Warum die E-Rechnung auch ein IT-Sicherheitsthema ist

Ihr Unternehmen ist bereits auf die elektronische Rechnung umgestellt oder plant es bald – haben Sie dabei auch die IT-Sicherheit im Blick!

Das maschinenlesbare XML-Format (z. B. XRechnung, ZUGFeRD) der E-Rechnung erleichtert eine automatisierte Verarbeitung, bringt aber auch neue Schwachstellen. Angreifer können die Daten in solchen Formaten einfacher manipulieren, phishingähnliche Mails versenden oder sogar Ransomware in Umlauf bringen, die kritische Rechnungsdaten verschlüsselt.

Potenzial für Cyberangriffe – wo liegt die Herausforderung bei der E-Rechnung?

E-Rechnungen werden sehr häufig per E-Mail als PDF-Anhang versendet, wobei der Versandweg selbst ein wesentliches Einfallstor für Cyberkriminelle ist. Unzureichende Verschlüsselung im E-Mail-Verkehr ermöglicht Man-in-the-Middle-Angriffe, bei denen Kontodaten auf Rechnungen manipuliert oder vertrauliche Informationen abgefangen werden können. E-Mail-Domänen müssen gegen Missbrauch (Phishing, gefälschte Absender) abgesichert sein, um Betrug zu verhindern.

Daher sollten Sie jemanden im Unternehmen oder einen Dienstleister haben, der sich nicht nur um die richtige Software und den Prozess kümmert, sondern auch um die IT-Sicherheit.

 Was sollten Sie tun um die E-Rechnung sicher zu empfangen?

• Kommunikation sicherstellen
  Stimmen Sie sich mit Ihren Dienstleistern ab, damit Sie das übliche Format einer E-Rechnung kennen. Im Zweifel: Rückfrage auf separatem Weg (z. B. telefonisch), nicht per Antwort auf die verdächtige E-Mail.
  
  
• Bankverbindungen prüfen
  Kontrollieren Sie die angegebene Bankverbindung sehr genau. Speichern Sie bekannte und bestätigte Kontodaten ab und gleichen Sie diese regelmäßig ab.
  → Achtung: Betrüger nutzen oft realistisch aussehende Rechnungen mit geänderter Bankverbindung (z. B. IBAN mit unpassendem Länderkennzeichen).
  
  
• E-Rechnungsdaten der XML und PDF vergleichen
  Wenn Sie mit einem DMS oder ERP-System arbeiten, wird immer die XML-Datei als Grundlage ins System gelesen! Erhalten Sie also eine ZUGFeRD-Rechnung, könnte die IBAN im optischen Dokument, also der PDF, eine andere sein als im XML-Dokument. Wenn Sie unsicher sind, hilft nur, die XML in einem Editor anzusehen oder in der Software, um Rechnungs-PDF und XML-Daten abzugleichen.
  
  
• Sicherheitsabfragen bei Änderungen
  Bei Änderungen an Bankverbindungen: immer telefonisch nachprüfen.
  
  
• Antispam- & Antiviren-Lösungen einsetzen
  Über 90 % aller E-Mails sind Spam oder Schadsoftware – lassen Sie diese direkt von Ihrem Maildienstleister oder durch eigene Sicherheitslösungen herausfiltern.
  
  
• Schulung von Mitarbeitenden im Umgang mit digitalen Rechnungen und Verdachtsmomenten.
  
  
• Auswahl sicherer und zertifizierter Softwarelösungen für die Verarbeitung der Rechnungen.

Kann ich gefahrlos den Anhang der E-Rechnung (PDF, ZIP, XML…) öffnen?

Unabhängig von E-Rechnungen stellt sich bei E-Mails oft die Fragen, welche Anhänge geöffnet werden dürfen.
Das Bundesamt für Sicherheit in der Informationstechnik schlägt dazu einen „ 3 Sekunden-Sicherheitscheck“ vor, bei dem man sich fragt:

1. Ist der Absender bekannt?
2. Ist der Betreff sinnvoll?
3. Wird ein Anhang von diesem Absender erwartet?

Fazit: Absolute Sicherheit gibt es nicht – das gilt auch für Empfang der E-Rechnungen als E-Mail Anhang. Doch mit den richtigen Maßnahmen lassen sich Risiken deutlich reduzieren.

Sprechen Sie uns an! Wir empfehlen die passende Softwarelösungen und stehen Ihnen als erfahrener IT-Security-Partner zu Seite, um Ihre Systeme bestmöglich zu schützen.