Kategorie: Maßnahmen

Auf Rechner ist eine E-Rechnung zu sehen, hinter Rechner steht ein Cyber-Krimineller

Transportverschlüsselung reicht nicht aus beim Versand von E-Rechnung

Die Einführung der E-Rechnungspflicht ab dem 01.01.2025 markiert einen wichtigen Meilenstein in der Digitalisierung des Rechnungswesens. Fortan müssen B2B-Rechnungen in standardisierten, maschinenlesbaren Formaten wie XRechnung oder ZUGFeRD erstellt werden. Auch der Versand per E-Mail bleibt weiterhin möglich, was die Effizienz im Rechnungsprozess steigert – jedoch auch neue Sicherheitsanforderungen mit sich bringt. E-Mails sind ein zentraler Bestandteil des E-Rechnungsprozesses, aber gleichzeitig anfällig für Cyber-Angriffe wie Phishing, Spam, Ransomware oder Malware. Diese Bedrohungen können dazu führen, dass Rechnungen manipuliert, abgefangen oder sogar missbräuchlich verändert werden. Um solche Risiken zu minimieren, ist der Schutz der E-Mail-Kommunikation unverzichtbar.

Transportverschlüsselung reicht nicht aus bei Versand von E-Rechnung

Ein Urteil des Oberlandesgerichts (OLG) Schleswig vom 18.12.2024 (Az. 12 U 9/24) zeigt, dass mangelhafte Sicherheitsvorkehrungen dazu führen können, dass Unternehmen am Ende auf unbezahlten Forderungen sitzen bleiben.

Der Fall: Manipulierte Rechnung führt zur Fehlüberweisung

Im vorliegenden Fall erhielt ein Privatkunde eine Handwerkerrechnung über 15.000 € per E-Mail. Unbemerkt wurde diese unbefugt manipuliert, sodass die Bankverbindung verändert war. Der Kunde überwies den Betrag daraufhin an einen unbekannten Dritten. Erst später fiel der Betrug auf. Als der Handwerksbetrieb die Zahlung einforderte, verweigerte der Kunde diese mit der Begründung, bereits gezahlt zu haben. Zudem argumentierte er, dass die unsichere E-Mail-Kommunikation des Unternehmens den Betrug ermöglicht habe.

OLG: Unternehmen haftet für unzureichende Datensicherheit

Das Gericht entschied, dass die Überweisung auf das falsche Konto die Zahlungspflicht gegenüber dem Handwerksbetrieb nicht erfüllte. Allerdings könne der Kunde einen Schadensersatzanspruch nach Art. 82 DSGVO geltend machen. Der Handwerksbetrieb habe beim Versand der Rechnung gegen zentrale Datenschutzgrundsätze (Artt. 5, 24, 32 DSGVO) verstoßen, da die E-Mail nicht ausreichend geschützt war.

Transportverschlüsselung reicht nicht aus!

Besonders brisant: Das OLG stellte klar, dass die verwendete Transportverschlüsselung nicht den Anforderungen der DSGVO entsprach. Aufgrund des hohen Betrugsrisikos reiche diese Methode nicht aus, um personenbezogene Daten wie Bankverbindungen sicher zu übermitteln. Das Gericht empfahl stattdessen eine Ende-zu-Ende-Verschlüsselung.

Ende-zu-Ende-Verschlüsselung als Standard

Auch wenn eine Ende-zu-Ende-Verschlüsselung zusätzlichen technischen Aufwand erfordere, sei dies keine unzumutbare Belastung. Angesichts der steigenden Cyberkriminalität und bekannten Angriffsmethoden müsse auch ein mittelständisches Unternehmen geeignete Maßnahmen zur IT-Sicherheit ergreifen. Dazu gehören der Einsatz sicherer Software und die Beratung durch IT-Experten.

