Melden Sie sich zu unserem Newsletter an!

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Jetzt anmelden!

© AndreyPopov, Unsplash

Invoice Fraud verhindern:
E-Rechnungen sicher versenden

Zuletzt aktualisiert am 08.04.2025

Invoice Fraud – der Betrug mit manipulierten Rechnungen – hat sich in den letzten Jahren zu einer ernstzunehmenden Herausforderung für Unternehmen entwickelt. Die typische Vorgehensweise: Cyberkriminelle fangen Rechnungen ab oder verschaffen sich Zugriff zu E-Mail-Konten, ändern die Kontodaten in Rechnungen und leiten diese an den Empfänger weiter. Wenn die Unternehmen dann gut- oder auch leichtgläubig die Zahlung auf das falsche Konto überweisen, erhalten sie später Mahnungen des tatsächlichen Gläubigers und stehen vor einem zivilrechtlichen Dilemma – die Forderung bleibt trotz erfolgter (Fehl-)Zahlung bestehen.

Ein aktuelles Urteil des Oberlandesgerichts Schleswig (Az.: 12 U 9/24) hat nun für Aufsehen gesorgt, indem es eine weitreichende Verpflichtung zur Ende-zu-Ende-Verschlüsselung beim Rechnungsversand postuliert. Dieses Urteil wirft grundlegende Fragen zur technischen Machbarkeit, rechtlichen Angemessenheit und zu alternativen Schutzmaßnahmen auf – besonders angesichts der seit 2025 geltenden E-Rechnungspflicht.

Wir beleuchten die diversen Aspekte und geben Handlungsempfehlungen.

Was ist im OLG-Fall passiert?

Im Fall des OLG Schleswig hatte ein Unternehmen eine Rechnung über knapp 15.400 Euro per unverschlüsselter E-Mail an seinen Geschäftspartner gesendet. Der Rechnungsempfänger überwies den Betrag auf ein Konto, das – wie sich später herausstellte – nicht dem Rechnungssteller gehörte. Die Rechnung war manipuliert worden.

Das rechnungsstellende Unternehmen klagte daraufhin auf Zahlung des ausstehenden Betrags. Während das Landgericht Kiel als erste Instanz noch dem Kläger Recht gab, entschied das OLG Schleswig überraschend anders: Der Rechnungssteller habe durch den Versand der unverschlüsselten Rechnung gegen Art. 32 DSGVO verstoßen, indem er keine angemessenen technischen Maßnahmen zum Schutz personenbezogener Daten getroffen habe. Rechnungen mit „hohem finanziellen Risiko“ müssten nach Ansicht des Gerichtes Ende-zu-Ende-verschlüsselt versendet werden.

Es ist nicht immer offensichtlich, ob Rechnungen manipuliert wurden.

© travellinglight, Getty Images

Kritische Auseinandersetzung mit dem Urteil

Das Urteil, das sei vorausgeschickt, hat noch keine Allgemeinverbindlichkeit, bietet aber Anlass sich kritisch mit den verschiedenen Aspekten des Falls zu befassen, da der zugrundeliegende Sachverhalt erhebliche praktische Relevanz für Unternehmen hat.
Wir haben vier Aspekten herausgearbeitet:

Unklares Angriffsszenario: Wurde die E-Mail wirklich abgefangen?
Die zentrale Annahme des OLG, die E-Mail sei auf dem Transportweg abgefangen worden, erscheint technisch zweifelhaft. Nach Einschätzung von IT-Sicherheitsexperten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfolgen die meisten Fälle von Invoice Fraud nicht durch das Abfangen während des Transports (was durch TLS-Verschlüsselung verhindert würde). Bei Verwendung moderner TLS-Versionen (1.2/1.3) mit korrekter Konfiguration bietet die Transportverschlüsselung bereits einen sehr wirksamen Schutz während des Versendevorgangs.

Die meisten Fälle von Invoice Fraud erfolgen stattdessen vielmehr z.B. durch:
  • Zugriff auf E-Mail-Postfächer durch gestohlene Zugangsdaten (Account-Takeover)
  • Social Engineering gegen Mitarbeiter der Buchhaltung
  • Manipulation von bereits im Postfach befindlichen Dokumenten
Die fehlende Verhältnismäßigkeit
Ein weiterer Punkt, der die allgemeine Anwendbarkeit/Bedeutung des Urteils infrage stellt, ist die Tatsache, dass das OLG die Rechnung über knapp 15.400 Euro pauschal als "hohes finanzielles Risiko" einstuft – ohne diese Schwelle näher zu definieren. Im Geschäftsleben sind Rechnungen in dieser Größenordnung keineswegs ungewöhnlich. Eine solche Einordnung würde bedeuten, dass ein erheblicher Teil der Geschäftskommunikation Ende-zu-Ende-verschlüsselt erfolgen müsste.

