Zum Inhalt springen
Melde dich an, um diesem Inhalt zu folgen  
Folgen diesem Inhalt 0
stagflation

Betrug bei E-Rechnungen

Von stagflation, in Software und Technik

Empfohlene Beiträge

stagflation   

stagflation

Bei Anwalt.de gibt es einen Artikel, der sich mit dem Thema Betrug bei E-Rechnungen beschäftigt. 

Zitat

 

E-Rechnung 2026: Einfallstor für Profi-Hacker oder Compliance-Asset? Ihr Leitfaden für ein sicheres Rechnungswesen

 

 

Das Problem ist, dass die Daten bei einigen Formaten doppelt übertragen werden (einmal für Menschen sichtbar und einmal für Computer lesbar). Ein Angriff könnte folgendermaßen aussehen:

Zitat
  1. Infiltration: Der Angreifer verschafft sich Zugang zu einem E-Mail-Konto, oft über klassisches Credential-Phishing oder Sicherheitslücken in Home-Office-Schnittstellen.
  2. Observation: Der Hacker wird zum „stillen Mitleser“. Er identifiziert Lieferanten mit hohen Rechnungssummen und versteht die Zahlungsintervalle.
  3. Die Manipulation: Kurz vor Eintreffen einer erwarteten Rechnung fängt der Angreifer die Original-Mail ab oder sendet eine täuschend echte Korrektur-Mail hinterher, die eine „Kontoumstellung auf E-Invoicing-Standard“ vorgibt.
  4. Der Austausch: Die IBAN im XML-Datensatz oder im PDF wird durch ein Konto der Betrüger ersetzt.
  5. Der Point of no Return: Da die Rechnung erwartet wurde, schöpft niemand Verdacht. Die Buchhaltung weist die Zahlung an – der Betrug fällt oft erst Wochen später auf, wenn die Mahnung des echten Lieferanten eintrifft.

 

Von daher sollte jeder, der mit E-Rechnungen zu tun hat, besonders aufpassen. Ein Abgleich aller Daten zwischen computer- und menschenlesbarem Teil ist unbedingt erforderlich. Auch wenn das aufwändig ist und Zeit kostet. Außerdem sollte man besonders skeptisch bei allen unerwarteten Änderungen wie IBAN & Co sein. Zumal Angreifer alles versuchen werden, um diese zu vertuschen oder plausibel erscheinen zu lassen.

Diesen Beitrag teilen

Link zum Beitrag

hattifnatt   

hattifnatt
vor 4 Stunden von stagflation:

Von daher sollte jeder, der mit E-Rechnungen zu tun hat, besonders aufpassen.

Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht.

Diesen Beitrag teilen

Link zum Beitrag

franko   

franko
vor 30 Minuten von hattifnatt:

Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht.

Ist es nicht viel wichtiger, dass die Rechnungen signiert sind (und die Signatur beim Empfänger auch geprüft wird)?

Diesen Beitrag teilen

Link zum Beitrag

hattifnatt   

hattifnatt
vor 3 Stunden von franko:

Ist es nicht viel wichtiger, dass die Rechnungen signiert sind (und die Signatur beim Empfänger auch geprüft wird)?

Naja, Verschlüsseln impliziert Signieren ...

Diesen Beitrag teilen

Link zum Beitrag

chirlu   

chirlu
vor 2 Minuten von hattifnatt:

Verschlüsseln impliziert Signieren ...

 

Nein, keinesfalls. Das sind zwei unabhängige Vorgänge, die man kombinieren kann, aber nicht muss.

Diesen Beitrag teilen

Link zum Beitrag

hattifnatt   

hattifnatt
· bearbeitet von hattifnatt

OK, also anders herum: Beim Signieren wird immer eine asymmetrische Verschlüsselung benützt, sind wir uns da einig?

(Edit: Und ja, ich verwende "Verschlüsselung" etwas schlampig-umgangssprachlich für "Kryptographie" ;)).

Diesen Beitrag teilen

Link zum Beitrag

chirlu   

chirlu
· bearbeitet von chirlu
vor einer Stunde von hattifnatt:

also anders herum: Beim Signieren wird immer eine asymmetrische Verschlüsselung benützt, sind wir uns da einig?

