Wie wurden Rechnungen manipuliert?

[ActivEnergy]

Hallo,

unter https://www.haufe.de/recht/weitere-...esselte-rechnungen-per-e-mail_210_642858.html geht es um einen Fall, wo ein Handwerksbetrieb 3 Rechnungen an einen Kunden geschickt hatte per E-Mail und als PDF. Die ersten zwei Rechnungen waren normal und wurden richtig bezahlt. Die dritte Rechnung war wohl manipuliert:"Die dritte Abschlags- und gleichzeitige Schlussrechnung über gut 15.000 Euro wurde durch einen Hacker in krimineller Absicht manipuliert. Die Vorgehensweise des Hackers und insbesondere die exakte Versandphase, in der die Manipulation erfolgte, war im Verfahren nicht zu klären. Der Hacker hatte die auf der Rechnung angegebene Kontonummer zu seinen Gunsten verändert. Die Beklagte überwies den Schlussbetrag auf die in der Rechnung angegebene Kontonummer des unbefugten Dritten."

Im Bekanntenkreis habe ich vor wenigen Wochen auch schon einen Fall mitbekommen, wo eine Rechnung manipuliert wurde. Mich würde interessieren, was hier am wahrscheinlichsten der Angriffsvektor war:

a.) Absender: Malware beim Absender manipuliert Rechnungen automatisch bei Versand bzw. ändert die Empfänger-IBAN
b.) Transportweg: Das Abfangen und Manipulieren von Mails dürften denke ich nur Geheimdienste können und keine normalen Cyberkriminellen
c.) Empfänger: Malware beim Empfänger manipuliert die Rechnungen

a. und c. halte ich für möglich, aber b. nicht. Hat hier jmd. Erfahrungen mit solchen Fällen oder eine Meinung, wie die Manipulation erfolgte? Im Gerichtsverfahren konnte das laut Artikel nicht geklärt werden.

 

[dms]

In einem PDF kann die rechnung als ZugFerd XML enthalten sein wenn du nun eine Unsignierte PDF erstellst, das überschreibst und dann "treudof" verarbeitet

 

[madmax2010]

alle 3 wege sind realistisch.
Transportverschlüsselung kann, Option b schwieriger machen
ok mit ZugFerd war @dms schneller. Das ist inzwischen verpflichtend.
Im Firmenkontext: Nutzt wenigstens s/mime - Geschäftskommunikation gehört versichert.
Nutzt einen Dienstleister um eure Systeme zu pflegen, der im Zweifelsfall haftet, wenn er euch falsch beraten hat.

 

[qiller]

Ich hatte schon den Fall bei nem Kunden, dass das Emailkonto des Rechnungsversenders gehackt wurde (wahrscheinlich zu einfaches Kennwort ohne 2FA). Da passierte dann ähnliches. Der Angreifer hat solange gewartet, bis Rechnungen mit höherem Geldumfang versendet wurden. Direkt im Anschluss kam beim Empfänger eine angebliche Rechnungskorrektur, wo dann die IBAN geändert war. Die zuständige Mitarbeiterin hat dann aber ohne rückzufragen einfach die 40k € überwiesen.

Mittlerweile sollte das ja nicht mehr so ganz einfach möglich sein, weil man ja auch den Kontoinhaber angeben muss. Und wenn der namentlich deutlich abweicht, sollte auch der Letzte stutzig werden und vlt. mal (telefonisch) nachhaken.

 

[Der_Dicke82]

Moin moin,
ich halte auch alle 3 Wege für möglich! Ich denke in solchen Fällen ist der Angriff beim Versender und/oder dessen Emailstruktur aber am wahrscheinlichsten. Einfach weil es sich eher lohnt eine Firma zu hacken als eine Einzelperson.

das Emailkonto des Rechnungsversenders gehackt wurde

Deswegen ist IMAP doof, bei pop3 und SMTP bekommt das Konto selbst nichts mit!

Ergänzung (7. Dezember 2025)

Mittlerweile sollte das ja nicht mehr so ganz einfach möglich sein, weil man ja auch den Kontoinhaber angeben muss

Angeben schon, aber ich glaube das führt nicht zum abbrechen der Überweisung wenn der falsche Empfänger angegeben wird.

Interessanter ist eher warum der Empfänger nicht ermittelt wurde, bei mehr als 12k € kommt ja sogar meldepflicht wegen Geldwäsche hinzu.