Fazit: Unternehmen müssen Sicherheitsstandards anpassen

Das Urteil setzt ein klares Signal: Unternehmen, die Rechnungen per E-Mail versenden, müssen für ausreichenden Datenschutz sorgen. Die alleinige Nutzung einer Transportverschlüsselung ist nach Ansicht des Gerichts nicht genug.

Die DSGVO gibt jedoch keine verbindliche Verschlüsselungsmethode vor, sondern verlangt einen risikobasierten Ansatz. Unternehmen müssen angemessene Schutzmaßnahmen ergreifen, die sich am individuellen Risiko orientieren. Eine generelle Verpflichtung zur Ende-zu-Ende-Verschlüsselung wäre mit diesem flexiblen Ansatz kaum vereinbar und würde die unternehmerische Entscheidungsfreiheit einschränken. Derzeit ist Ende-zu-Ende-Verschlüsselung im B2C-Bereich nicht etabliert, da viele Verbraucher nicht über die notwendigen technischen Mittel oder Kenntnisse verfügen. Technologien wie OpenPGP oder S/MIME erfordern spezielle Software und Know-how. Eine verpflichtende Ende-zu-Ende-Verschlüsselung könnte daher die Kommunikation zwischen Unternehmen und Kunden erheblich erschweren oder sogar verhindern.

Kombination aus Transportverschlüsselung

Aus meiner Sicht bietet die Kombination aus Transportverschlüsselung und einer digitalen Signatur bereits ein hohes Sicherheitsniveau. Die digitale Signatur stellt die Authentizität und Integrität der E-Mail sicher und kann Manipulationen verhindern, ohne die Kommunikation unnötig zu verkomplizieren.

Ein digitales Zertifikat dient dabei als Nachweis der Echtheit des Absenders. Es wird von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und enthält den öffentlichen Schlüssel sowie die Identitätsdaten des Absenders. Beim Signieren einer E-Mail wird die Nachricht mit dem privaten Schlüssel des Absenders verschlüsselt, während der Empfänger die Signatur mit dem öffentlichen Schlüssel aus dem Zertifikat überprüft. So kann sichergestellt werden, dass die E-Mail tatsächlich von der angegebenen Person stammt und nicht nachträglich verändert wurde.

 

 

Rechtsanwalt Robert Harzewski

E-Rechnnug

Die E-Rechnungspflicht ab 2025

Ab dem 1. Januar 2025 tritt in Deutschland die verpflichtende Nutzung von elektronischen Rechnungen (E-Rechnungen) im B2B-Bereich in Kraft. Dieser Schritt markiert einen bedeutenden Fortschritt in der Digitalisierung des Rechnungswesens. Doch was bedeutet das konkret? Und welche Maßnahmen sollten Unternehmen ergreifen, um sich optimal auf die neuen Anforderungen vorzubereiten? Hier finden Sie die wichtigsten Informationen im Überblick.

 

Was ändert sich mit der E-Rechnungspflicht?

Zukünftig müssen Rechnungen zwischen Unternehmen in standardisierten, maschinenlesbaren Formaten wie XRechnung oder ZUGFeRD erstellt werden. Diese Formate ermöglichen es, Rechnungsdaten automatisiert zu verarbeiten, was die Effizienz und Genauigkeit im Rechnungsprozess erheblich steigert.

Der Versand der E-Rechnungen bleibt weiterhin über E-Mail möglich, allerdings bringt dies auch neue Herausforderungen in puncto Sicherheit mit sich. Besonders für Vereine, die unternehmerisch tätig sind, gilt diese Verpflichtung ebenfalls. Details hierzu finden Sie im FAQ des Bundesministeriums der Finanzen.

 

E-Mail-Sicherheit: Ein unverzichtbarer Schutzschild

Die Nutzung von E-Mails als Versandweg für E-Rechnungen ist praktisch – jedoch auch risikobehaftet. Angriffe wie Phishing, Spam, Ransomware oder Malware können dazu führen, dass Rechnungen abgefangen, manipuliert oder missbräuchlich verwendet werden. Deshalb ist ein umfassender Schutz der E-Mail-Kommunikation unverzichtbar.