Dies kollidiert mit der betrieblichen Realität:
  • Nur ein kleiner Teil der deutschen Unternehmen nutzt routinemäßig Ende-zu-Ende-Verschlüsselung.
  • Dies liegt nicht zuletzt daran, dass die technische Implementierung von Verschlüsselungen wie PGP oder S/MIME ein spezialisiertes Know-how und eine aufwändige Schlüsselverwaltung sowie eine individuelle Absprache zwischen den Geschäftspartnern erfordert. Denn ohne diese Vereinbarungen sind viele Empfänger sind nicht in der Lage, derartig verschlüsselte E-Mails zu empfangen.
  • Hinzu kommt, dass die Interoperabilität zwischen verschiedenen E-Mail-Systemen bei Ende-zu-Ende-Verschlüsselung oft problematisch ist. E-Mail-Dienste verwenden verschiedene Standards wie S/MIME oder OpenPGP, die nicht miteinander kompatibel sind. Zusätzlich müssen sie sicherstellen, dass der Empfänger kompatible Verschlüsselungssoftware verwendet und Zertifikate ausgetauscht wurden.
Rechtliche Einordnung: DSGVO überhaupt anwendbar?
Neben der zweifelhaften technischen Einschätzung weist das Urteil auch aus rechtlicher Sicht Schwächen auf:

  • Die DSGVO ist in dem konkreten Fall nicht direkt anwendbar: Im Fall ging es primär um die Manipulation der Bankverbindung des Unternehmers, nicht um personenbezogene Daten des Kunden. Der ursächliche Missbrauch betraf die IBAN des Unternehmens – der Schutzbereich der DSGVO ist hier eigentlich gar nicht berührt.
  • Kausalitätsproblem: Unabhängig davon hat das Gericht auch nicht geklärt, wo und wie die Manipulation stattfand. Dies wäre jedoch für die rechtliche Bewertung entscheidend gewesen. Ein Schadensersatzanspruch nach Art. 82 DSGVO setzt voraus, dass der Schaden kausal durch den Datenschutzverstoß verursacht wurde. Diese Kausalität wurde vom OLG weder geprüft noch vom Anspruchsberechtigten bewiesen, obwohl dies seine Pflicht gewesen wäre.
  • Übersehenes Mitverschulden: Nicht beachtet wurde auch, dass die manipulierte Rechnung zahlreiche Auffälligkeiten aufwies, die dem Kunden hätten auffallen können und müssen, da bereits zuvor gleichartige Rechnungen mit einer anderen Kontonummer bezahlt worden waren und es mehrere fehlende Elemente und Ungereimtheiten gab, die eine Nachfrage erfordert hätten.
Schutzziele verkannt: umfassender Schutz der Daten im gesamten Prozess
Durch die fehlerhaft unterlassene Aufklärung, wie und wo die Rechnung verändert wurde, hat das OLG dann auch leider die wesentlichen Schutzziele der DSGVO und damit ein für den Einzelfall angemessenes Schutzniveau der Daten im gesamten Rechnungslauf überhaupt nicht geprüft.

Sowohl im Datenschutz als auch im Bereich der IT-Sicherheit heißen die drei grundlegenden Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.

Im Fall einer E-Rechnung heißt dies:

  • Vertraulichkeit erfordert einen angemessenen Schutz der Daten vor unbefugtem Zugriff während des Transports und in der Speicherung. Die Daten können nicht von Unbefugten gelesen werden.
  • Integrität: erfordert die Sicherstellung, dass die Rechnung nicht unbefugt nachträglich geändert wird. Damit wird zugleich die Authentizität des Dokuments und die klare Zurechenbarkeit zum Absender gewährleistet.
  • Verfügbarkeit: garantiert, dass die Rechnung gegen Verlust oder Vernichtung durch entsprechende Sicherungs- und Backup-Lösungen geschützt und somit dem Empfänger vom Aussteller ggf. auch erneut zur Verfügung gestellt werden kann.

Wie ausgeführt schützt eine Verschlüsselung zwar den Transportweg bis zum Endgerät und damit die Vertraulichkeit, garantiert aber weder die Authentizität noch Integrität der Rechnung. Hierbei hilft die Ende-zu-Ende-Verschlüsselung letztlich nicht weiter, da sie weder die Richtigkeit der Rechnung beim Versand, noch die Richtigkeit nach der Entschlüsselung auf dem Endgerät gewährleisten kann und will.

