Menü
Demo anfordern

Rechnungsbetrug durch ungesicherten E-Mail-Versand

Mann untersucht mit Lupe und Stift Dokument in Ordner.
Inhaltsverszeichnis

Viele Unternehmen sind sich immer noch nicht vollständig der Gefahr von Rechnungsbetrug per E-Mail bewusst. Und so entstehen jedes Jahr Millionenschäden, die hätten verhindert werden können. Gerät auch nur eine Rechnung in die falschen Hände, kann dies gravierende Folgen haben.

Bekannt gewordene Fälle von Rechnungsbetrug

Regelmäßig finden sich Fälle von E-Mail-basiertem Rechnungsbetrug in den Medien. Von eher banalen bis teilweise spektakulären Betrugsfällen ist dort alles zu finden. Auch was die Schadenshöhe angeht, ist die Bandbreite groß. Von der knapp über 2000 Euro hohen Handwerkerrechnung bis 400.000 Euro Großschaden scheint alles möglich zu sein. Das zeigt, dass fast jedes Unternehmen ins Beuteschema von Betrügern fallen kann. Dies ist nur ein kleiner Ausschnitt der Vorkommnisse in diesem Bereich. Die Dunkelziffer liegt verständlicherweise wesentlich höher. Denn kaum ein Unternehmen möchte mit so einem Vorfall in die Öffentlichkeit geraten.

Juni 2024

Rund 50.000 Euro von Maschinenfabrik aus St. Veit an der Glan ergaunert

Ein Maschinenbau-Unternehmen in St. Veit an der Glan wurde Opfer einer organisierten Betrugsmasche: Kriminelle setzten professionelle Nachahmungen von Rechnungen eines bekannten oberösterreichischen Partners ein und änderten dabei die Bankverbindung. Über einen Zeitraum von rund vier Wochen überwies das betroffene Werk etwa 50.000 Euro auf das gefälschte Konto, bevor nach erhaltenen Mahnungen der Kontakt mit dem echten Geschäftspartner aufgenommen wurde. Die Polizei bestätigt, dass solche Rechnungsfälschungen in letzter Zeit vermehrt vorkommen. Ermittlungen wurden eingeleitet. Quelle: https://kaernten.orf.at/stories/3259937/ [05.06.2024]

August 2024

2200 Euro Verlust durch gefälschte Handwerkerrechnung in Altenholz

Ein Hausbesitzer aus Altenholz wurde Opfer eines raffinierten Betrugs. Er erhielt per E-Mail eine Handwerker-Rechnung, die auf den ersten Blick korrekt wirkte. Tatsächlich hatten unbekannte Täter nur die Kontoverbindung unbemerkt verändert. Alles andere stimmte. Der Mann überwies rund 2200 Euro auf das falsche Konto. Erst im Nachhinein stellte sich heraus, dass es sich um eine gefälschte Zahlungsaufforderung handelte. Die Polizei geht davon aus, dass die E-Mail-Kommunikation zuvor ausgespäht und die Originalrechnung gezielt manipuliert wurde. Eine Rückbuchung des Betrags war nicht mehr möglich. Quelle: https://www.kn-online.de/schleswig-holstein/vorsicht-online-rechnung-polizei-warnt-vor-neuer-masche-von-cyberbetrug-in-sh-L73QP4UUUNA6TLCBBK3KIS737M.html [01.08.2024]

August 2024

125.000 Euro Schaden bei Tiefbautechnik-Unternehmen aus Tensfeld

Ein Tiefbautechnik-Unternehmen aus Tensfeld ist durch eine manipulierte Rechnung um 125.000 Euro betrogen worden. Die Täter griffen offenbar in den E-Mail-Verkehr ein, tauschten unbemerkt die Bankverbindung auf einer echten Rechnung aus und leiteten so den Geldfluss auf ihr eigenes Konto um. Das Unternehmen überwies die Summe im Vertrauen auf die Echtheit des Dokuments. Erst als der eigentliche Dienstleister sich meldete, wurde der Betrug entdeckt. Die Polizei spricht von einer professionellen Vorgehensweise und warnt vor zunehmenden Fällen dieser Art. Eine Rückholung des Geldes gelang nicht. Die Spur der Ermittlungen verlor sich in den USA. Quelle: https://www.ndr.de/nachrichten/schleswig-holstein/Cyber-Betrug-Perfide-Masche-mit-falschen-Rechnungen-in-SH,betrug524.html [01.08.2024]

