Menü
Demo anfordern

Rechnungsbetrug durch ungesicherten E-Mail-Versand

Mann untersucht mit Lupe und Stift Dokument in Ordner.
Inhaltsverszeichnis

Viele Unternehmen sind sich immer noch nicht vollständig der Gefahr von Rechnungsbetrug per E-Mail bewusst. Und so entstehen jedes Jahr Millionenschäden, die hätten verhindert werden können. Gerät auch nur eine Rechnung in die falschen Hände, kann dies gravierende Folgen haben.

Rechtliche und wirtschaftliche Folgen für Unternehmen

Ein häufig unterschätztes Risiko beim Rechnungsversand per E-Mail sind nicht nur die unmittelbaren Schäden durch den Betrug selbst, sondern auch die rechtlichen und wirtschaftlichen Folgen, die sich daraus ergeben. Wer Rechnungen ungesichert per E-Mail versendet, geht ein Haftungsrisiko ein – vor allem, wenn sich im Nachhinein nicht zweifelsfrei belegen lässt, dass die Rechnung im Original und unverändert beim Kunden angekommen ist.

Besonders kritisch ist die Lage beim Rechnungsversand an Endkunden (Verbraucher). Wenn die Bankverbindung auf der Rechnung durch Dritte manipuliert wird und der Betrag auf einem fremden Konto landet, bleibt das Unternehmen nach aktueller Rechtssprechung auf dem finanziellen Schaden sitzen. Gerichte sehen bisher in solchen Fällen ein Versäumnis auf Seiten des Unternehmens, das den Schutz der personenbezogenen Daten – in diesem Fall des Rechnungsinhaltes – nicht ausreichend sichergestellt hat. Der ursprüngliche Anspruch auf Zahlung kann dadurch verloren gehen, ohne dass der Kunde nochmals zur Zahlung verpflichtet ist.

Auch im Geschäftskundenbereich (B2B) hat Rechnungsbetrug massive Auswirkungen. Zwar bestehen hier unter Umständen weiterhin Zahlungsansprüche gegenüber dem Käufer, doch ist das Vertrauensverhältnis meist dauerhaft beschädigt. Rechtsstreitigkeiten, Zahlungsausfälle und Reputationsverluste sind die Folge. Nicht selten werden laufende oder zukünftige Geschäftsbeziehungen durch einen einzigen Betrugsfall erheblich gestört oder sogar beendet.

Diese Entwicklungen zeigen: Rechnungsbetrug per E-Mail ist nicht nur ein IT-Sicherheitsproblem, sondern auch ein strategisches Risiko mit realen rechtlichen und wirtschaftlichen Konsequenzen für Unternehmen.

Gerichtsurteile zu Rechnungsbetrug durch manipulierte E-Mails

Es sind Fälle, die so leider häufig in Deutschland passieren: Ein Unternehmen versendet eine Rechnung an einen Kunden. Kriminelle manipulieren die E-Mail und tauschen die Kontonummer sowie ggf. weitere Rechnungsangaben aus. Der Kunde überweist den Rechnungsbetrag auf das falsche Konto und schon ist ein Schaden entstanden. Wer muss für den Verlust aufkommen? Und wie kann man solche Betrugsmaschen verhindern? Urteile der Oberlandesgerichte Karlsruhe und Schleswig-Holstein sollten Klarheit bringen. Sie werfen aber auch neue Fragen auf.

Urteil des OLG Karlsruhe vom 27.07.23

Das OLG Karlsruhe fällte am 27.07.23 ein wichtiges Urteil (Az. 19 U 83/22). Ausschlaggebend dafür war der Verkauf eines Gebrauchtwagens zwischen zwei Unternehmen aus dem Jahr 2021. Der Vertrag wurde telefonisch geschlossen. Beide Parteien, in diesem Fall die Geschäftsführer, einigten sich, die Rechnung als PDF-Anhang per E-Mail zu versenden.