 

[PC295]

In einem PDF kann die rechnung als ZugFerd XML

PDF/0 unterstützt kein ZugFerd. Außerdem wird sowas nur dann zum Problem, wenn du solche Rechnungen ungeprüft elektronisch verarbeitest. In der Praxis macht das sicherlich keiner und du brauchst natürlich entspr. Programme die Rechnungen elektronisch einlesen können.

 

[qiller]

Deswegen ist IMAP doof, bei pop3 und SMTP bekommt das Konto selbst nichts mit!

Das ist richtig, den Rechnungsversand würde ein Angreifer so nicht mitbekommen. Aber gibt natürlich auch die Fälle, wo der Rechner selber mit Malware befallen ist und da hilft dir POP3 auch nicht weiter.

Interessanter ist eher warum der Empfänger nicht ermittelt wurde

Ich bin nur Auftragnehmer der betroffenen Firma, kann dazu also nichts sagen.

Angeben schon, aber ich glaube das führt nicht zum abbrechen der Überweisung wenn der falsche Empfänger angegeben wird.

Fixe Suche ergab das:
https://www.onwalt.de/akademie/sepa-ueberweisung-empfaengername

 

[kachiri]

Angeben schon, aber ich glaube das führt nicht zum abbrechen der Überweisung wenn der falsche Empfänger angegeben wird.

Wenn mir als Überweisender angezeigt wird, dass der von mir angegebene Empfänger nicht zu der IBAN passt, sollte ich zumindest mal stutzig werden und
1.) Überprüfen, ob ich beim Empfänger eine Fehleingabe habe
2.) Ich mich bei der IBAN vertippt habe

Im Zweifel hakt man dann vielleicht doch noch einmal nach. Gerade bei größeren Summen. Ich gucke bspw. bei höheren Überweisungssummen dreimal genauer hin.

Letztendlich hätte das im vorliegenden Verfahren vermutlich schon dazu geführt, dass die Klägerin wohl mindestens eine Teilschuld bekommen hätte. Was sie scheinbar nicht hat.

Interessanter ist eher warum der Empfänger nicht ermittelt wurde, bei mehr als 12k € kommt ja sogar meldepflicht wegen Geldwäsche hinzu.

Darum ging es in dem Verfahren halt nicht. Hier ging es darum, dass die Firma das Geld von der Klägerin eingefordert hat, weil das ja nie bei der Firma angekommen ist.
Die Firma hat in erster Instanz auch Recht bekommen - den Schaden hatte also die Klägerin. Sprich die Person, die die Rechnung zu begleichen hatte.
In zweiter Instanz wurde der Vorgang noch einmal differenzierter und weiter gedacht. Im Grunde genommen hat das OLG einen Datenschutzverstoß gesehen, denn die Firma zu verantworten hat. Die Klägerin hatte also Anspruch auf Schadensersatz ggü. der Firma - und das ging sich dann auf +-0 für die Firma und Klägerin aus.


Klingt komisch, ist aber halt so. In der Theorie hätte die Firma noch Schadensersatzanspruch ggü. den Hacker.

Im Privatrecht hast du i.d.R. immer klar definierte Personen.

Hier gab es halt zwei Ansprüche:

• Anspruch der Firma auf Zahlung der erbrachten Leistung ggü. der Klägerin
• Anspruch der Klägerin auf Schadensersatz aufgrund der schuldhaft rechtswidrige Verarbeitung personenbezogener Daten

Die ergeben hier +-0. Sprich: Festgestellt wurde, dass die Klägerin die Rechnung zu bezahlen hat. Allerdings wurde in zweiter Instanz auch festgestellt, dass die Klägerin Anspruch auf Schadensersatz aufgrund der rechtswidrigen Verarbeitung personenbezogener Daten nach der DSVGO hat.
Da man ihr keine Teilschuld anlastet, muss die Firma den entstandenen Schaden quasi komplett bezahlen.

Ein dritter Anspruch ist eben:

• Anspruch der Firma auf Schadensersatz aufgrund einer rechtswidrigen Handlung durch einen Dritten

 

[Der_Dicke82]

@kachiri
Super interessant und vielen Dank für die Aufschlüsselung, ich hatte den verlinkten Fall tatsächlich nicht angeklickt.
Ziemlich gut zu wissen, das der Onlineversand von Rechnungen Ende zu Ende verschlüsselt erfolgen muss, was ja so gut wie nie der Fall ist. Da ist es nun auch klar, warum einige Anbieter die Rechnung nur im Kundenkonto zur Einsicht anbieten.