Januar 2025

Sechsstelliger Geldbetrag bei Man-in-the-middle-Attacke in Iserlohn erbeutet

Ein Unternehmen aus Iserlohn ist Opfer eines Hackerangriffs geworden, bei dem Kriminelle die E-Mail-Kommunikation abfingen und manipulierten. Die Täter gaben sich als der Partner aus und leiteten gefälschte Rechnungen mit geänderten Kontodaten weiter. So überwies die Firma einen sechstelligen Betrag an die Betrüger. Die Polizei empfiehlt bei veränderten Rechnungsdetails stets Rücksprache über öffentlich einsehbare Kontaktdaten zu halten. Quelle: https://www1.wdr.de/nachrichten/westfalen-lippe/hacker-betrug-iserloh-firmen-100.html [31.01.2025]

März 2025

400.000 Euro von Stadt Dülmen irrtümlich wegen Fake-Rechnung überwiesen

Die Stadt Dülmen wurde Opfer eines Betrugs, bei dem Kriminelle eine gefälschte Rechnung über rund 400.000 Euro für Feuerwehrfahrzeuge übermittelten. Die manipulierten Kontodaten blieben unentdeckt. Die Täter nutzten offenbar zuvor abgefangene E-Mail-Kommunikation. Das Geld ist verloren, die Stadt und der Hersteller teilen sich den Schaden. Dülmen verschärft nun die internen Sicherheitsmaßnahmen. Quelle: https://www1.wdr.de/nachrichten/duelmen-stadt-opfer-von-betruegern-100.html [13.03.2025]

Mai 2025

Sechsstelliger Schaden nach Attacke auf Unternehmen in Rosenheim und Passau

Zwei Unternehmen in den Landkreisen Rosenheim und Passau wurden Opfer einer Attacke auf ihre vertrauliche E-Mail-Kommunikation. Hacker hatten eine Rechnung abgefangen, die per E-Mail versandt wurde und die Bankverbindung verändert. Laut Polizei handelt es sich um einen Man-in-the-Middle-Angriff. Die Polizei mahnt zu besonderer Vorsicht, denn teilweise sei dabei selbst die E-Mail-Adresse häufig gleich oder unterscheide sich nur minimal. Quelle: https://www.security-insider.de/unternehmen-gehackt-polizei-warnt-man-in-the-middle-angriff-a-868e830c9117299d5965ebd58b216971/ [14.05.2025]

Juni 2025

Fast 60.000 Euro von Verein aus Dessau-Roßlau gestohlen

Der Verein VorOrt aus Dessau-Roßlau hat durch einen Betrug 58.310 Euro verloren. Die Täter hackten offenbar ein E-Mail-Konto und schickten eine täuschend echte Rechnung im Namen einer Baufirma. Dabei ging es um den geplanten Einbau einer Wärmepumpe sowie einer Solaranlage. Der Betrag wurde überwiesen, bevor der Betrug auffiel. Die Polizei ermittelt, und der Verein ruft nun zu Spenden auf, um den Schaden zu kompensieren. Außerdem möchte der Verein den Fall transparent öffentlich aufarbeiten, um andere vor der Betrugsmasche zu schützen. Ein entsprechendes Video des MDR enthält weitere Details. Quelle: https://www.mdr.de/nachrichten/sachsen-anhalt/dessau/dessau-rosslau/verein-verliert-geld-an-betrueger-102~amp.html [12.06.2025]

Rechtliche und wirtschaftliche Folgen für Unternehmen

Ein häufig unterschätztes Risiko beim Rechnungsversand per E-Mail sind nicht nur die unmittelbaren Schäden durch den Betrug selbst, sondern auch die rechtlichen und wirtschaftlichen Folgen, die sich daraus ergeben. Wer Rechnungen ungesichert per E-Mail versendet, geht ein Haftungsrisiko ein – vor allem, wenn sich im Nachhinein nicht zweifelsfrei belegen lässt, dass die Rechnung im Original und unverändert beim Kunden angekommen ist.

Besonders kritisch ist die Lage beim Rechnungsversand an Endkunden (Verbraucher). Wenn die Bankverbindung auf der Rechnung durch Dritte manipuliert wird und der Betrag auf einem fremden Konto landet, bleibt das Unternehmen nach aktueller Rechtssprechung auf dem finanziellen Schaden sitzen. Gerichte sehen bisher in solchen Fällen ein Versäumnis auf Seiten des Unternehmens, das den Schutz der personenbezogenen Daten – in diesem Fall des Rechnungsinhaltes – nicht ausreichend sichergestellt hat. Der ursprüngliche Anspruch auf Zahlung kann dadurch verloren gehen, ohne dass der Kunde nochmals zur Zahlung verpflichtet ist.

