Achtung, manipulierte E-Rechnung!

Von Melanie Rübartsch, IHK-Magazin 05-06/2025

„Gefälschte digitale Rechnungen im Umlauf.“ – „Computerviren per E-Rechnung ins Unternehmen geschleust.“ – „Rechnungsbeträge landen auf Konten von Betrügern.“ Solche Schlagzeilen sind derzeit häufig. Der Hintergrund: E-Rechnungen sollen Standard im Geschäftsverkehr werden. Seit Anfang 2025 müssen Betriebe für im Inland steuerbare Umsätze im B2B-Geschäftsverkehr E-Rechnungen empfangen und verarbeiten können.

Die Pflicht, eigene Ausgangsrechnungen nur digital abzurechnen, wird etappenweise bis Ende 2027 eingeführt.

„In vielen Fällen werden die Rechnungen per E-Mail ausgetauscht“, weiß Bernhard Kux, Referent für Cybersicherheit bei der IHK für München und Oberbayern. Cyberkriminelle nutzen dies aus: Sie fangen die Dokumente ab und tauschen die Kontodaten des Rechnungsstellers durch die der Betrüger aus. In anderen Fällen geben sich Trickser als vertrauenswürdige Absender aus und verschicken gefälschte Dokumente. Im schlimmsten Fall sind diese E-Mails zudem mit Links oder Dateianhängen versehen, die Schadsoftware ins Unternehmen tragen. „Umso wichtiger ist es, technisch und organisatorisch einige Vorkehrungen zu treffen, um das Risiko zu begrenzen“, sagt der IT-Experte.

Worauf sollten Firmen bei der Rechnungsbearbeitung besonders achten?

Entscheidend ist, sowohl Kunden und Geschäftspartner als auch die eigenen Mitarbeitenden dafür zu sensibilisieren, alle Rechnungen sorgfältig zu prüfen. Regelmäßige Schulungen und Hinweise, wie legitime Rechnungen aussehen und woran man Manipulationen erkennt, können das Risiko eines Betrugs senken. „Wichtig ist zudem, mit den Geschäftspartnern zu kommunizieren“, sagt IHK-Experte Kux. Man sollte wissen, wie deren Rechnungen üblicherweise aussehen, und Kontakt aufnehmen, wenn etwas verdächtig ist.

Tipp: Bei E-Rechnungen ist nicht die für Menschen lesbare Ansicht entscheidend, sondern die XML-Daten. Mit E-Rechnungsviewern wie etwa der Open-Source-Anwendung „Quba-Viewer“ lassen sich die Daten vergleichen.

Nie direkt auf Rechnungsmail antworten

Firmenrichtlinien können vorgeben, dass Mitarbeitende bei Zweifeln an einer Rechnung nachhaken. Wichtig: „Im Verdachtsfall nicht direkt auf die Rechnungsmail antworten, sondern einen anderen Kommunikationsweg wählen“, mahnt der IHK-Experte. Nur so sei gewährleistet, dass man tatsächlich beim richtigen Unternehmen nachfragt und nicht bei den Betrügern landet.

Interne Vorgaben können auch regeln, dass ab einer bestimmten Rechnungshöhe oder bei erstmaligem Geschäftskontakt generell eine manuelle Prüfung der Rechnung, insbesondere der Bankverbindung, erfolgen muss. Stimmen die Daten mit bereits bekannten und bestätigten Bankverbindungen überein? Passt die IBAN zu den Angaben auf der Webseite des Unternehmens? Im Zweifel telefonisch Kontakt aufnehmen!

Was ist steuerlich relevant bei der E-Rechnung?

„Ein wesentlicher Punkt ist, dass sich Unternehmen mit den neuen steuerlichen Vorgaben befassen müssen. Dazu gehören auch Fragen der ordnungsgemäßen Verarbeitung und Aufbewahrung von E-Rechnungen für Steuerzwecke. Hierzu gibt es inzwischen auch vertiefte Ausführungen der Finanzverwaltung“, erklärt Mira Pezo, IHK-Referentin für Steuern und Finanzen.

Lesbarkeit: Kostenloses Tool auf ELSTER

Eine weitere wichtige Entwicklung ist, dass die Finanzverwaltung über ELSTER nun ein kostenloses Tool zur Verfügung stellt, mit dem sich E-Rechnungen lesbar machen lassen. „Die wiederholten Anregungen und Hinweise der IHK für München und Oberbayern sowie der gesamten IHK-Organisation haben wesentlich zur Entwicklung dieser Lösung beigetragen“, sagt die Steuerexpertin.

Welche E-Mail-Adresse sollten Firmen für E-Rechnungen nutzen?

