Gefälschte Rechnungen per E-Mail: Wenn manipulierte PDFs zur Falle werden

Rechnungen per E-Mail sind Standard, aber zunehmend gefährlich 
Viele Unternehmen versenden oder empfangen regelmäßig Rechnungen als PDF per E-Mail. Inzwischen kommt es vermehrt vor, dass diese Rechnungen unterwegs abgefangen und manipuliert werden. Die Häufigkeit der Meldungen bei der Cyberhotline der Digitalagentur Berlin darüber nahmen zuletzt spürbar zu.  

Die E-Mails stammen immer noch vom echten Absender, doch die IBAN wurde unbemerkt ausgetauscht. Unternehmenskunden überweisen den Betrag meist ohne Verdacht zu schöpfen. Das macht die Masche besonders heimtückisch, denn der Betrug fällt oft erst später nach Rechnungsschluss auf. Es folgt Stress auf beiden Seiten: Kundinnen und Kunden befürchten das Schlimmste, Unternehmen entsteht ein finanzieller Schaden.  

Wie funktioniert das im Detail 

Kriminelle verschaffen sich Zugang zu E-Mail-Kommunikationswegen. Möglich sind kompromittierte Postfächer, manipulierte Weiterleitungen oder sogenannte Man-in-the-Middle-Angriffe. Die E-Mail selbst bleibt authentisch, inklusive Absenderadresse und Signatur. Lediglich der Anhang oder der angezeigte Text wird verändert, bevor er den Empfänger erreicht. Meist wird nur die Bankverbindung ausgetauscht, oft sogar gegen eine deutsche oder europäische IBAN, um kein Misstrauen zu wecken.  

Typische Szenarien 

• Abgefangene Lieferantenrechnung mit geänderter IBAN 

• Manipuliertes Angebot oder Bestellung mit falschen Zahlungsdetails 

• Angepasste Ausgangsrechnung, die den Empfänger zur Überweisung auf ein fremdes Konto veranlasst 

• E-Mail eines langjährigen Geschäftspartners mit angeblich neuer Bankverbindung und dringender Zahlungsaufforderung 

Woran Sie Manipulation erkennen können 

• Plötzliche Änderung der Bankverbindung, insbesondere ins Ausland 

• Ungewohnte Formulierungen oder leichte Abweichungen in Sprache und Layout 

• PDF-Metadaten mit neuen oder ungewöhnlichen Bearbeitungsdaten 

• Unterschied zwischen der Kontoverbindung im Dokument und den bisherigen Stammdaten 

• Auffällig hohe Dringlichkeit oder untypische Zahlungsfristen 

Schutzmaßnahmen für Unternehmen  

1. Feste Prozesse etablieren 

• Bankverbindungsänderungen immer über einen zweiten Kommunikationsweg bestätigen 

• Vier-Augen-Prinzip bei Zahlungen ab einer festgelegten Summe einführen 

2. Technische Sicherheit erhöhen 

• Multi-Faktor-Authentifizierung für alle E-Mail-Konten aktivieren 

• Sichere Passwörter und Passwortmanager einsetzen 

• E-Mail-Weiterleitungsregeln regelmäßig prüfen und unautorisierte Einträge entfernen 

• Transportverschlüsselung (TLS) für alle Mailserver erzwingen 

• Passwortschutz für PDF-Rechnungen nutzen: Das Dokument wird vor dem Versand verschlüsselt und kann nur mit einem vorher vereinbarten Kennwort geöffnet werden. Das Kennwort muss über einen sicheren, separaten Kanal mitgeteilt werden, zum Beispiel telefonisch. Vorteil: Manipulation wird erschwert. Einschränkung: Der zusätzliche Aufwand muss in den Arbeitsalltag integriert werden 

• IBAN ausschließlich auf der offiziellen Unternehmenswebseite nennen: Wenn Kundinnen und Kunden wissen, dass gültige Bankdaten ausschließlich dort stehen, lassen sich Abweichungen leichter erkennen. Vorteil: Reduziert das Risiko, dass Empfänger falschen Angaben in einer Rechnung vertrauen. Einschränkung: Der Link muss bekannt, vertrauenswürdig und gegen Manipulation geschützt sein 

3. Mitarbeitende sensibilisieren 

• Buchhaltung und Einkauf gezielt zu dieser Betrugsmasche schulen 

• Klare interne Regeln für den Umgang mit Bankverbindungsänderungen festlegen 

• Verdachtsfälle sofort an IT oder Vorgesetzte melden 

• Awareness-Trainings und Tests regelmäßig wiederholen 

4. Im Betrugsfall schnell handeln 

Sollten Sie sich unsicher sein, ob ein Betrugsfall vorliegt, wenden Sie sich an die kostenlose Cyberhotline der Digitalagentur Berlin unter 0800 360 30 60. Im Rahmen der Digitalen Ersten Hilfe finden wir gemeinsam heraus, ob und was passiert ist und welche nächsten Schritte sinnvoll sind. In jedem Fall sollten Sie: 

• Die Überweisung umgehend bei der Bank stoppen 

• Ihre IT-Abteilung oder externen Dienstleister informieren 

• Geschäftspartner warnen, damit keine weiteren manipulierten Mails verschickt werden 

• Alle Belege sichern, inklusive E-Mails, Anhänge und Screenshots 

Sollte ein Betrugsfall vorliegen, wenden Sie sich für eine Anzeige an die Berliner Polizei oder die Zentrale Ansprechstelle Cybercrime (ZAC) des LKA Berlin.  

Wichtiger Hinweis zur E-Rechnung 
Ein PDF per E-Mail ist keine E-Rechnung. E-Rechnungen sind strukturierte, maschinenlesbare Dateien, meist im XML-Format, die automatisch verarbeitet werden können. Sie erfüllen gesetzliche Anforderungen, können qualifiziert signiert werden und bieten deutlich mehr Sicherheit vor Manipulationen. Die DAB bietet gesonderte Orientierungsgespräche zur sicheren Einführung und Nutzung von E-Rechnungen an. 

Fazit 

Manipulierte PDF-Rechnungen sind ein wachsendes Risiko und können selbst langjährige Geschäftsbeziehungen betreffen. Besonders gefährlich ist, dass die E-Mail vom echten Absender kommt und der Betrug daher nur schwer zu erkennen ist. Mit klaren Prozessen, technischer Sicherheit und geschultem Personal lässt sich das Risiko deutlich senken. Die DAB unterstützt Sie in einem kostenfreien Orientierungsgespräch bei der Prüfung Ihrer Abläufe und Systeme – und berät Sie auch zur sicheren Umstellung auf E-Rechnungen. 

Jetzt kostenfreies DAB Orientierungsgespräch vereinbaren.