Auch im Geschäftskundenbereich (B2B) hat Rechnungsbetrug massive Auswirkungen. Zwar bestehen hier unter Umständen weiterhin Zahlungsansprüche gegenüber dem Käufer, doch ist das Vertrauensverhältnis meist dauerhaft beschädigt. Rechtsstreitigkeiten, Zahlungsausfälle und Reputationsverluste sind die Folge. Nicht selten werden laufende oder zukünftige Geschäftsbeziehungen durch einen einzigen Betrugsfall erheblich gestört oder sogar beendet.

Diese Entwicklungen zeigen: Rechnungsbetrug per E-Mail ist nicht nur ein IT-Sicherheitsproblem, sondern auch ein strategisches Risiko mit realen rechtlichen und wirtschaftlichen Konsequenzen für Unternehmen.

Gerichtsurteile zu Rechnungsbetrug durch manipulierte E-Mails

Ein Unternehmen versendet eine Rechnung an einen Kunden. Kriminelle manipulieren die E-Mail und tauschen die Kontonummer sowie ggf. weitere Rechnungsangaben aus. Der Kunde überweist den Rechnungsbetrag auf das falsche Konto und schon ist ein Schaden entstanden. Wer muss für den Verlust aufkommen? Und wie kann man solche Betrugsmaschen verhindern? Urteile der Oberlandesgerichte Karlsruhe und Schleswig-Holstein sollten Klarheit bringen. Sie werfen aber auch neue Fragen auf.

Urteil des OLG Karlsruhe vom 27.07.23

Das OLG Karlsruhe fällte am 27.07.23 ein wichtiges Urteil (Az. 19 U 83/22). Ausschlaggebend dafür war der Verkauf eines Gebrauchtwagens zwischen zwei Unternehmen aus dem Jahr 2021. Der Vertrag wurde telefonisch geschlossen. Beide Parteien, in diesem Fall die Geschäftsführer, einigten sich, die Rechnung als PDF-Anhang per E-Mail zu versenden.

Kurz darauf kam die erste E-Mail inklusive Rechnung über 13.500 € bei dem Käufer an. Allerdings folgte zwei Minuten später eine zweite E-Mail mit einer manipulierten Rechnung. Und auf Basis dieser zweiten Rechnung wurde dann die Überweisung getätigt. Die 13.500 € gingen somit an einen Dritten, der die erste E-Mail mutmaßlich abgefangen, die Bankdaten der Rechnung gefälscht und die zweite E-Mail an den Käufer gesendet hatte.

Als nach mehr als 2 Wochen immer noch kein Geld auf das eigentliche Konto des Verkäufers einging, fragte dieser nach – und der Betrug wurde erkannt. Der Verkäufer klagte darauf, dass der Käufer den Kaufpreis abermals bezahlt, diesmal an das richtige Konto. Das Landgericht Mosbach wies diese Klage in erster Instanz ab, der Verkäufer hätte kein Recht auf eine erneute Zahlung. In der Berufungsinstanz gab das OLG Karlsruhe dem Verkäufer recht, mit folgender Begründung:

„Nach Ansicht des OLG war die Klägerin nicht verpflichtet, beim Versand der Rechnungs-E-Mail bestimmte Verschlüsselungsverfahren wie die Ende-zu-Ende-Verschlüsselung anzuwenden. Eine allgemeine Verkehrserwartung hierzu bestehe im Geschäftsverkehr nicht. Die Klägerin habe auch sonst keine Pflichten verletzt.“

Weiterhin hätte laut des OLG Karlsruhe dem Käufer auffallen müssen, dass die zweite Rechnung nicht das Original hätte sein können. Die manipulierte Rechnung enthielt nämlich grobe Fehler und sprachlich auffallende Abweichungen. Diese Auffälligkeiten wurden jedoch ignoriert und so kam es zum Urteil: Der Käufer wurde verurteilt, an den Verkäufer 13.500 € sowie weitere 953,40 € nebst Zinsen zu zahlen. Der Käufer trägt die Kosten des Rechtsstreits beider Instanzen.

Einordnung von comcrypto:

Der Verkäufer ist in diesem Fall noch glimpflich davongekommen. Zum Teil hat ihn die stümperhafte Umsetzung des Rechnungsbetrugs durch die Betrüger gerettet. Hätte der Unternehmer von Anfang an auf eine gesicherte E-Mail-Kommunikation gesetzt, insbesondere durch die Implementierung von qualifizierter Transportverschlüsselung und digitaler Signatur, hätte er nicht nur die rechtlichen Risiken eines Rechnungsbetrugs deutlich reduziert, sondern auch die Gefahr für einen wirtschaftlichen Schaden in einem solchen Fall vermieden. Auch das Vertrauen seiner Geschäftspartner und Kunden wäre unbeschädigt geblieben, was langfristig zu stabileren Geschäftsbeziehungen und einer besseren Reputation geführt hätte.

