stagflation 30. Januar Bei Anwalt.de gibt es einen Artikel, der sich mit dem Thema Betrug bei E-Rechnungen beschäftigt. Zitat E-Rechnung 2026: Einfallstor für Profi-Hacker oder Compliance-Asset? Ihr Leitfaden für ein sicheres Rechnungswesen Das Problem ist, dass die Daten bei einigen Formaten doppelt übertragen werden (einmal für Menschen sichtbar und einmal für Computer lesbar). Ein Angriff könnte folgendermaßen aussehen: Zitat Infiltration: Der Angreifer verschafft sich Zugang zu einem E-Mail-Konto, oft über klassisches Credential-Phishing oder Sicherheitslücken in Home-Office-Schnittstellen. Observation: Der Hacker wird zum „stillen Mitleser“. Er identifiziert Lieferanten mit hohen Rechnungssummen und versteht die Zahlungsintervalle. Die Manipulation: Kurz vor Eintreffen einer erwarteten Rechnung fängt der Angreifer die Original-Mail ab oder sendet eine täuschend echte Korrektur-Mail hinterher, die eine „Kontoumstellung auf E-Invoicing-Standard“ vorgibt. Der Austausch: Die IBAN im XML-Datensatz oder im PDF wird durch ein Konto der Betrüger ersetzt. Der Point of no Return: Da die Rechnung erwartet wurde, schöpft niemand Verdacht. Die Buchhaltung weist die Zahlung an – der Betrug fällt oft erst Wochen später auf, wenn die Mahnung des echten Lieferanten eintrifft. Von daher sollte jeder, der mit E-Rechnungen zu tun hat, besonders aufpassen. Ein Abgleich aller Daten zwischen computer- und menschenlesbarem Teil ist unbedingt erforderlich. Auch wenn das aufwändig ist und Zeit kostet. Außerdem sollte man besonders skeptisch bei allen unerwarteten Änderungen wie IBAN & Co sein. Zumal Angreifer alles versuchen werden, um diese zu vertuschen oder plausibel erscheinen zu lassen. Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar vor 4 Stunden von stagflation: Von daher sollte jeder, der mit E-Rechnungen zu tun hat, besonders aufpassen. Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht. Diesen Beitrag teilen Link zum Beitrag
franko 30. Januar vor 30 Minuten von hattifnatt: Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht. Ist es nicht viel wichtiger, dass die Rechnungen signiert sind (und die Signatur beim Empfänger auch geprüft wird)? Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar vor 3 Stunden von franko: Ist es nicht viel wichtiger, dass die Rechnungen signiert sind (und die Signatur beim Empfänger auch geprüft wird)? Naja, Verschlüsseln impliziert Signieren ... Diesen Beitrag teilen Link zum Beitrag
chirlu 30. Januar vor 2 Minuten von hattifnatt: Verschlüsseln impliziert Signieren ... Nein, keinesfalls. Das sind zwei unabhängige Vorgänge, die man kombinieren kann, aber nicht muss. Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar · bearbeitet 30. Januar von hattifnatt OK, also anders herum: Beim Signieren wird immer eine asymmetrische Verschlüsselung benützt, sind wir uns da einig? (Edit: Und ja, ich verwende "Verschlüsselung" etwas schlampig-umgangssprachlich für "Kryptographie" ). Diesen Beitrag teilen Link zum Beitrag
chirlu 30. Januar · bearbeitet 30. Januar von chirlu vor einer Stunde von hattifnatt: also anders herum: Beim Signieren wird immer eine asymmetrische Verschlüsselung benützt, sind wir uns da einig? Hmmm … Um das zu beantworten, bräuchte man klare Definitionen der Begriffe, insbesondere was „eine asymmetrische Verschlüsselung“ meint. Man braucht auf jeden Fall ein asymmetrisches Kryptosystem, aber es muss nicht zum Verschlüsseln geeignet sein. Es gibt Kryptosysteme, mit denen man verschlüsseln und signieren kann (z.B. RSA), und andere, mit denen man keine Nachrichten verschlüsseln kann. Diesen Beitrag teilen Link zum Beitrag
hattifnatt 30. Januar vor 17 Minuten von chirlu: Man braucht auf jeden Fall ein asymmetrisches Kryptosystem, aber es muss nicht zum Verschlüsseln geeignet sein. Stimmt, das ist eigentlich der saubere Sprachgebrauch. Diesen Beitrag teilen Link zum Beitrag
stagflation 30. Januar · bearbeitet 30. Januar von stagflation vor 5 Stunden von hattifnatt: Wenn man solche Daten per Email schickt, sind eigentlich verschlüsselte Emails Pflicht. Verschlüsselte und/oder signierte E-Mails sind aber recht selten. Ich habe es immer mal wieder probiert, aber irgendwann aufgegeben. Das wäre auch ziemlich aufwändig. Es gibt mehrere Verfahren (PGP, S/MIME). Es müssen Schlüssel ausgetauscht werden. Diese können ablaufen und müssen erneuert werden. Sehr aufwändig - und auch an dieser Stelle kann es Betrug geben. Diesen Beitrag teilen Link zum Beitrag
stagflation 31. Januar Hanno Böck weist auf weitere Probleme hin: mit speziell konstruierten E-Rechnungen kann man wohl Sicherheitslücken in gängigen XML Software-Bibliotheken (die in den E-Rechnungs-Programmen verwendet werden) triggern: Wie elektronische Rechnungen zum Sicherheitsrisiko werden (ab Seite 3). Diesen Beitrag teilen Link zum Beitrag