 

Welche Sicherheitsmaßnahmen sind erforderlich?

Um potenzielle Angriffe frühzeitig abzuwehren, sollten Unternehmen sowohl den eingehenden als auch den ausgehenden E-Mail-Verkehr absichern. Folgende Lösungen bieten effektiven Schutz:

  1. Spam-Filter und Viren-Scanner: Erkennen schädliche Inhalte und blockieren sie, bevor sie Schaden anrichten können.
  2. Ransomware-Schutz: Verhindert die Verschlüsselung und Erpressung durch Cyberkriminelle.

Darüber hinaus spielen technische Sicherheitsprotokolle eine entscheidende Rolle, um E-Mails sicher zu übertragen und Manipulationen vorzubeugen.

 

Technische Maßnahmen zur Absicherung von E-Rechnungen

Damit E-Rechnungen zuverlässig und sicher versendet werden können, sollten Unternehmen folgende Technologien implementieren:

  • SPF, DKIM und DMARC: Diese Protokolle verhindern, dass Ihre E-Mails als Spam eingestuft oder von Betrügern gefälscht werden. Sie sorgen für eine eindeutige Authentifizierung des Absenders.
  • TLS-Verschlüsselung: Schützt E-Mails während der Übertragung vor unbefugtem Zugriff.
  • Digitale Signaturen: Stellen sicher, dass die E-Mail-Inhalte während des Versands nicht manipuliert werden und authentisch vom Absender stammen.

 

Fazit: Frühzeitig handeln zahlt sich aus

Die Einführung der E-Rechnungspflicht bietet eine hervorragende Gelegenheit, Prozesse zu optimieren und die Digitalisierung im Unternehmen voranzutreiben. Gleichzeitig erfordert sie jedoch eine vorausschauende Planung, insbesondere in Bezug auf die Sicherheit der E-Mail-Kommunikation.

Durch die Implementierung moderner Sicherheitslösungen und die Einhaltung technischer Standards können Unternehmen nicht nur die gesetzlichen Vorgaben erfüllen, sondern auch das Vertrauen ihrer Geschäftspartner stärken.

Sind Sie bereits vorbereitet? Nutzen Sie die verbleibende Zeit, um Ihre Systeme und Prozesse zu überprüfen und anzupassen – es lohnt sich!

 

Rechtsanwalt Robert Harzewski

Cyberangriffe: Wie man richtig reagiert

Die Bedrohung durch Cyberangriffe wächst stetig. Cyberkriminelle agieren zunehmend professionell und nutzen Sicherheitslücken in IT-Systemen rasch aus. Sie verwenden ausgeklügelte Werkzeuge, um Schwachstellen zu identifizieren, und auch Betrugs- und Phishing-Versuche werden immer raffinierter. Das macht es für Anwender schwerer, solche Bedrohungen zu erkennen. Fachleute sind sich einig: Es ist nicht die Frage, ob ein Angriff passiert, sondern wann.

Wie verlaufen Cyberangriffe?

Ein typischer Cyberangriff kann unterschiedlich aussehen: Meist werden Systeme verschlüsselt, Daten als Geiseln genommen oder es droht deren Veröffentlichung. Oft werden auch Schadsoftware oder betrügerische Mails über infizierte Systeme verbreitet. Besonders gravierend ist, dass häufig personenbezogene Daten betroffen sind. Dies erfordert schnelles Handeln, um den Schaden für betroffene Personen möglichst gering zu halten.