Urteil des OLG Schleswig-Holstein vom 18.12.2024

Das Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) behandelt den Fall eines Bauunternehmers, der einem Kunden eine Schlussrechnung über 15.385,78 € für die Installation einer Heizungsanlage per E-Mail gesendet hatte. Unbekannte Dritte veränderten aber die Bankverbindung und weitere Details wie die Farben des Rechnungsdokuments. Der genaue Tathergang bleibt ungeklärt.

Nachdem der Auftraggeber eine Zahlung der Rechnungssumme auf das Betrügerkonto vorgenommen hatte, forderte der Bauunternehmer den Auftraggeber erneut zur Zahlung auf und es kam zum Rechtsstreit. Der Auftraggeber vertrat die Position, dass er einen Schaden erlitten hatte, weil der Bauunternehmer seinen E-Mail-Versand nicht ausreichend geschützt habe.

Obwohl das Gericht entschied, dass die ursprüngliche Forderung des Bauunternehmers weiterhin Bestand habe, wurde dem Auftraggeber ein Schadensersatz in gleicher Höhe zugesprochen. Der Rechnungsversand per E-Mail sei nicht ausreichend geschützt gewesen, womit ein Verstoß gegen Artikel 82 der DSGVO vorliege. Besonders viel Aufsehen erhielt das Urteil aber aufgrund seiner recht oberflächlichen technischen Einordnung der Sachverhalte.

„Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen ‚geeigneten‘ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“

Diese Einordnung scheint nicht nur in Unkenntnis relevanter Sachverhalte getroffen worden zu sein, sondern steht auch teilweise im Widerspruch zur Orientierungshilfe der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder.

Renommierte Autoren aus Datenschutz und IT-Sicherheit kritisieren das Urteil scharf für die z.T. falschen technischen Aussagen, die im Urteil getroffen wurden. Prof. Dr. Ronald Petrlic (ehem. Landesbeauftrager für Datenschutz und Informationsfreiheit, seit 2020 Professor für Informationssicherheit an der TH Nürnberg) veröffentlichte in der Zeitschrift DATENSCHUTZBERATER, Ausgabe 03/2025 einen Artikel, in dem er das Urteil sowohl rechtlich als auch technisch in Zweifel zieht:

„Zusammenfassend lässt sich festhalten, dass das Urteil des OLG Schleswig aus rechtlicher und technischer Sicht als äußerst problematisch anzusehen ist.“

Für Fachleute ist zunächst auffällig, dass das Urteil nicht zwischen opportunistischer, obligatorischer und qualifizierter Transportverschlüsselung unterscheidet. Der standardmäßige E-Mail-Versand mit opportunistischer Transportverschlüsselung ist tatsächlich hochgradig unsicher, da die Priorität dabei auf der Zustellung und nicht auf der Sicherheit des Übertragungsweges liegt.

Eine qualifizierte Transportverschlüsselung (qTLS) dagegen ist laut der Orientierungshilfe der DSK selbst beim Versand von E-Mails mit hohen Risiken ausreichend. Wenn sie korrekt eingesetzt wird, ist mit der qTLS sogar ein rechtssicherer Unversehrtheitsnachweis der übertragenen E-Mail-Kommunikation möglich.

Im öffentlichen Diskurs haben sich zudem einige Missverständnisse verbreitet, die zur Verwirrung beizutragen scheinen:

  • Mit TLS werden E-Mails auf dem gesamten Übertragungsweg zwischen jeweils zwei E-Mail-Systemen verschlüsselt und können nicht etwa auf den sogenannten Hops, also den Zwischenservern der Übertragungskette (etwa den Routing-Systemen der Internet-Anbieter), ausgelesen werden.
  • Auch sind S/MIME und PGP nur bedingt mit dem Begriff Ende-zu-Ende-Verschlüsselung gleichzusetzen, da die E-Mails in der Praxis häufig gar nicht verschlüsselt auf den Endgeräten liegen, sondern die aufwändige Schlüsselverwaltung zentral erfolgt.

Konkret endet die Verschlüsselung damit häufig bereits bei der Firewall bzw. dem Verschlüsselungs-Gateway des Unternehmens, damit die E-Mails auf Malware überprüft werden können. Danach werden die Mails ohne die ursprüngliche Verschlüsselung über die verschiedenen E-Mail-Systeme des Empfängers weiter verteilt.

