielten oft vertrauliche Informationen wie Geschäftsstrategien, personenbezogene Daten oder finanzielle Details. „Unverschlüsselte E-Mails sind anfällig für Angriffe, da sie während der Übertragung abgefangen und von Unbefugten gelesen werden können.“ Hier komme nun die Verschlüsselung ins Spiel.

„Durch die Verschlüsselung von E-Mails wird der Inhalt in einen unleserlichen Code umgewandelt, der nur von autorisierten Empfängern entschlüsselt werden kann. Dies stellt sicher, dass selbst im Falle eines Angriffs oder Datenlecks keine sensiblen Informationen preisgegeben werden.“ Die NIS-2-Richtlinie betone die Notwendigkeit solcher Sicherheitsmaßnahmen, um die Integrität und Vertraulichkeit der digitalen Kommunikation zu gewährleisten.

NIS-2 ante portas: Unabhängig von der Umsetzung in deutsches Recht sollten Unternehmen umgehend handeln

Auch wenn davon auszugehen sei, dass die Umsetzung der Richtlinie in deutsches Recht bis zum 17. Oktober 2024 nicht erfolgen werde, sollten Unternehmen, welche den Anforderungen der NIS-2-Richtlinie gerecht werden wollen, dringend die Implementierung von E-Mail-Verschlüsselung in ihre Sicherheitsstrategien integrieren.

„Dies schützt nicht nur sensible Daten, sondern stärkt auch das Vertrauen von Kunden und Partnern in die Sicherheit ihrer Kommunikation“, unterstreicht Heimel abschließend – angesichts der steigenden Bedrohungen im sogenannten Cyberspace sei die Verschlüsselung von E-Mails ein unverzichtbares Element moderner IT-Sicherheit.

Weitere Informationen zum Thema:

datensicherheit.de, 23.08.2024
Der Countdown läuft: ESET-Whitepaper zur NIS-2-Richtlinie / Unterstützung für CISOs, um das Problembewusstsein und die NIS-2-Umsetzung bei Führungskräften zu fördern

datensicherheit.de, 22.08.2024
NIS-2-Richtlinie: Drängende Herausforderung für mehr Cyber-Sicherheit in der EU / Die NIS-2-Richtlinie der EU zielt darauf ab, die Cyber-Resilienz Kritischer Infrastrukturen zu stärken

datensicherheit.de, 25.07.2024
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen / Der Verband der Internetwirtschaft fordert Verlängerung der NIS-2-Umsetzungsfristen

[datensicherheit.de, 09.06.2022] An den Tatsachen, dass die E-Mail das Business-Kommunikationsmedium Nummer 1 sei und dass die meisten Hacker-Angriffe nach wie vor über die E-Mail-Kommunikation erfolgten, habe sich nichts geändert. Um etwa Phishing- oder Ransomware-Angriffe zu verhindern, existierten inzwischen professionelle Signatur- und E-Mail-Verschlüsselungstechnologien auf dem Markt. Doch viele Unternehmen verfolgten den Ansatz, „dass diese Technologien nur für eine Auswahl von Mitarbeitern angeschafft werden und nicht flächendeckend für alle, die per E-Mail kommunizieren – ein fataler Fehler“, kommentiert Stephan Heimel, Prokurist und „Sales Director“ der SEPPmail – Deutschland GmbH.

Intensive Nutzung von E-Mails in Unternehmen auch Hackern bewusst

Heimel: „Wie viele E-Mails versenden Sie täglich während Ihrer Arbeitszeit? Höchstwahrscheinlich sehr viele; schließlich ist die E-Mail nach wie vor das meist genutzte Kommunikationsmittel in Unternehmen – und das zu Recht: So ist es äußerst praktisch, dem Kollegen, Kunden oder Partner ,mal eben‘ eine Mail zu schicken. Dies geht häufig nicht nur schneller als anzurufen, sondern der Empfänger bekommt die Nachricht auch sofort ,schwarz auf weiß‘, was zu einem besseren Verständnis führen kann.“

Doch die intensive Nutzung von E-Mails in Unternehmen sei auch Hackern bewusst. Mit perfiden Tricks schafften sie es immer wieder, sich in E-Mail-Systeme einzuschleusen, sensible Daten abzugreifen, Schad-Software zu verbreiten oder Dateien zu verschlüsseln.