Kurz darauf kam die erste E-Mail inklusive Rechnung über 13.500 € bei dem Käufer an. Allerdings folgte zwei Minuten später eine zweite E-Mail mit einer manipulierten Rechnung. Und auf Basis dieser zweiten Rechnung wurde dann die Überweisung getätigt. Die 13.500 € gingen somit an einen Dritten, der die erste E-Mail mutmaßlich abgefangen, die Bankdaten der Rechnung gefälscht und die zweite E-Mail an den Käufer gesendet hatte.

Als nach mehr als 2 Wochen immer noch kein Geld auf das eigentliche Konto des Verkäufers einging, fragte dieser nach – und der Betrug wurde erkannt. Der Verkäufer klagte darauf, dass der Käufer den Kaufpreis abermals bezahlt, diesmal an das richtige Konto. Das Landgericht Mosbach wies diese Klage in erster Instanz ab, der Verkäufer hätte kein Recht auf eine erneute Zahlung. In der Berufungsinstanz gab das OLG Karlsruhe dem Verkäufer recht, mit folgender Begründung:

„Nach Ansicht des OLG war die Klägerin nicht verpflichtet, beim Versand der Rechnungs-E-Mail bestimmte Verschlüsselungsverfahren wie die Ende-zu-Ende-Verschlüsselung anzuwenden. Eine allgemeine Verkehrserwartung hierzu bestehe im Geschäftsverkehr nicht. Die Klägerin habe auch sonst keine Pflichten verletzt.“

Weiterhin hätte laut des OLG Karlsruhe dem Käufer auffallen müssen, dass die zweite Rechnung nicht das Original hätte sein können. Die manipulierte Rechnung enthielt nämlich grobe Fehler und sprachlich auffallende Abweichungen. Diese Auffälligkeiten wurden jedoch ignoriert und so kam es zum Urteil: Der Käufer wurde verurteilt, an den Verkäufer 13.500 € sowie weitere 953,40 € nebst Zinsen zu zahlen. Der Käufer trägt die Kosten des Rechtsstreits beider Instanzen.

Einordnung von comcrypto:

Der Verkäufer ist in diesem Fall noch glimpflich davongekommen. Zum Teil hat ihn die stümperhafte Umsetzung des Rechnungsbetrugs durch die Betrüger gerettet. Hätte der Unternehmer von Anfang an auf eine gesicherte E-Mail-Kommunikation gesetzt, insbesondere durch die Implementierung von qualifizierter Transportverschlüsselung und digitaler Signatur, hätte er nicht nur die rechtlichen Risiken eines Rechnungsbetrugs deutlich reduziert, sondern auch die Gefahr für einen wirtschaftlichen Schaden in einem solchen Fall vermieden. Auch das Vertrauen seiner Geschäftspartner und Kunden wäre unbeschädigt geblieben, was langfristig zu stabileren Geschäftsbeziehungen und einer besseren Reputation geführt hätte.

Urteil des OLG Schleswig-Holstein vom 18.12.2024

Das Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) behandelt den Fall eines Bauunternehmers, der einem Kunden eine Schlussrechnung über 15.385,78 € für die Installation einer Heizungsanlage per E-Mail gesendet hatte. Unbekannte Dritte veränderten aber die Bankverbindung und weitere Details wie die Farben des Rechnungsdokuments. Der genaue Tathergang bleibt ungeklärt.

Nachdem der Auftraggeber eine Zahlung der Rechnungssumme auf das Betrügerkonto vorgenommen hatte, forderte der Bauunternehmer den Auftraggeber erneut zur Zahlung auf und es kam zum Rechtsstreit. Der Auftraggeber vertrat die Position, dass er einen Schaden erlitten hatte, weil der Bauunternehmer seinen E-Mail-Versand nicht ausreichend geschützt habe.