hattifnatt 31. Januar vor 3 Stunden von stagflation: Hanno Böck weist auf weitere Probleme hin: mit speziell konstruierten E-Rechnungen kann man wohl Sicherheitslücken in gängigen XML Software-Bibliotheken (die in den E-Rechnungs-Programmen verwendet werden) triggern: Wie elektronische Rechnungen zum Sicherheitsrisiko werden (ab Seite 3). Und das lässt man dann auf den Mittelstand los, der ja schon damit ausgelastet sein dürfte, seine MSFT-Software hinreichend aktuell zu halten - total crazy. Diesen Beitrag teilen Link zum Beitrag
Cai Shen 31. Januar Letztendlich gibt es seit 11/2025 als zusätzliche Kontrollinstanz noch die SEPA Empfängerüberprüfung, hab seitdem mit einigen Firmen gestritten, die es nicht hinbekommen, den korrekten Empfängernamen in ihren eRechnungen zu hinterlegen. Eine beschreibende XML Datei in ein PDF zu integrieren (wie im Zugpferd Standard) ist sicher keine state-of-the-art Technologie aber im Gegensatz zum Einscannen von Papierbelegen immernoch ein Meilenstein in der täglichen Buchhaltung. Diesen Beitrag teilen Link zum Beitrag
stagflation 5. März · bearbeitet 5. März von stagflation Günter Born versucht verzweifelt, gültige E-Rechnungen zu erstellen. Zwischenzeitlich hatte er ein Tool, das ihm gefallen hat (Fakturama). Leider hat einer seiner Kunden seine mit Fakturama generierte E-Rechnung abgelehnt, da es einen Fehler bei der Validierung gab. Seine eigenen Tools (Quba Viewer, Openindex ZUGFeRD Manager) zeigten das Dokument hingegen als valide an. Siehe: https://borncity.com/blog/2026/02/28/meine-pleite-mit-zugferd-erechnungen-und-der-validierung-teil-4 Unter dem Artikel (und vor den Kommentaren) gibt es ein Inhaltsverzeichnis mit seinen bisherigen Posts und den Programmen, die er bisher getestet hat. Diesen Beitrag teilen Link zum Beitrag
mmusterm 5. März 5 hours ago, stagflation said: Hanno Böck Der Autor des verlinkten Artikels heißt Günter Born. Diesen Beitrag teilen Link zum Beitrag
stagflation 5. März Stimmt! Ich habe es oben korrigiert. Danke! Diesen Beitrag teilen Link zum Beitrag
stagflation Sonntag um 23:26 · bearbeitet Sonntag um 23:32 von stagflation Ein weiterer Artikel bei Anwalt.de. Es geht um Rechnungen, die man per E-Mail erhält. Sowohl E-Rechnungen, als auch konventionelle Rechnungen im PDF-Format. Zitat IBAN-Betrug bei Rechnungen explodiert – Kanzlei warnt vor wachsender Gefahr bei Handwerker- und Bauprojekten Täuschend echte Rechnungen – Geld verschwindet spurlos Die Täter gehen hochprofessionell vor: Sie greifen E-Mail-Kommunikation ab oder manipulieren Rechnungen gezielt, indem sie lediglich die IBAN austauschen. Für die Betroffenen ist der Betrug kaum erkennbar, da alle übrigen Rechnungsdaten korrekt erscheinen. „Viele Mandanten sind völlig überrascht, wenn sich herausstellt, dass die Zahlung nicht beim tatsächlichen Dienstleister angekommen ist“, erklärt Rechtsanwalt Kemal Eser, Fachanwalt für Bank- und Kapitalmarktrecht, Gründer der Kanzlei ESER LAW. „In der Praxis geht es häufig um fünfstellige Beträge, die innerhalb kürzester Zeit ins Ausland oder auf sogenannte Betrugskonten weitergeleitet werden.“ Wie kann man sich dagegen wehren? Zuallererst sollte man immer im Hinterkopf behalten, dass E-Mails oder Rechnungen in E-Mails auf dem Weg zwischen Lieferanten und Kunden manipuliert werden können - und dass es Betrüger gibt, die das machen. Wenn man eine Rechnung per E-Mail erhält, sollte man vor einer Überweisung die IBAN überprüfen. Man kann sie mit der IBAN von früheren Rechnungen/Zahlungen vergleichen. Oder mit der IBAN auf der Website oder auf dem Geschäftspapier des Lieferanten. Wenn es eine ausländische IBAN ist, sollte man nicht überweisen und besser noch einmal beim Lieferanten nachfragen. Außerdem sollte man den Namen des Zahlungsempfängers in der Rechnung überprüfen. Auch dieser kann manipuliert worden sein. Wenn man in der Überweisungsmaske den Hinweis bekommt, dass IBAN und Empfänger nicht exakt übereinstimmen, sollte man aufhören. Diesen Beitrag teilen Link zum Beitrag
SlowHand7 Sonntag um 23:41 vor 10 Minuten von stagflation: Wie kann man sich dagegen wehren? Zuallererst sollte man immer im Hinterkopf behalten, dass E-Mails oder Rechnungen in E-Mails auf dem Weg zwischen Lieferanten und Kunden manipuliert werden können - und dass es Betrüger gibt, die das machen. Dagegen kann man sich wohl mit gesundem Menschenverstand wehren und die Daten prüfen. Mich nervt eher dass ich seit diesem Jahr wöchentlich etwa 3 Rechnungen von Firmen bekomme die ich gar nicht kenne. Diesen Beitrag teilen Link zum Beitrag
Sapine Montag um 06:09 Wobei darunter auch Rechnungen sein können, die berechtigt sind. Mein Zahnarzt hat das Thema Rechnungsstellung beispielsweise ausgegliedert und die Rechnungen kommen ganz woanders her. Diesen Beitrag teilen Link zum Beitrag