Professionelle E-Mail-Sicherheitslösungen noch nicht ausreichend implementiert

Einige Unternehmen hätten bereits reagiert und professionelle E-Mail-Sicherheitslösungen implementiert. Sie setzten E-Mail-Verschlüsselungstechnologien ein, „um zu gewährleisten, dass die elektronischen Nachrichten auf ihrem gesamten Versandweg vom Absender bis zum Empfänger von keinem Unbefugten mitgelesen oder abgefangen werden“. Darüber hinaus schafften Unternehmen mit Signaturen Integrität und Authentizität des Absenders, wodurch sich der Empfänger sicher sein könne, dass die E-Mail wirklich vom angegebenen Absender und nicht von einem potenziellen Betrüger stammt.

Heimel führt weiter aus: „Was ist nun der Haken an der Sache? Einige Firmen gehen davon aus, dass es ausreicht, wenn nur ein paar Mitarbeiter diverse Sicherheitstechnologien einsetzen. Dies ist aber keineswegs der Fall. Denn wie wollen Sie den Schutz vor CEO-Fraud, Ausspähung und dem Abgreifen vertraulicher Informationen gewährleisten oder der Manipulation von Inhalten entgegenwirken, wenn eine Vielzahl Ihrer Mitarbeiter unverschlüsselt kommuniziert?“

Home-Office: Erhöhte Aufmerksamkeit auf E-Mail-Sicherheit erforderlich

„Der Trend, dass Mitarbeiter vermehrt im Home-Office arbeiten, erfordert eine höhere Aufmerksamkeit im Bereich der sicheren E-Mail-Kommunikation.“ Das Arbeiten außerhalb des Büros führe dazu, dass Mitarbeiter noch mehr E-Mails versendeten, „während sie sich nicht in der geschützten Umgebung der Firma befinden und sich dadurch noch angreifbarer machen“.

Dieser Aspekt spreche ebenfalls dafür, dass jeder Mitarbeiter professionelle Signatur- und E-Mail-Verschlüsselungstechnologien benötige. Denn das Haftungsrisiko bleibe immer beim Verantwortlichen, also dem Unternehmen oder eben auch der Geschäftsleitung persönlich. Heimels Fszit: „Das Risiko negativer Folgen durch die unverschlüsselte Kommunikation ist wesentlich höher als die Investition in eine flächendeckende sichere E-Mail-Kommunikationslösung.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht bei den Standards / Benötigt werden ein „Fachübersetzer“ und IT-Verantwortliche einen guten Durchblick

[datensicherheit.de, 22.05.2018] IT-Sicherheitsexperten der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben nach eigenen Angaben Sicherheitslücken in den beiden gängigen E-Mail-Verschlüsselungs-Verfahren „PGP“ und „S/MIME“ entdeckt: Damit verschlüsselte E-Mails könnten demnach auf zwei verschiedene Arten so manipuliert werden, dass Angreifer den Klartext der verschlüsselten Nachricht erhalten. Der diesbezügliche Bericht mit dem Schlagwort „Efail“ habe schnell ein großes Echo in den Medien gefunden. Dabei sei häufig die falsche Aussage gemacht worden, dass die Verschlüsselung von E-Mails mit diesen beiden Verfahren nicht wirksam sei.

Bekannte Schwachstelle in E-Mail-Clients ausgenutzt

„Die aufgedeckten Sicherheitslücken betreffen nicht die beiden Verschlüsselungstechnologien selbst, sondern nutzen eine schon lange bekannte Schwachstelle in E-Mail-Clients aus“, erläutert hierzu Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH.

Automatisches Nachladen von Links im Mail-Client deaktivieren!

Esch: „Diese Schwachstelle lässt sich einfach ausmerzen bzw. ist in der Regel gar nicht vorhanden. Dazu muss nur das automatische Nachladen von Links im Mail-Client deaktiviert werden – eine Einstellung, die auch bei unverschlüsselter Kommunikation empfehlenswert ist. Denn das automatische Nachladen von Links im Mail-Client ermöglicht Spammern, einfach festzustellen, wann und wo ein Empfänger eine unerwünschte Werbemail angeschaut hat.“

Verschlüsselung korrekt implemetieren und sicher konfigurieren!

In einer kürzlich verbreiteten Medienmitteilung habe auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden könnten, sofern sie korrekt implementiert und sicher konfiguriert sind.

Weitere Informationen zum Thema:

SEPPMAIL, 21.05.2018
Statement zu Efail

datensicherheit.de, 22.05.2018
Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln

datensicherheit.de, 21.03.2017
Fraunhofer SIT bietet Volksverschlüsselung für kleine und mittlere Unternehmen