Obwohl das Gericht entschied, dass die ursprüngliche Forderung des Bauunternehmers weiterhin Bestand habe, wurde dem Auftraggeber ein Schadensersatz in gleicher Höhe zugesprochen. Der Rechnungsversand per E-Mail sei nicht ausreichend geschützt gewesen, womit ein Verstoß gegen Artikel 82 der DSGVO vorliege. Besonders viel Aufsehen erhielt das Urteil aber aufgrund seiner recht oberflächlichen technischen Einordnung der Sachverhalte.

„Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen ‚geeigneten‘ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“

Diese Einordnung scheint nicht nur in Unkenntnis relevanter Sachverhalte getroffen worden zu sein, sondern steht auch teilweise im Widerspruch zur Orientierungshilfe der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Renommierte Autoren aus Datenschutz und IT-Sicherheit kritisieren das Urteil scharf für die z.T. falschen technischen Aussagen, die im Urteil getroffen wurden. Prof. Dr. Ronald Petrlic (ehem. Landesbeauftrager für Datenschutz und Informationsfreiheit, seit 2020 Professor für Informationssicherheit an der TH Nürnberg) veröffentlichte in der Zeitschrift DATENSCHUTZBERATER, Ausgabe 03/2025 einen Artikel, in dem er das Urteil sowohl rechtlich als auch technisch in Zweifel zieht:

„Zusammenfassend lässt sich festhalten, dass das Urteil des OLG Schleswig aus rechtlicher und technischer Sicht als äußerst problematisch anzusehen ist.“

Für Fachleute ist zunächst auffällig, dass das Urteil nicht zwischen opportunistischer, obligatorischer und qualifizierter Transportverschlüsselung unterscheidet. Der standardmäßige E-Mail-Versand mit opportunistischer Transportverschlüsselung ist tatsächlich hochgradig unsicher, da die Priorität dabei auf der Zustellung und nicht auf der Sicherheit des Übertragungsweges liegt.

Eine qualifizierte Transportverschlüsselung (qTLS) dagegen ist laut der Orientierungshilfe der DSK selbst beim Versand von E-Mails mit hohen Risiken ausreichend. Wenn sie korrekt eingesetzt wird, ist mit der qTLS sogar ein rechtssicherer Unversehrtheitsnachweis der übertragenen E-Mail-Kommunikation möglich.

Im öffentlichen Diskurs haben sich zudem einige Missverständnisse verbreitet, die zur Verwirrung beizutragen scheinen:

  • Mit TLS werden E-Mails auf dem gesamten Übertragungsweg zwischen jeweils zwei E-Mail-Systemen verschlüsselt und können nicht etwa auf den sogenannten Hops, also den Zwischenservern der Übertragungskette (etwa den Routing-Systemen der Internet-Anbieter), ausgelesen werden.
  • Auch sind S/MIME und PGP nur bedingt mit dem Begriff Ende-zu-Ende-Verschlüsselung gleichzusetzen, da die E-Mails in der Praxis häufig gar nicht verschlüsselt auf den Endgeräten liegen, sondern die aufwändige Schlüsselverwaltung zentral erfolgt.

Konkret endet die Verschlüsselung damit häufig bereits bei der Firewall bzw. dem Verschlüsselungs-Gateway des Unternehmens, damit die E-Mails auf Malware überprüft werden können. Danach werden die Mails ohne die ursprüngliche Verschlüsselung über die verschiedenen E-Mail-Systeme des Empfängers weiter verteilt.

So gesehen werden sowohl bei qTLS als auch S/MIME die Daten in ähnlicher Weise vom einen Endpunkt zum anderen verschlüsselt übermittelt, um dann intern mit anderen Verfahren weitergereicht zu werden. Mit dem Unterschied, dass qTLS zumeist wesentlich praktikabler ist.

Prof. Petrlic weist in seinem Artikel darauf hin, dass durchaus fraglich ist, ob der Empfänger überhaupt in der Lage gewesen wäre eine E2E-verschlüsselte E-Mail zu empfangen und stellt das als primär angesehene Schutzziel der Vertraulichkeit in diesem Fall in Frage. Die Integrität und Authentizität der Kommunikation wären geeignetere Schutzziele gewesen und hätten unabhängig von der Verschlüsselung bereits durch eine digitale E-Mail-Signatur mittels S/MIME gewährleistet woerden können. Die mangelnde Vertraulichkeit bzw. Verschlüsselung war in diesem Fall also nicht einmal unbedingt das primäre Problem.