Sofortmaßnahmen bei einem Cyberangriff

Bei einem Cyberangriff sollten folgende Schritte sofort eingeleitet werden

  1. Angriff stoppen oder eingrenzen: Identifizieren Sie die betroffenen Systeme und trennen Sie sie vom Netzwerk, um die Verbreitung zu verhindern.
  2. Untersuchung starten: Analysieren Sie den Ablauf des Angriffs, den Angriffsvektor und das Ausmaß des Schadens. Auch externe Expertenteams wie CERT oder CSIRT sollten hinzugezogen werden.
  3. Risiko für betroffene Personen bewerten: Stellen Sie fest, welche Daten betroffen sind und bewerten Sie das Risiko für die Rechte und Freiheiten der Betroffenen.
  4. Maßnahmen zur Schadensbegrenzung: Prüfen Sie, was mögliche Auswirkungen abmildern kann und informieren Sie ggfls. die betroffenen Personen über den Vorfall.
  5. Schutzmaßnahmen verstärken: Passen Sie die Sicherheitssysteme an, um künftige Angriffe zu verhindern, und dokumentieren Sie alle getroffenen Maßnahmen.

Schritt-für-Schritt-Anleitung zur Reaktion auf einen Cyberangriff

1. Angriff stoppen und Schäden minimieren

Der erste Schritt ist, sofort zu prüfen, welche Systeme betroffen sind, und diese vom Netzwerk zu isolieren. Ziel ist es, weiteren Schaden zu verhindern. Systeme, die nicht unmittelbar betroffen sind, sollten überwacht werden, um mögliche versteckte Hintertüren (Backdoors) zu entdecken.

2. Untersuchung des Vorfalls

Cybersecurity-Experten sollten hinzugezogen werden, um den Angriff genau zu analysieren. Dabei wird der chronologische Ablauf, die Ursache und das Ausmaß des Angriffs festgestellt. Insbesondere muss geprüft werden, ob und wie viele personenbezogene Daten betroffen sind.

3. Risiko für betroffene Personen bewerten

Anhand der gesammelten Informationen wird das Risiko für die Betroffenen analysiert. Hierbei spielen sowohl die Schwere als auch die Eintrittswahrscheinlichkeit möglicher Schäden eine Rolle. Schäden können Identitätsdiebstahl, Rufschädigung oder wirtschaftliche Nachteile umfassen.

4. Maßnahmen zur Schadensbegrenzung

Zur Abmilderung möglicher Auswirkungen gehören regelmäßig die Wiederherstellung der Daten sowie Dienste und die Prüfung der Daten auf unbefugte Veränderungen.
Die LDI NRW ( Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) hält es grundsätzlich für sinnvoll, betroffene Personen über den Angriff zu informieren – selbst wenn keine Pflicht nach DSGVO dazu besteht.

5. Langfristige Sicherheitsmaßnahmen

Nach einem Angriff muss das Sicherheitsniveau angepasst werden. Dies umfasst die Installation von Updates, regelmäßige Überprüfungen und die Implementierung von sicheren Authentifizierungsverfahren wie der Multi-Faktor-Authentifizierung.

Externe Unterstützung und Dokumentation

Zusätzlich zur eigenen Reaktion auf den Angriff ist es ratsam, externe Dienstleister einzubeziehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Listen von IT-Sicherheitsdienstleistern sowie Anlaufstellen für die Meldung von Cybervorfällen an.

Nach jedem Vorfall ist eine detaillierte Dokumentation notwendig. Diese sollte den gesamten Ablauf des Angriffs, die ergriffenen Maßnahmen und die Einschätzung des Schadens umfassen. Die Dokumentation dient nicht nur der internen Nachbereitung, sondern auch der Berichterstattung an die Datenschutzbehörden.

Fazit: Prävention und Reaktionsbereitschaft

Cyberangriffe sind eine reale und immer häufiger auftretende Gefahr. Unternehmen und Organisationen müssen nicht nur ihre Schutzmaßnahmen ständig aktualisieren, sondern auch auf mögliche Angriffe vorbereitet sein. Ein schnelles, koordiniertes Handeln kann den Schaden minimieren und künftige Angriffe verhindern.

Weitere Informationen

 

 

Rechtsanwalt Robert Harzewski