„Für die Abwicklung sollten Unternehmen eine eigene E-Mail-Adresse und ein exklusiv dafür vorgesehenes Mailpostfach einrichten“, empfiehlt IHK-Fachmann Kux. Für das Postfach sollten sie einen Verantwortlichen und einen Stellvertreter ernennen und Zugriffsrechte definieren.

Zudem sollten Firmen darauf achten, dass die eingesetzte Mailsoftware stets auf dem aktuellen Stand ist und zudem Anti-Spam- und Anti-Schadsoftware zum Einsatz kommen. „Gute Technikeinstellungen sind immer die erste Abwehrmauer. Trotzdem werden Mails im Postfach landen, die an dieser Mauer vorbeikommen. Daher muss man immer wachsam sein“, so IHK-Experte Kux.

Wie lässt sich prüfen, ob eine Rechnung manipuliert wurde?

Empfänger sollten sich immer fragen, ob eine Rechnung wirklich vom angegebenen Absender stammt und ob die in Rechnung gestellte Ware beziehungsweise Dienstleistung wirklich bestellt wurde. Lässt sich der Absender also eindeutig identifizieren?

Hierzu gibt es neben der eigenen Wachsamkeit auch einige technische Hilfsmittel. Über ein sogenanntes Sender Policy Framework (SPF) können Firmen zum Beispiel festlegen, wer – das heißt, welche IP-Nummer – im Namen eines Unternehmens Mails versenden darf. Die IP-Nummer ist eine Netzwerkadresse, die für jedes Gerät im Netzwerk nur einmal vergeben werden darf und damit ein eindeutiges Identifikationsmerkmal ist. „Wenn eine unberechtigte IP-Nummer Mails im Namen der Internetdomain schickt, kann der Empfänger solche Mails als Spam einstufen“, sagt Kux.

Mails digital signieren mit DKIM

Darüber hinaus können Unternehmen Mails mit einer sogenannten Domain Keys Identified Mail (DKIM) digital signieren. Auch das stellt für die Geschäftspartner sicher, dass die Mail vom echten Absender stammt und nicht verändert wurde. Kux: „Unternehmen sollten sich über solche Methoden austauschen und versuchen, sie gegenseitig als Standard zu definieren.“

Was ist beim Öffnen von Dateianhängen zu beachten?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt einen „3-Sekunden-Sicherheitscheck“ vor, bei dem sich Empfänger vor dem Öffnen fragen:

• Ist der Absender bekannt?
• Ist der Betreff sinnvoll?
• Wird ein Anhang von diesem Absender erwartet?

Ergibt die Überprüfung von Absender, Betreff und Anhang insgesamt kein stimmiges Bild, sollten Empfänger den Anhang nicht öffnen und die E-Mail löschen. Im Zweifelsfall können sie zuvor auch persönlich beim Absender nachfragen, ob er tatsächlich eine E-Mail geschickt hat. Dabei aber nicht einfach auf „Antworten“ klicken, sondern die Ziel-E-Mail-Adresse immer aus vorherigen verifizierten E-Mails kopieren.

Welche Alternativen zum E-Mail-Versand sind für E-Rechnungen möglich?

Unternehmen können zum Beispiel spezielle Onlineanwendungen nutzen, auf denen die Auftragnehmer und Lieferanten ihre Rechnungen hochladen. Eine weitere Variante sind standardisierte Onlineanwendungen wie Electronic Data Interchange (EDI), AS2 oder das Peppol-Netzwerk. Sie bieten eine hohe IT-Sicherheit durch starke Verschlüsselungen, Authentifizierungen und Überwachungsmaßnahmen.

Die Kosten für die Implementierung, der technische Aufwand, die Komplexität, die Akzeptanz und eine mögliche Abhängigkeit von Drittanbietern sind hierbei allerdings oft eine Herausforderung, insbesondere für kleine Unternehmen.

Mehr Sicherheit, aber auch Aufwand per SFTP

Eine erhöhte Sicherheit lässt sich auch per SFTP (Secure File Transfer Protocol) erreichen. SFTP ist ein Dateiübertragungsprotokoll, das eine Reihe von Dienstprogrammen nutzt, die einen sicheren Zugriff auf einen Remote-Computer ermöglichen. Einkalkulieren müssen Unternehmen dabei jedoch einen etwas erhöhten administrativen Aufwand, da sie Benutzerkonten anlegen und Zugriffsberechtigungen verwalten müssen.

Was ist bei der Verarbeitung von E-Rechnungen zu beachten?

Ist eine E-Rechnung sicher zum Empfänger gekommen, muss sie dort weiterverarbeitet und abschließend revisionssicher archiviert werden. „Wie beim Transport ist auch dabei immer ein Check von Vertraulichkeit, Integrität und Verfügbarkeit der Daten erforderlich“, so Kux. Auch dies erfolgt vor allem durch die Absicherung des E-Mail-Postfachs oder die Auswahl einer sicheren Onlineanwendung.