Fixe Suche ergab das:
https://www.onwalt.de/akademie/sepa-ueberweisung-empfaengername

Danke, das ist ja noch relativ neu und tatsächlich habe ich seit dem auch keine Fantasienamen mehr eingegeben :-D

 

[ActivEnergy]

Ich finde die Diskussion dazu auch sehr interessant, da man generell Rechnungen unverschlüsselt erhält. Aus der DSGVO ergibt sich wohl nicht direkt zur E2E der Rechnungen, aber wohl für Rechnungen mit einem hohen Rechnungsbetrag. Für Gesundheitsdaten sind die Anforderungen denke ich nochmal schärfer. Die Rechnung vom Zahnarzt erhalte ich per über ein Portal, wo ich mich Daten anmelde, die in einem per E-Mail versendeten PDF sind. Das PDF selbst ist mit einem Passwort geschützt, dass aus PLZ + DOB + einem weiteren Passwort aus einer anderen E-Mail besteht. Gehaltsabrechnungen von meinem AG erhalte ich via Foxdox. Inzwischen erfolgt auch die Rechnungsstellung für die Heizkosten meiner Wohnung über ein eigenes Portal.

Bzgl. E-Mail-Verschlüsselung gibt es dann OpenPGP und S/MIME. OpenPGP hatte ich vor Jahren selbst privat eingesetzt. S/MIME war bei meinem letzten Arbeitgeber im Einsatz. E-Mail-Verschlüsselung einzusetzen erfordert dann auf jeden Fall, dass der Gegenüber das auch macht. OpenPGP ist privat wohl verbreitet während S/MIME im geschäftlichen Kontext und auch in der Kommunikation mit Behörden verbreitet ist. In meinem Bekanntenkreis kennt vmtl. niemand OpenPGP oder S/MIME.

Auf jeden Fall interessant zu wissen, auf was heute noch alles im Bereich IT-Sicherheit geachtet werden muss. Ich hatte bisher nur von Fällen gehört, wo über Phishing gefälschte Rechnungen an die Rechnungsabteilung von Unternehmen geschickt wird, um so zur Zahlung zu bewegen, aber nicht, dass echte Rechnungen manipuliert werden oder so. Auf der anderen Seiten etwas ernüchternd, dass sich Verschlüsselung noch nicht so durchgesetzt hat.

 

[Knergy]

Vergiss nicht den Angriffspunkt D) Nutzer bzw. Struktur

Passwort klebt am Monitor, jeder hat Zugriff auf alles und dergleichen mehr. Da erstellt Person A eine Rechnung, legt sie auf dem Server ab und Person B fummelt dranrum, bevor C sie verschicken kann.

 

[Micha-]

Und wenn der namentlich deutlich abweicht, sollte auch der Letzte stutzig werden und vlt. mal (telefonisch) nachhaken.

Wenn mir als Überweisender angezeigt wird, dass der von mir angegebene Empfänger nicht zu der IBAN passt, sollte ich zumindest mal stutzig werden

Leider ist es - noch - der Normal Fall das der Name auf der Rechnung und der des Kontoinhaber nicht übereinstimmen und dann wird dir einfach angezeigt "grobe Abweichung". Wenn dir das in der Buchhaltung 50* am Tag passiert, fragst du beim Empfänger irgendwann nicht mehr nach.

Zumal viele Unternehmen Sammelüberweisungen durchführen werden und die Option nutzen dabei die VoP auszuschalten.

 

[qiller]

fragst du beim Empfänger irgendwann nicht mehr nach.

Wenn die ihr Geld haben wollen, werden die auch korrekte Bankdaten liefern. Genauer Wortlaut des Kontoinhabers ist ja wohl nicht zu viel verlangt.

 

[kachiri]

Wenn dir das in der Buchhaltung 50* am Tag passiert, fragst du beim Empfänger irgendwann nicht mehr nach.

Problem an der Sache ist, dass dir das zukünftig bei solchen, wie den hier verlinkten, Fällen vermutlich zur Last gelegt wird. Sprich die Käuferin hätte hier mindestens mal eine Teilschuld im Sinne von § 254 BGB bekommen.

Und meine Erfahrung ist eher, dass es die Überweisenden nicht so genau nehmen, wenn sie Angaben von der Rechnung übernehmen. So oder so: Nachfragen bringt am Ende beiden Seiten etwas.