Eine wesentlich praxistauglichere Möglichkeit gegenüber der Ende-zu-Ende-Verschlüsselung wird dabei vom OLG nicht einmal thematisiert: die Technologie der digitalen Signatur. Eine qualifizierte elektronische Signatur (QES) nach eIDAS-Verordnung hätte im konkreten Fall tatsächlich Schutz geboten:

  • Sie garantiert die Integrität des Dokuments – jede nachträgliche Änderung wäre erkennbar gewesen.
  • Sie bestätigt zudem die Authentizität des Absenders.
  • Sie ist rechtlich einer handschriftlichen Unterschrift gleichgestellt.
Im Gegensatz zur Verschlüsselung schützt eine Signatur auch vor Manipulationen, da die Signatur durch jede Veränderung ungültig wird. Die Buchhaltung hätte die gefälschte Kontonummer sofort erkannt, wenn sie die Signatur überprüft hätte.

Digitale Signaturen basieren auf asymmetrischer Kryptographie, bei der der Absender ein Dokument mit seinem privaten Schlüssel signiert. Der Empfänger kann dann mit dem öffentlichen Schlüssel des Absenders verifizieren, dass das Dokument tatsächlich vom angegebenen Absender stammt und nach der Signierung nicht verändert wurde.

Die eIDAS-Verordnung der EU definiert verschiedene Sicherheitsstufen für elektronische Signaturen, von der einfachen elektronischen Signatur bis zur qualifizierten elektronischen Signatur, die rechtlich einer handschriftlichen Unterschrift gleichgestellt ist. Für Rechnungen empfiehlt sich daher mindestens eine fortgeschrittene elektronische Signatur, idealerweise jedoch eine qualifizierte elektronische Signatur.

Ein praktischer Vorteil: Während nur ein Bruchteil der deutschen Unternehmen routinemäßig Ende-zu-Ende-Verschlüsselung nutzen, setzen deutlich mehr digitale Signaturen ein. Die Implementierung erfordert zudem weniger technisches Know-how und ist mit standardisierten Zertifikaten vergleichsweise einfach umzusetzen. Rechtlich sind Signaturen durch die eIDAS-Verordnung klar geregelt und anerkannt, während die vom OLG geforderte Verschlüsselungspflicht umstritten bleibt.

Insofern zeigt dieses Beispiel, dass es unerlässlich ist, sich den Prozess als Ganzes anzusehen. Die Kernaspekte bei E-Mail-Rechnungen sind:

  • Schutzziele variieren: Verschlüsselung sichert Vertraulichkeit, Signaturen garantieren Integrität. Maßnahmen müssen stets nach dem konkreten Schutzziel geprüft und getrennt betrachtet werden.
  • E-Rechnungspflicht ist kein Schutz: Auch elektronische Formate wie XRechnung oder ZUGFeRD bieten keinen inhärenten Schutz vor Betrug. Gegenüber Verbrauchern dürfen weiterhin PDFs versendet werden, die manipulierbar bleiben.
  • Praktische Prävention: Bei geänderten Bankverbindungen immer telefonisch nachfragen und bestätigte Konten in einer internen Liste speichern. So können Sie Manipulationen früh erkennen.
Wichtig ist also zu verstehen, dass digitale Signaturen und Verschlüsselung unterschiedliche Schutzziele verfolgen und einander ergänzen.

E-Rechnung: Neue Anforderungen treffen auf alte Probleme

Die Thematik gewinnt zusätzliche Brisanz durch die lang angekündigte, nunmehr seit Januar 2025 geltende E-Rechnungspflicht für Geschäfte mit öffentlichen Auftraggebern, die bis 2027 auf den gesamten B2B-Bereich ausgeweitet wird. Diese Pflicht und die allgemeine Digitalisierung in allen Lebensbereichen stellt Unternehmen vor die Herausforderung, digitale Rechnungsprozesse rechtssicher zu gestalten.

