Bei Rechnungen, die als PDF-Dateien per E-Mail verschickt werden, ist ein Betrug durch manipulierte Zahlungsinformationen schon seit längerem bekannt. Mit dem zunehmenden Aufkommen an E-Rechnungen greift sie inzwischen aber auch bei diesen um sich. So kam es in jüngerer Zeit bei einigen Unternehmen zu Zahlungen an Betrüger, die E-Rechnungen im ZUGFeRD-Format auf dem E-Mail-Transportweg abgefangen und verändert hatten. Als es bei den Empfängern ankam, trug das Rechnungsdokument schlichtweg eine andere Bankverbindung als die des Lieferanten im Original.
In diesen dokumentierten Fällen haben die betroffenen Unternehmen die Zahlungen ausschließlich auf Basis des PDF-Teils (der sogenannten Sichtkomponente) der hybriden Rechnungen vorgenommen. Der Betrug hätte hier aber nicht funktioniert, wenn die Empfänger sich ausschließlich am XML-Datensatz orientiert hätten, der bei einer E-Rechnung der maßgebliche, und damit auch der rechtlich verbindliche Bestandteil ist. Doch selbst bei korrekter Handhabung zeigt sich eine per E-Mail verschickte E-Rechnung angreifbar. Den XML-Datensatz zu korrumpieren, ist zwar mit ein wenig mehr Aufwand verbunden als beim PDF-Teil, doch auch er lässt sich verändern.
E-Mail als Versandweg umgehen
Der sicherste Weg, um Betrug vorzubeugen, besteht darin, statt der E-Mail gleich einen sicheren Versandweg zu wählen. DATEV empfiehlt dafür die Nutzung der etablierten Netzwerke TRAFFIQX® und Peppol. Mit der Aktivierung des E-Rechnungspostfachs auf der DATEV E-Rechnungsplattform erhalten Steuerberatungskanzleien und Unternehmen automatisch Nutzerkennungen für diese beiden Netzwerke, über die sie ihre Rechnungen sicher elektronisch und standardisiert austauschen können. Eingehende Rechnungen werden dabei auf Viren gescannt und Betrug wird durch Identitätsprüfungen erheblich erschwert. Das bietet ein Höchstmaß an Sicherheit ohne weiteren Aufwand bei den Anwendern.
Wer trotzdem weiter auf die E-Mail als Rechnungsbote setzen muss oder möchte, sollte auf jeden Fall eine gehörige Portion Vorsicht walten lassen. In diesem Fall ist grundsätzlich ein genauer Blick auf die Daten zu empfehlen. Wenn beispielsweise schon mehrfach Überweisungen für den gleichen Empfänger an ein anderes als das in der Rechnung ausgewiesene Konto getätigt wurden, kann eine Nachfrage beim jeweiligen Lieferanten helfen. Diese Nachfragen sollten allerdings telefonisch stattfinden, keinesfalls per E-Mail. Die Angreifer können ansonsten die Gelegenheit ergreifen, auch die E-Mail-Antwort auf die Rückfrage zu manipulieren.
Wird dagegen das erste Mal an einen Rechnungsempfänger gezahlt, ist ein Vergleich der Kontodaten auf der Rechnung mit den Kontodaten auf der Website des Unternehmers ein guter Anfang. Außerdem sind eine starke Ende-zu-Ende-Verschlüsselung und die Absicherung des Mailkontos über eine Zwei-Faktor-Authentifizierung wichtige und vor allem sichere Maßnahmen.