So gesehen werden sowohl bei qTLS als auch S/MIME die Daten in ähnlicher Weise vom einen Endpunkt zum anderen verschlüsselt übermittelt, um dann intern mit anderen Verfahren weitergereicht zu werden. Mit dem Unterschied, dass qTLS zumeist wesentlich praktikabler ist.

Prof. Petrlic weist in seinem Artikel darauf hin, dass durchaus fraglich ist, ob der Empfänger überhaupt in der Lage gewesen wäre eine E2E-verschlüsselte E-Mail zu empfangen und stellt das als primär angesehene Schutzziel der Vertraulichkeit in diesem Fall in Frage. Die Integrität und Authentizität der Kommunikation wären geeignetere Schutzziele gewesen und hätten unabhängig von der Verschlüsselung bereits durch eine digitale E-Mail-Signatur mittels S/MIME gewährleistet woerden können. Die mangelnde Vertraulichkeit bzw. Verschlüsselung war in diesem Fall also nicht einmal unbedingt das primäre Problem.

Neben der Sicherheit der Übertragung bleibt die IT-Sicherheit in der jeweiligen Unternehmensinfrastruktur ein weiteres Kernproblem. Auch die Orientierungshilfe der DSK verweist deutlich auf den Umstand, dass die Übertragungssicherheit nur ein Teil der notwendigen Sicherheitsinfrastruktur ist. Ob das Urteil Bestand haben wird, ist noch unklar. Eine Revision ist durchaus möglich.

Einordnung von comcrypto:

Die DSK-Vorgaben sind weiterhin die zentrale Maßgabe für die Pflichten von Verantwortlichen bei der E-Mail-Übertragung. Für den vorliegenden Anwendungsfall des Rechnungsversands an Verbraucher ist eine echte E2E-Verschlüsselung (mit PGP oder S/MIME) kaum umsetzbar, da viele Verbraucher zum Empfang von E2E-verschlüsselten Mails gar nicht in der Lage sind. Adäquater Ersatz und einzige praktikable technische Maßnahme, um Haftungsrisiken wirksam auszuschließen, ist die qualifizierte Transportverschlüsselung, verknüpft mit der digitalen Signatur.

Rechnungsversand mit comcrypto MXG

Mit comcrypto MXG können alle Vorgaben der DSK vollständig erfüllt werden. Dies bestätigt auch ein datenschutzrechtliches Gutachten der Kanzlei MORGENSTERN.

Mit comcrypto MXG erhalten Sie folgende Lösungsbestandteile:

  • S/MIME-Verschlüsselung für ausgewählte Empfänger, die dieses Verfahren ebenfalls unterstützen.
  • „Adaptive Verschlüsselung“ (Sicherheitskontrolle im Hintergrund) · Ohne, dass User dies explizit aktivieren müssen, wird die qualifizierte Transportverschlüsselung als Standardverfahren zum Rechnungsversand per E-Mail genutzt. Zu Empfänger-Servern, die dieses sichere Verfahren nicht unterstützen (ca. 5-10%), wird die unsichere Übertragung (TLS-Downgrade) verhindert.
  • Verschlüsselung mit Passwort zur sicheren Übertragung bei nicht vorhandener qualifizierter Transportverschlüsselung
  • Digitale Signatur mittels S/MIME als Identitätsnachweis des Absender-Postfachs
  • Technisch liefert comcrypto MXG einen rechtssicheren Nachweis über die unversehrte Zustellung an den Empfänger-Server.

Mit diesen Lösungsbestandteilen wird von vornherein ausgeschlossen, dass eine Rechnungsfälschung auf dem Übertragungsweg überhaupt passieren und es zu einem Gerichtsstreit kommen kann. (Als Risiko bleibt nur der direkte Angriff auf E-Mail-Accounts oder Endgeräte. Dagegen sind wie bisher weitere IT-Sicherheitsmaßnahmen außerhalb des E-Mail-Transportsystems zu ergreifen.)

Neben dem Rechnungsversand ist comcrypto MXG auch die richtige Lösung, um generell das Abfangen oder Manipulieren von versendeten E-Mails zu verhindern, z.B. in der Kommunikation mit Behörden, Banken und Versicherungen, sowie für die generelle Geschäftskommunikation per E-Mail.

Weitere spannende Beiträge

Zurück zur Übersicht

Einstellungen

Accessibility

Über folgende Optionen können Sie das Interface individuell auf Barrierefreiheit anpassen. Unsere Website orientiert sich an den Accessibility Guidelines für Barrierefreiheit, festgelegt vom W3C. Über folgende Optionen können Sie das Interface weiter auf Ihre Bedürfnisse anpassen.

Abbrechen Anwenden