Versteckte Gefahr: Die Diskrepanz zwischen sichtbarem und unsichtbarem Inhalt
Ein besonders tückischer Aspekt elektronischer Rechnungsformate wie ZUGFeRD (Akronym für Zentraler User Guide des Forums elektronische Rechnung Deutschland) betrifft PDFs mit eingebetteten XML-Daten. Bei diesen hybriden Dokumenten können der für Menschen sichtbare Teil (das PDF) und der maschinenlesbare Teil (die XML-Daten) erhebliche Unterschiede aufweisen:
  • Manipulationsrisiko: Bei kompromittierten Systemen können Angreifer die eingebetteten XML-Daten (mit Bankverbindungen) ändern, ohne dass dies im sichtbaren PDF-Teil erkennbar ist.
  • Automatisierte Verarbeitung: Moderne Buchhaltungssysteme verarbeiten meist die XML-Daten automatisch – während der Sachbearbeiter nur den visuellen PDF-Teil prüft. Ist sich das Unternehmen bzw. der/die Bearbeitende dieser Problematik nicht bewusst, entsteht eine Sicherheitslücke.
  • Praktisches Beispiel: Eine Rechnung zeigt im PDF-Teil Kontodaten bei der Sparkasse, während die eingebetteten XML-Daten ein Konto bei einer ausländischen Bank enthalten. Das Buchhaltungssystem verwendet für die Überweisung automatisch die XML-Daten, ohne dass der Unterschied bemerkt wird.
Diese "Zwei-Gesichter-Problematik" wird von Betrügern gezielt ausgenutzt und bleibt selbst für erfahrene Buchhaltungskräfte oft unerkennbar, da der XML-Teil ohne „Spezialwerkzeuge“ nicht eingesehen werden kann.

Ein weiteres Problem: Viele Unternehmen haben ihre Rechnungsprozesse digitalisiert, ohne auf die notwendige IT-Sicherheitsexpertise zurückzugreifen. Die praxisferne Forderung des OLG nach Ende-zu-Ende-Verschlüsselung wird diesem Bedarf an einem zeitlich gestrecktem Transformationsprozess nicht gerecht, wenn man bedenkt, wieviel Vorlaufzeit es bei der Einführung der E-Rechnung gab.

Und auch hier sehen die vorgegebenen Standards für elektronische Rechnungen (XRechnung, ZUGFeRD) zwar eine digitale Signatur als Option vor, diese ist aber keineswegs Pflicht und schon gar nicht eine Ende-zu-Ende-Verschlüsselung.

Bei hybriden Dokumenten können der für Menschen sichtbare Teil und der maschinenlesbare Teil erhebliche Unterschiede aufweisen.

© benjaminec, Getty Images

Konkrete Handlungsempfehlungen für Unternehmen

Angesichts des OLG-Urteils und der wachsenden Bedrohung durch Invoice Fraud sollten Unternehmen ihre Rechnungsprozesse kritisch überprüfen und anpassen. Ein mehrstufiger Ansatz, der sowohl technische als auch organisatorische Maßnahmen umfasst, bietet den besten Schutz.
  • Auf technischer Ebene ist die Aktivierung von TLS 1.2/1.3 als Mindeststandard für den E-Mail-Transport unerlässlich. Diese Maßnahme bietet Schutz vor klassischen Man-in-the-Middle-Angriffen während der Übertragung.
  • Besonders wichtig ist jedoch die Implementierung digitaler Signaturen für alle relevanten Rechnungen, idealerweise in Form qualifizierter elektronischer Signaturen nach eIDAS-Standard. Diese verhindern wirksam nachträgliche Manipulationen und ermöglichen dem Empfänger, die Authentizität der Rechnung zu überprüfen.
  • Zum Schutz vor Account-Übernahmen, einem der häufigsten Angriffsvektoren, sollte eine zweistufige Verifizierung für alle E-Mail-Konten der Buchhaltung und des Finanzwesens eingerichtet werden.
  • Technische Maßnahmen allein reichen jedoch nicht aus. Die Sensibilisierung der Mitarbeitende für typische Betrugsmaschen ist entscheidend, da menschliche Fehler oft die größte Schwachstelle darstellen. Schulungen sollten regelmäßig stattfinden und konkrete Beispiele für Invoice Fraud beinhalten. Die Einführung eines Vier-Augen-Prinzips bei Kontodatenänderungen kann zusätzlichen Schutz bieten – keine Änderung sollte ohne Bestätigung durch eine zweite Person umgesetzt werden.
  • Bei neuen Bankverbindungen oder Änderungen bestehender Kontodaten sollte stets eine Verifizierung per Telefon erfolgen – niemals über den gleichen Kommunikationskanal, über den die Änderung eingegangen ist. Dies verhindert, dass Angreifer, die bereits Zugriff auf einen E-Mail-Account haben, auch die Bestätigung manipulieren können. 
  • Zudem sollten klare Notfallprozesse für erkannte Betrugsversuche definiert werden, die schnelles Handeln ermöglichen.
  • Für die rechtliche Absicherung ist eine sorgfältige Dokumentation unerlässlich. Um bei Streitigkeiten die Erfüllung der Pflichten nach Art. 32 DSGVO nachweisen zu können, sollten Unternehmen eine Risikoanalyse für ihre Rechnungsprozesse dokumentieren und Schulungsnachweise für Mitarbeiter führen. Technische Einstellungen wie TLS-Konfigurationen und Signaturverfahren sollten protokolliert werden. Bei der Verarbeitung sensibler Finanzdaten kann zudem eine Datenschutz-Folgenabschätzung sinnvoll sein, die die Angemessenheit der gewählten Schutzmaßnahmen begründet.
Besonders wichtig ist dabei das Verständnis, dass je nach Art der verarbeiteten personenbezogenen Daten unterschiedliche Schutzniveaus erforderlich sein können. Hier ist eine sorgfältige Abwägung im Einzelfall notwendig, bei der sowohl die Anforderungen der DSGVO als auch die künftigen Vorgaben der NIS2-Richtlinie berücksichtigt werden sollten.

