
Sichere E-Rechnung? Nur mit sicherer E-Mail!
Die E-Rechnung kommt, und mit ihr eine Reihe von Unsicherheiten bei Unternehmern und Unternehmerinnen.
Eine große Ungewissheit betrifft die Sicherheits-Aspekte der E-Rechnung:
- Wie fälschungssicher ist die E-Rechnung?
- Welche Prozesse brauche ich, um gefälschte E-Rechnungen zu erkennen?
- Was ist beim Versand per E-Mail zu beachten?
Bisher klar absehbar ist Folgendes:
- Die E-Mail wird der Haupt-Kommunikationskanal für die Übertragung von E-Rechnungen werden. Selbst der Bund benennt die E-Mail ausdrücklich als zugelassenes Medium. (https://www.e-rechnung-bund.de/ubertragungskanale/e-mail/)
- Die bekannten grundlegenden Sicherheitsprobleme des E-Mail-Kanals betreffen auch die E-Rechnung, also
- Beim E-Mail-Versand ohne Absicherung können unbefugte Dritte die enthaltenen Rechnungsdaten einsehen.
- Noch bedeutender: Ihre Rechnungsdaten können auf dem Transportweg manipuliert werden!
- Es gibt bekannte Angriffs-Szenarien, wie Cyberkriminelle diesen Angriff durchführen. Lesen Sie dazu hier.
- Technische Maßnahmen zur Absicherung von E-Mails sind leider häufig kompliziert („Inhaltsverschlüsselung“, Zertifikatsaustausch, Passwortvereinbarung, Medienbrüche) – die bewährte Lösung um unnötigen Aufwand zu vermeiden und den E-Mail-Versand wirksam abzusichern, ist comcrypto MXG mit der adaptiven Verschlüsselung.
- Alternativen wie die Absicherung der E-Rechnungen an sich, z.B. mittels digitalen Signaturen innerhalb der E-Rechnung, sind nur theoretisch möglich. Praktisch ist überhaupt noch nicht absehbar, inwiefern Rechnungsprogramme digitale Signaturen erzeugen oder sie überhaupt prüfen können.
Fazit: Wer E-Rechnungen verwendet, sollte unbedingt auf die Sicherheit des E-Mail-Kanals achten und E-Mail-Sicherungsmaßnahmen ergreifen.
Sie haben bereits technische Maßnahmen umgesetzt? Testen Sie hier, ob Ihr E-Mail-System bereits für die sichere Übertragung von E-Rechnungen geeignet ist:
Weitere Informationen zur E-Rechnung und E-Mail:
Ja, bereits heute – also im Zeitalter von PDF-Rechnungen, die als E-Mail-Anhang versendet werden – werden Rechnungsdaten auf dem E-Mail-Weg abgefangen und zeitgleich oder zeitnah gefälschte PDF-Rechnungen an den gleichen Adressaten gesendet. Die Dunkelziffer ist natürlich groß, zum Teil entstehen daraus aber auch Gerichtsstreitigkeiten.
Ein erwartbares und für Cyberkriminelle technisch umsetzbares Szenario ist folgendes:
- Auf einem gekaperten „Router“ geben sich die Cyberkriminellen als E-Mail-Server des Empfängers aus – die Daten der E-Mails werden entsprechend mitgelesen.
- E-Mails mit E-Rechnungen sind durch deren klar definiertes Format sehr gut automatisiert erkennbar.
- Die IBAN und BIC in der Rechnung sind bei E-Rechnungen nur „Texteinträge“ in den dafür vorgesehenen XML-Feldern. Diese Felder können leicht ausgelesen und automatisiert verändert werden.
- In der E-Mail selbst wird noch ein Hinweis „Achtung: Neue Bankverbindung“ ergänzt.
- Die Gefahr für Ihre E-Rechnungen: Ihr Kunde überweist arglos (denn die falsche Rechnung sieht aus wie Ihre) an die "neue" IBAN.
- Nur selten wird der Empfänger nochmal bei Ihnen nachfragen.
- Die Banken prüfen NICHT, ob der Empfänger-Name in der Überweisung zur IBAN passt.
Die aktuelle Situation ist bedingt durch die historische Entwicklung der TLS-Verschlüsselung im E-Mail-Kanal. Lesen Sie hier mehr dazu.
Sie haben weitere Fragen zu den Sicherheitsaspekten von E-Rechnungen? Sie interessieren sich für Absicherungsmöglichkeiten des E-Mail-Kanals?
Sie haben weitere Fragen zu den Sicherheitsaspekten von E-Rechnungen? Sie interessieren sich für Absicherungsmöglichkeiten des E-Mail-Kanals?
Für eine sichere E-Rechnung ist der sichere E-Mail-Versand eine zwingende Voraussetzung.
Ronald Scholz · CFO