 

Hmmm … Um das zu beantworten, bräuchte man klare Definitionen der Begriffe, insbesondere was „eine asymmetrische Verschlüsselung“ meint. Man braucht auf jeden Fall ein asymmetrisches Kryptosystem, aber es muss nicht zum Verschlüsseln geeignet sein. Es gibt Kryptosysteme, mit denen man verschlüsseln und signieren kann (z.B. RSA), und andere, mit denen man keine Nachrichten verschlüsseln kann.

Diesen Beitrag teilen

Link zum Beitrag

hattifnatt   

hattifnatt
vor 17 Minuten von chirlu:

Man braucht auf jeden Fall ein asymmetrisches Kryptosystem, aber es muss nicht zum Verschlüsseln geeignet sein.

Stimmt, das ist eigentlich der saubere Sprachgebrauch.

Diesen Beitrag teilen

Link zum Beitrag

stagflation   

stagflation
· bearbeitet von stagflation
vor 5 Stunden von hattifnatt:

Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht.

 

Verschlüsselte und/oder signierte E-Mails sind aber recht selten. Ich habe es immer mal wieder probiert, aber irgendwann aufgegeben.

 

Das wäre auch ziemlich aufwändig. Es gibt mehrere Verfahren (PGP, S/MIME). Es müssen Schlüssel ausgetauscht werden. Diese können ablaufen und müssen erneuert werden. Sehr aufwändig - und auch an dieser Stelle kann es Betrug geben.

Diesen Beitrag teilen

Link zum Beitrag

stagflation   

stagflation

Hanno Böck weist auf weitere Probleme hin: mit speziell konstruierten E-Rechnungen kann man wohl Sicherheitslücken in gängigen XML Software-Bibliotheken (die in den E-Rechnungs-Programmen verwendet werden) triggern: Wie elektronische Rechnungen zum Sicherheitsrisiko werden (ab Seite 3).

Diesen Beitrag teilen

Link zum Beitrag

hattifnatt   

hattifnatt
vor 3 Stunden von stagflation:

Hanno Böck weist auf weitere Probleme hin: mit speziell konstruierten E-Rechnungen kann man wohl Sicherheitslücken in gängigen XML Software-Bibliotheken (die in den E-Rechnungs-Programmen verwendet werden) triggern: Wie elektronische Rechnungen zum Sicherheitsrisiko werden (ab Seite 3).

Und das lässt man dann auf den Mittelstand los, der ja schon damit ausgelastet sein dürfte, seine MSFT-Software hinreichend aktuell zu halten - total crazy.

Diesen Beitrag teilen

Link zum Beitrag

Cai Shen   

Cai Shen

Letztendlich gibt es seit 11/2025 als zusätzliche Kontrollinstanz noch die SEPA Empfängerüberprüfung, hab seitdem mit einigen Firmen gestritten, die es nicht hinbekommen, den korrekten Empfängernamen in ihren eRechnungen zu hinterlegen.

Eine beschreibende XML Datei in ein PDF zu integrieren (wie im Zugpferd Standard) ist sicher keine state-of-the-art Technologie aber im Gegensatz zum Einscannen von Papierbelegen immernoch ein Meilenstein in der täglichen Buchhaltung.

Diesen Beitrag teilen

Link zum Beitrag

stagflation   

stagflation
· bearbeitet von stagflation

Günter Born versucht verzweifelt, gültige E-Rechnungen zu erstellen. Zwischenzeitlich hatte er ein Tool, das ihm gefallen hat (Fakturama). Leider hat einer seiner Kunden seine mit Fakturama generierte E-Rechnung abgelehnt, da es einen Fehler bei der Validierung gab. Seine eigenen Tools (Quba Viewer, Openindex ZUGFeRD Manager) zeigten das Dokument hingegen als valide an.

 

Siehe: https://borncity.com/blog/2026/02/28/meine-pleite-mit-zugferd-erechnungen-und-der-validierung-teil-4

 

Unter dem Artikel (und vor den Kommentaren) gibt es ein Inhaltsverzeichnis mit seinen bisherigen Posts und den Programmen, die er bisher getestet hat.

Diesen Beitrag teilen

Link zum Beitrag

mmusterm   

mmusterm
5 hours ago, stagflation said:

Hanno Böck

Der Autor des verlinkten Artikels heißt Günter Born.

Diesen Beitrag teilen

Link zum Beitrag

stagflation   

stagflation

Stimmt! Ich habe es oben korrigiert. Danke!

Diesen Beitrag teilen

Link zum Beitrag

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesem Inhalt zu folgen  
Folgen diesem Inhalt 0
Gehe zur Themenübersicht
×
×
  • Neu erstellen...