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Online-Formular wird hier erscheinen

Fazit: Praxisorientierte Lösungen statt überzogener Anforderungen

Das OLG Schleswig-Urteil basiert auf einem technischen Missverständnis und stellt mit seiner Forderung nach Ende-zu-Ende-Verschlüsselung unverhältnismäßige Anforderungen an Unternehmen. Dennoch sollte es als Weckruf verstanden werden, Rechnungsprozesse besser abzusichern – gerade angesichts der E-Rechnungspflicht.

Digitale Signaturen bieten hierbei einen praxistauglichen Weg zu Sicherheit und Machbarkeit.

Unternehmen sollten das Urteil zum Anlass nehmen, ihre Rechnungsprozesse kritisch zu prüfen und auf signaturbasierte Lösungen umzustellen. Dies schützt nicht nur vor Betrug, sondern schafft auch Rechtssicherheit – selbst wenn andere Gerichte der strengen Linie des OLG Schleswig nicht folgen sollten.

Wir unterstützen Sie!

Als erfahrener Partner im Bereich Datenschutz und Informationssicherheit steht das SVBM Ihnen bei der Entwicklung und Umsetzung des rechtssichereren Rechnungsversands zur Seite. Nutzen Sie unsere Expertise, um Ihr Unternehmen fit für die Herausforderungen der Zukunft zu machen. Gemeinsam entwickeln wir Lösungen, die Ihr Unternehmen zukunftssicher machen.

Hinweis: Dieser Blogbeitrag stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch einen Rechtsanwalt im Einzelfall.

Sprechen Sie uns an!
Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Newsletter Anmeldung

Quellen

Bundesamt für Sicherheit in der Informationstechnik (BSI) (2023): „Leitfaden zur IT-Sicherheit im Rechnungswesen", 15.06.2023, Bonn, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/E-Mail/e-mail_node.html, letzter Zugriff am 08.04.2025

Europäisches Parlament und Rat (2014): „Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste (eIDAS)", 23.07.2014, Brüssel, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32014R0910, letzter Zugriff am 08.04.2025

Europäisches Parlament und Rat (2016): „Datenschutz-Grundverordnung (DSGVO)", 27.04.2016, Brüssel, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679, letzter Zugriff am 08.04.2025

Europäisches Parlament und Rat (2022): „Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2)", 14.12.2022, Brüssel, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555, letzter Zugriff am 08.04.2025

Forum elektronische Rechnung Deutschland (2022): „Zentraler User Guide des Forums elektronische Rechnung Deutschland (ZUGFeRD)", 18.03.2022, Eschborn, https://www.ferd-net.de/standards/zugferd/index.html, letzter Zugriff am 08.04.2025

Koordinierungsstelle für IT-Standards (KoSIT) (2024): „XRechnung - Standard für elektronische Rechnungen", 15.01.2024, Bremen, https://www.xoev.de/xrechnung-16828, letzter Zugriff am 08.04.2025

Oberlandesgericht Schleswig (2024): „Urteil vom 21.03.2024, Az.: 12 U 9/24", 21.03.2024, Schleswig, https://www.gesetze-rechtsprechung.sh.juris.de/jportal/?quelle=jlink&docid=KORE206192024&psml=bsshoprod.psml&max=true, letzter Zugriff am 08.04.2025

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies