Cyberkriminelle nutzen zunehmend Schwachstellen in der digitalen Kommunikation, um Rechnungsdokumente zu manipulieren. Dies führt dazu, dass Zahlungen auf falsche Konten umgeleitet werden, was Unternehmen und Vereine vor erhebliche Herausforderungen stellt.
Erneuter Fall der Rechnungsmanipulation
Vor dem LG Rostock (Urteil vom 20.11.2024) wurde nun ein weiterer Fall zur Rechnungsmanipulation verhandelt. Ein Handwerksbetrieb versandte eine Abschlagsrechnung per E-Mail. Kurz darauf erhielt die Kundin eine gefälschte Rechnung mit geänderter Bankverbindung und beglich den Betrag an das falsche Konto. Der Handwerksbetrieb forderte daraufhin die Zahlung erneut ein. Das LG Rostock entschied, dass die Kundin erneut zahlen müsse, da die Schuld nicht getilgt sei.
Während das OLG Schleswig in einem ähnlichen Fall zugunsten des Kunden entschied, kommt das LG Rostock zu einem anderen Ergebnis: Die Kundin muss trotz Fehlüberweisung erneut zahlen.
Abweichung vom OLG Schleswig: Keine generelle Verschlüsselungspflicht
Das OLG Schleswig hatte in einem ähnlichen Fall argumentiert, dass Unternehmen für unzureichende Sicherheitsmaßnahmen haftbar seien und eine Ende-zu-Ende-Verschlüsselung erforderlich sei. Das LG Rostock hingegen sieht keine allgemeine Verpflichtung zu einer solchen Verschlüsselung, da die DSGVO primär personenbezogene Daten schützt und eine direkte Verletzung nicht nachweisbar war.
Die Kundin hätte außerdem die Hinweise auf die Manipulation, wie die fehlerhaften Zeichen oder die geänderte Bankverbindung erkennen müssen.
Wie werden E-Mails abgefangen und manipuliert?
Cyberkriminelle setzen auf verschiedene Techniken, um in die E-Mail-Kommunikation einzudringen. Besonders häufig nutzen sie:
- Man-in-the-Middle-Angriffe: Hierbei wird der E-Mail-Verkehr abgefangen und unbemerkt verändert.
- Phishing und Social Engineering: Nutzer werden durch gefälschte E-Mails oder Login-Seiten dazu gebracht, Zugangsdaten preiszugeben.
- Malware und Trojaner: Schadsoftware, die E-Mails ausspioniert und weiterleitet.
- Spoofing: Angreifer fälschen die Absenderadresse, um vertrauenswürdig zu erscheinen.
- Reply-Chain-Attacken: Angreifer übernehmen ein E-Mail-Konto und setzen eine bestehende E-Mail-Kommunikation mit einer manipulierten Nachricht fort.
- E-Mail-Weiterleitungsregeln: Cyberkriminelle richten oft unbemerkt automatische Weiterleitungen ein, um E-Mails mitzulesen oder zu manipulieren.
Bei manipulierten Rechnungen ersetzen Angreifer oft unauffällig die Bankverbindung oder verändern Dateianhänge, sodass Kunden unbemerkt Zahlungen an falsche Konten leisten.
Warum schützt Ende-zu-Ende-Verschlüsselung?
Bei herkömmlicher Transportverschlüsselung wird die E-Mail nur auf dem Übertragungsweg gesichert – nicht aber auf den Mailservern. Angreifer, die Zugriff auf Server oder zwischengeschaltete Systeme haben, können Nachrichten weiterhin lesen oder manipulieren.
Ende-zu-Ende-Verschlüsselung hingegen stellt sicher, dass nur Sender und Empfänger die Nachricht entschlüsseln können.
Was bedeutet das für Unternehmen und Vereine?
Neben der von mir bevorzugten Kombination aus Transportverschlüsselung und einer digitalen Signatur, ist es auch sinnvoll, Kunden und Geschäftspartner zu sensibilisieren, Rechnungen sorgfältig zu prüfen.
Cyberangriffe, insbesondere Phishing oder Spoofing, nutzen menschliche Fehler aus. Regelmäßige Schulungen und Hinweise, wie legitime Rechnungen aussehen und woran Manipulationen erkennbar sind, können das Risiko senken. Verantwortliche sollten zudem klare Kommunikationswege für Rechnungsanfragen etablieren (z. B. Rückruf zur Verifizierung bei Kontoänderungen). Eine manuelle Überprüfung von Bankverbindungen bei ungewöhnlich hohen Rechnungen oder bei erstmaliger Zahlung an einen neuen Geschäftspartner können die die Risiken weiter senken.
Eine sichere Alternative kann auch der Rechnungsdownload über ein geschütztes Kundenportal sein, um das Risiko von Manipulationen in der E-Mail-Kommunikation zu minimieren.
