Hey, hast du schon mal von „Invoice Fraud“ gehört?

13.03.2025

Dabei handelt es sich um eine Betrugsmasche, bei der per E-Mail eine Rechnung an den Empfänger gesendet wird. Entweder ist die Rechnung komplett gefälscht oder – was besonders häufig vorkommt – die Kontonummer wurde manipuliert, sodass das Geld auf ein betrügerisches Konto überwiesen wird. Leider tritt diese Art von Betrug immer häufiger auf und sorgt für großen Ärger. Doch wie funktioniert das Ganze eigentlich technisch?

Es wird oft behauptet, dass E-Mails, ähnlich wie Postkarten, auf dem Transportweg abgefangen und verändert werden können. Das entspricht jedoch nicht der Realität. IT-Experten erklären, dass dies nur selten vorkommt. In den meisten Fällen gelangen die Betrüger durch Phishing an die Zugangsdaten des E-Mail-Postfachs. Dort lesen sie die E-Mail samt Anhang, manipulieren die Bankverbindung und leiten die E-Mail dann weiter. Der Empfänger merkt nichts und überweist das Geld gutgläubig auf das falsche Konto.

Der Betrug fällt oft erst auf, wenn eine Mahnung für die vermeintlich unbezahlte Rechnung eintrifft. Bei einer Überprüfung zeigt sich dann, dass die Bankverbindung gefälscht wurde.

Die rechtlichen Konsequenzen sind gravierend: Die Forderung des Unternehmens, das die Zahlung erwartet, erlischt durch die Überweisung auf das falsche Konto nicht. Der Rechnungsbetrag muss also erneut an die richtige Bankverbindung überwiesen werden – ziemlich ärgerlich!

Auch das Oberlandesgericht (OLG) Schleswig hat sich kürzlich mit so einem Fall beschäftigt. Ein Unternehmen hatte eine Rechnung per E-Mail verschickt, die manipuliert wurde, sodass das Geld auf einem falschen Konto landete. Während das Landgericht Kiel dem klagenden Unternehmen zunächst recht gab, entschied das OLG Schleswig anders.

Der Grund: Das rechnungsstellende Unternehmen hatte die Rechnung nicht „End-to-end“-verschlüsselt, etwa durch PGP oder S/MIME. Bei hohen finanziellen Risiken sei dies jedoch erforderlich, so das OLG. Eine einfache Transportverschlüsselung per TLS reiche nicht aus.

Daher bekam das empfangende Unternehmen einen Gegenanspruch gegen das rechnungsstellende Unternehmen, weil dieses die notwendigen technischen und organisatorischen Maßnahmen gemäß Artikel 32 der DSGVO nicht eingehalten hatte.

Aus rechtlicher Sicht finde ich das Urteil nicht wirklich überzeugend. Vor allem angesichts der gut begründeten Entscheidung der Vorinstanz ist es schwer nachvollziehbar, wie das OLG Schleswig zu diesem Ergebnis kam. Falls die Entscheidung auf die exzellente anwaltliche Vertretung der Gegenseite zurückzuführen ist, gebührt den Anwälten Respekt.

Übrigens: Aus datenschutzrechtlicher Sicht ist bei Rechnungen, die keine Gesundheitsdaten enthalten, keine End-to-end-Verschlüsselung erforderlich. Eine Transportverschlüsselung (z. B. TLS 1.2 oder besser TLS 1.3) reicht in der Regel aus.

Es ist immer eine Herausforderung, gerichtliche Entscheidungen zu hinterfragen, vor allem, wenn die Kritik auf den Folgen des Urteils basiert.

In diesem speziellen Fall ging es um einen Betrag von ca. 15.000 €, der im B2B-Bereich als durchaus üblich angesehen wird und somit, anders als das OLG Schleswig es sieht, kein "hohes finanzielles Risiko" darstellt.

Besonders relevant wird die Entscheidung des OLG Schleswig vor dem Hintergrund, dass ab diesem Jahr Rechnungen im B2B-Bereich ausschließlich in elektronischer Form erstellt und versendet werden müssen („E-Rechnung“). Dies wirft einige Fragen auf, da gängige End-to-end-Verschlüsselungsmethoden wie PGP oder S/MIME in der Unternehmenspraxis kaum verbreitet sind.

Empfehlungen für Unternehmen:

Für Rechnungsempfänger: Bei regelmäßigen Geschäftsbeziehungen oder größeren Beträgen ist es sinnvoll, die Kontonummer des Dienstleisters telefonisch zu bestätigen oder vorab zu erfragen. Dies ist eine bewährte Praxis in der Kreditorenbuchhaltung vieler Unternehmen.
Für Rechnungssteller: Achte darauf, dass deine E-Mail-Server so konfiguriert sind, dass Rechnungen nur mit Transportverschlüsselung (TLS 1.2 oder besser TLS 1.3) versendet werden. Dies entspricht den Anforderungen gemäß Art. 32 DSGVO. Die TLS-Verschlüsselung sollte dabei verpflichtend („strict“) eingestellt sein. Alternativ kannst du Rechnungen über ein sicheres Rechnungsportal bereitstellen, auf dem die Empfänger ein Konto erstellen. Diese Methode wird jedoch oft als umständlich empfunden und wirft rechtliche Fragen in Bezug auf den Zugang zu Rechnungen auf.

Da das Urteil des OLG Schleswig rechtskräftig ist und keine Revision eingelegt wurde, bleibt für Unternehmen in Schleswig-Holstein aktuell wenig Spielraum. In anderen Gerichtsbezirken könnte die Rechtsprechung jedoch anders ausfallen.

Es bleibt spannend, ob der Bundesgerichtshof (BGH) in zukünftigen Fällen, insbesondere bei „Invoice Fraud“, für mehr Klarheit sorgt.

Weiterführende Informationen:

Volltext des Urteils: OLG Schleswig, Urteil vom 18.12.2024, Az.: 12 U 9/24
Urteil der Vorinstanz: LG Kiel, Urteil vom 29.12.2023, Az.: 9 O 110/23

Zurück

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo
_pk_cvar	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo
_pk_hsr	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo

Hey, hast du schon mal von „Invoice Fraud“ gehört?

Kontakt

IT-Beratung aus Hanstedt