Sichere E-Rechnung? Nur mit sicherer E-Mail!

Die E-Rechnung kommt, und mit ihr eine Reihe von Unsicherheiten bei Unternehmern und Unternehmerinnen.

Eine große Ungewissheit betrifft die Sicherheits-Aspekte der E-Rechnung:

  • Wie fälschungssicher ist die E-Rechnung?
  • Welche Prozesse brauche ich, um gefälschte E-Rechnungen zu erkennen?
  • Was ist beim Versand per E-Mail zu beachten?

Bisher klar absehbar ist Folgendes:

  1. Die E-Mail wird der Haupt-Kommunikationskanal für die Übertragung von E-Rechnungen werden. Selbst der Bund benennt die E-Mail ausdrücklich als zugelassenes Medium. (https://www.e-rechnung-bund.de/ubertragungskanale/e-mail/)

  2. Die bekannten grundlegenden Sicherheitsprobleme des E-Mail-Kanals betreffen auch die E-Rechnung, also
    • Beim E-Mail-Versand ohne Absicherung können unbefugte Dritte die enthaltenen Rechnungsdaten einsehen.
    • Noch bedeutender: Ihre Rechnungsdaten können auf dem Transportweg manipuliert werden!

  3. Es gibt bekannte Angriffs-Szenarien, wie Cyberkriminelle diesen Angriff durchführen. Lesen Sie dazu hier.

  4. Technische Maßnahmen zur Absicherung von E-Mails sind leider häufig kompliziert („Inhaltsverschlüsselung“, Zertifikatsaustausch, Passwortvereinbarung, Medienbrüche) – die bewährte Lösung um unnötigen Aufwand zu vermeiden und den E-Mail-Versand wirksam abzusichern, ist comcrypto MXG mit der adaptiven Verschlüsselung.

  5. Alternativen wie die Absicherung der E-Rechnungen an sich, z.B. mittels digitalen Signaturen innerhalb der E-Rechnung, sind nur theoretisch möglich. Praktisch ist überhaupt noch nicht absehbar, inwiefern Rechnungsprogramme digitale Signaturen erzeugen oder sie überhaupt prüfen können.

Fazit: Wer E-Rechnungen verwendet, sollte unbedingt auf die Sicherheit des E-Mail-Kanals achten und E-Mail-Sicherungsmaßnahmen ergreifen.

Sie haben bereits technische Maßnahmen umgesetzt? Testen Sie hier, ob Ihr E-Mail-System bereits für die sichere Übertragung von E-Rechnungen geeignet ist:

Weitere Informationen zur E-Rechnung und E-Mail:

Wird die Fälschung von versendeten Rechnungen bereits heute durchgeführt?

Ja, bereits heute – also im Zeitalter von PDF-Rechnungen, die als E-Mail-Anhang versendet werden – werden Rechnungsdaten auf dem E-Mail-Weg abgefangen und zeitgleich oder zeitnah gefälschte PDF-Rechnungen an den gleichen Adressaten gesendet. Die Dunkelziffer ist natürlich groß, zum Teil entstehen daraus aber auch Gerichtsstreitigkeiten.

Wie werden die Angriffe von Kriminellen auf die E-Rechnungen ablaufen?

Ein erwartbares und für Cyberkriminelle technisch umsetzbares Szenario ist folgendes:

  • Auf einem gekaperten „Router“ geben sich die Cyberkriminellen als E-Mail-Server des Empfängers aus – die Daten der E-Mails werden entsprechend mitgelesen.
  • E-Mails mit E-Rechnungen sind durch deren klar definiertes Format sehr gut automatisiert erkennbar.
  • Die IBAN und BIC in der Rechnung sind bei E-Rechnungen nur „Texteinträge“ in den dafür vorgesehenen XML-Feldern. Diese Felder können leicht ausgelesen und automatisiert verändert werden.
  • In der E-Mail selbst wird noch ein Hinweis „Achtung: Neue Bankverbindung“ ergänzt.
  • Die Gefahr für Ihre E-Rechnungen: Ihr Kunde überweist arglos (denn die falsche Rechnung sieht aus wie Ihre) an die "neue" IBAN.
  • Nur selten wird der Empfänger nochmal bei Ihnen nachfragen.
  • Die Banken prüfen NICHT, ob der Empfänger-Name in der Überweisung zur IBAN passt.
Was ist die Ursache für die Unsicherheiten bei der E-Mail-Übertragung?

Die aktuelle Situation ist bedingt durch die historische Entwicklung der TLS-Verschlüsselung im E-Mail-Kanal. Lesen Sie hier mehr dazu.

Welche Sicherheitsstandards sind in der E-Rechnung selbst vorgesehen?

Sie haben weitere Fragen zu den Sicherheitsaspekten von E-Rechnungen? Sie interessieren sich für Absicherungsmöglichkeiten des E-Mail-Kanals?

Sie haben weitere Fragen zu den Sicherheitsaspekten von E-Rechnungen? Sie interessieren sich für Absicherungsmöglichkeiten des E-Mail-Kanals?

 Für eine sichere E-Rechnung ist der sichere E-Mail-Versand eine zwingende Voraussetzung.  

Ronald Scholz · CFO

Einstellungen

Accessibility

Über folgende Optionen können Sie das Interface individuell auf Barrierefreiheit anpassen. Unsere Website orientiert sich an den Accessibility Guidelines für Barrierefreiheit, festgelegt vom W3C. Über folgende Optionen können Sie das Interface weiter auf Ihre Bedürfnisse anpassen.