Neben der Sicherheit der Übertragung bleibt die IT-Sicherheit in der jeweiligen Unternehmensinfrastruktur ein weiteres Kernproblem. Auch die Orientierungshilfe der DSK verweist deutlich auf den Umstand, dass die Übertragungssicherheit nur ein Teil der notwendigen Sicherheitsinfrastruktur ist. Ob das Urteil Bestand haben wird, ist noch unklar. Eine Revision ist durchaus möglich.

Einordnung von comcrypto:

Die DSK-Vorgaben sind weiterhin die zentrale Maßgabe für die Pflichten von Verantwortlichen bei der E-Mail-Übertragung. Für den vorliegenden Anwendungsfall des Rechnungsversands an Verbraucher ist eine echte E2E-Verschlüsselung (mit PGP oder S/MIME) kaum umsetzbar, da viele Verbraucher zum Empfang von E2E-verschlüsselten Mails gar nicht in der Lage sind. Adäquater Ersatz und einzige praktikable technische Maßnahme, um Haftungsrisiken wirksam auszuschließen, ist die qualifizierte Transportverschlüsselung, verknüpft mit der digitalen Signatur.

Rechnungsversand mit comcrypto MXG

Mit comcrypto MXG können alle Vorgaben der DSK vollständig erfüllt werden. Dies bestätigt auch ein datenschutzrechtliches Gutachten der Kanzlei MORGENSTERN.

Mit comcrypto MXG erhalten Sie folgende Lösungsbestandteile:

  • S/MIME-Verschlüsselung für ausgewählte Empfänger, die dieses Verfahren ebenfalls unterstützen.
  • „Adaptive Verschlüsselung“ (Sicherheitskontrolle im Hintergrund) · Ohne, dass User dies explizit aktivieren müssen, wird die qualifizierte Transportverschlüsselung als Standardverfahren zum Rechnungsversand per E-Mail genutzt. Zu Empfänger-Servern, die dieses sichere Verfahren nicht unterstützen (ca. 5-10%), wird die unsichere Übertragung (TLS-Downgrade) verhindert.
  • Verschlüsselung mit Passwort zur sicheren Übertragung bei nicht vorhandener qualifizierter Transportverschlüsselung
  • Digitale Signatur mittels S/MIME als Identitätsnachweis des Absender-Postfachs
  • Technisch liefert comcrypto MXG einen rechtssicheren Nachweis über die unversehrte Zustellung an den Empfänger-Server.

Mit diesen Lösungsbestandteilen wird von vornherein ausgeschlossen, dass eine Rechnungsfälschung auf dem Übertragungsweg überhaupt passieren und es zu einem Gerichtsstreit kommen kann. (Als Risiko bleibt nur der direkte Angriff auf E-Mail-Accounts oder Endgeräte. Dagegen sind wie bisher weitere IT-Sicherheitsmaßnahmen außerhalb des E-Mail-Transportsystems zu ergreifen.)

Neben dem Rechnungsversand ist comcrypto MXG auch die richtige Lösung, um generell das Abfangen oder Manipulieren von versendeten E-Mails zu verhindern, z.B. in der Kommunikation mit Behörden, Banken und Versicherungen, sowie für die generelle Geschäftskommunikation per E-Mail.

Weitere spannende Beiträge

Zurück zur Übersicht

Einstellungen

Accessibility

Über folgende Optionen können Sie das Interface individuell auf Barrierefreiheit anpassen. Unsere Website orientiert sich an den Accessibility Guidelines für Barrierefreiheit, festgelegt vom W3C. Über folgende Optionen können Sie das Interface weiter auf Ihre Bedürfnisse anpassen.

Abbrechen Anwenden