stagflation 30. Januar Bei Anwalt.de gibt es einen Artikel, der sich mit dem Thema Betrug bei E-Rechnungen beschäftigt. Zitat E-Rechnung 2026: Einfallstor für Profi-Hacker oder Compliance-Asset? Ihr Leitfaden für ein sicheres Rechnungswesen Das Problem ist, dass die Daten bei einigen Formaten doppelt übertragen werden (einmal für Menschen sichtbar und einmal für Computer lesbar). Ein Angriff könnte folgendermaßen aussehen: Zitat Infiltration: Der Angreifer verschafft sich Zugang zu einem E-Mail-Konto, oft über klassisches Credential-Phishing oder Sicherheitslücken in Home-Office-Schnittstellen. Observation: Der Hacker wird zum „stillen Mitleser“. Er identifiziert Lieferanten mit hohen Rechnungssummen und versteht die Zahlungsintervalle. Die Manipulation: Kurz vor Eintreffen einer erwarteten Rechnung fängt der Angreifer die Original-Mail ab oder sendet eine täuschend echte Korrektur-Mail hinterher, die eine „Kontoumstellung auf E-Invoicing-Standard“ vorgibt. Der Austausch: Die IBAN im XML-Datensatz oder im PDF wird durch ein Konto der Betrüger ersetzt. Der Point of no Return: Da die Rechnung erwartet wurde, schöpft niemand Verdacht. Die Buchhaltung weist die Zahlung an – der Betrug fällt oft erst Wochen später auf, wenn die Mahnung des echten Lieferanten eintrifft. Von daher sollte jeder, der mit E-Rechnungen zu tun hat, besonders aufpassen. Ein Abgleich aller Daten zwischen computer- und menschenlesbarem Teil ist unbedingt erforderlich. Auch wenn das aufwändig ist und Zeit kostet. Außerdem sollte man besonders skeptisch bei allen unerwarteten Änderungen wie IBAN & Co sein. Zumal Angreifer alles versuchen werden, um diese zu vertuschen oder plausibel erscheinen zu lassen. Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar vor 4 Stunden von stagflation: Von daher sollte jeder, der mit E-Rechnungen zu tun hat, besonders aufpassen. Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht. Diesen Beitrag teilen Link zum Beitrag
franko 30. Januar vor 30 Minuten von hattifnatt: Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht. Ist es nicht viel wichtiger, dass die Rechnungen signiert sind (und die Signatur beim Empfänger auch geprüft wird)? Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar vor 3 Stunden von franko: Ist es nicht viel wichtiger, dass die Rechnungen signiert sind (und die Signatur beim Empfänger auch geprüft wird)? Naja, Verschlüsseln impliziert Signieren ... Diesen Beitrag teilen Link zum Beitrag
chirlu 30. Januar vor 2 Minuten von hattifnatt: Verschlüsseln impliziert Signieren ... Nein, keinesfalls. Das sind zwei unabhängige Vorgänge, die man kombinieren kann, aber nicht muss. Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar · bearbeitet 30. Januar von hattifnatt OK, also anders herum: Beim Signieren wird immer eine asymmetrische Verschlüsselung benützt, sind wir uns da einig? (Edit: Und ja, ich verwende "Verschlüsselung" etwas schlampig-umgangssprachlich für "Kryptographie" ). Diesen Beitrag teilen Link zum Beitrag
chirlu 30. Januar · bearbeitet 30. Januar von chirlu vor einer Stunde von hattifnatt: also anders herum: Beim Signieren wird immer eine asymmetrische Verschlüsselung benützt, sind wir uns da einig? Hmmm … Um das zu beantworten, bräuchte man klare Definitionen der Begriffe, insbesondere was „eine asymmetrische Verschlüsselung“ meint. Man braucht auf jeden Fall ein asymmetrisches Kryptosystem, aber es muss nicht zum Verschlüsseln geeignet sein. Es gibt Kryptosysteme, mit denen man verschlüsseln und signieren kann (z.B. RSA), und andere, mit denen man keine Nachrichten verschlüsseln kann. Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar vor 17 Minuten von chirlu: Man braucht auf jeden Fall ein asymmetrisches Kryptosystem, aber es muss nicht zum Verschlüsseln geeignet sein. Stimmt, das ist eigentlich der saubere Sprachgebrauch. Diesen Beitrag teilen Link zum Beitrag
stagflation 30. Januar · bearbeitet 30. Januar von stagflation vor 5 Stunden von hattifnatt: Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht. Verschlüsselte und/oder signierte E-Mails sind aber recht selten. Ich habe es immer mal wieder probiert, aber irgendwann aufgegeben. Das wäre auch ziemlich aufwändig. Es gibt mehrere Verfahren (PGP, S/MIME). Es müssen Schlüssel ausgetauscht werden. Diese können ablaufen und müssen erneuert werden. Sehr aufwändig - und auch an dieser Stelle kann es Betrug geben. Diesen Beitrag teilen Link zum Beitrag
stagflation 31. Januar Hanno Böck weist auf weitere Probleme hin: mit speziell konstruierten E-Rechnungen kann man wohl Sicherheitslücken in gängigen XML Software-Bibliotheken (die in den E-Rechnungs-Programmen verwendet werden) triggern: Wie elektronische Rechnungen zum Sicherheitsrisiko werden (ab Seite 3). Diesen Beitrag teilen Link zum Beitrag
hattifnatt 31. Januar vor 3 Stunden von stagflation: Hanno Böck weist auf weitere Probleme hin: mit speziell konstruierten E-Rechnungen kann man wohl Sicherheitslücken in gängigen XML Software-Bibliotheken (die in den E-Rechnungs-Programmen verwendet werden) triggern: Wie elektronische Rechnungen zum Sicherheitsrisiko werden (ab Seite 3). Und das lässt man dann auf den Mittelstand los, der ja schon damit ausgelastet sein dürfte, seine MSFT-Software hinreichend aktuell zu halten - total crazy. Diesen Beitrag teilen Link zum Beitrag
Cai Shen 31. Januar Letztendlich gibt es seit 11/2025 als zusätzliche Kontrollinstanz noch die SEPA Empfängerüberprüfung, hab seitdem mit einigen Firmen gestritten, die es nicht hinbekommen, den korrekten Empfängernamen in ihren eRechnungen zu hinterlegen. Eine beschreibende XML Datei in ein PDF zu integrieren (wie im Zugpferd Standard) ist sicher keine state-of-the-art Technologie aber im Gegensatz zum Einscannen von Papierbelegen immernoch ein Meilenstein in der täglichen Buchhaltung. Diesen Beitrag teilen Link zum Beitrag
