Seit dem 1. Januar 2025 sind E-Rechnungen für inländische Unternehmen verpflichtend. Ziel der E-Rechnungen ist es, die deutsche Wirtschaft zu digitalisieren und Prozesse zu vereinfachen. Rechnungssteller:innen und -empfänger:innen müssen nicht nur die Abläufe neu aufsetzen, sondern auch das Thema Cybersicherheit berücksichtigen. Denn für Hacker ergeben sich durch die E-Rechnungen neue Einfallstore, die sie für Cyberangriffe nutzen können. Deshalb ist es wichtig, dass Sie Ihre Prozesse bei der E-Rechnungen sowie die Zusammenarbeit mit Ihren Partnern, Dienstleistern und Kund:innen absichern. Worauf Sie achten sollten und wie Sie eine E-Rechnung sicher versenden und erhalten, erfahren Sie in diesem Beitrag.
E-Rechnungen als Einfallstor
Eine E-Rechnung kann auf verschiedenen Wegen übermittelt und empfangen werden. Neben dem Versand per E-Mail können Sie eine E-Rechnung auch über Onlineanwendungen, eine elektronische Schnittstelle oder mit Zugriff auf einen zentralen Speicherort übermitteln. Zusätzlich wäre die Übergabe auf einem USB-Stick denkbar oder per Download in einem Internetportal. Für Cyberkriminelle sind vor allem die Zustellung per Mail und via Onlineanwendungen interessant. Bei diesen Optionen ergeben sich potenzielle Sicherheitslücken, die von Hackern für einen Angriff genutzt werden können.
Ein Sicherheitsvorfall, der aus einem solchen Angriff resultiert, kann schwerwiegende Folgen haben. Neben Datenverlust, Sabotage oder Datendiebstahl besteht das Risiko, dass komplette IT-Systeme neu aufgesetzt werden müssen und Ihr Unternehmen in der Zwischenzeit lahmgelegt ist. Eine Betriebsunterbrechung von mehreren Tagen resultiert in finanziellen Schäden, die vor allem kleine und mittlere Unternehmen vor große Herausforderung stellt oder sogar zur Insolvenz führen können.
E-Rechnungen per Mail: Was Sie beachten sollten
Am naheliegendsten zu dem klassischen postalischen Versand von Rechnungen sind der Versand und Empfang von E-Rechnungen per E-Mail. Die Absicherung und Kontrolle des E-Mail-Postfachs und Versands sind mit Blick auf die Cybersicherheit Ihres Unternehmens ein wichtiger Faktor, der schnellstmöglich priorisiert werden sollte. Vergleichbar mit regulären E-Mails können auch E-Rechnungen von Cyberkriminellen genutzt werden, um gefälschte Rechnungen oder betrügerische Inhalte zu versenden. Diese Form des Phishings bleibt in den meisten Fällen lange unentdeckt und hat finanzielle Konsequenzen für Ihr Unternehmen.
Ein erster wichtiger Schritt ist die Einführung von speziellen E-Mail-Postfächern für E-Rechnungen. Alle Rechnungen, die an andere Unternehmensadressen gesendet werden, sollten strikt abgelehnt und gelöscht werden. Partner oder Dienstleister, die dadurch verprellt werden, werden sich schnell an den neuen Prozess gewöhnen und das korrekte Postfach adressieren. Betrügerische E-Mails werden durch dieses Vorgehen direkt aussortiert und richten somit keinen Schaden an. Außerdem müssen Zugriffsrechte für das Postfach festgelegt und die Sicherheitseinstellungen aufgesetzt werden.
In unserem Lernnugget erfahren Sie alles zu einem erweitertem Login-Schutz: von Passwort-Managern bis zu der mehrstufigen Authentifizierung.
Allerdings ist es mit diesem einen Ansatz nicht getan, um Hackern das Leben schwer zu machen. Dafür müssen weitere Schritte eingeleitet werden, die Ihr Unternehmen cybersicher machen. Dazu gehört eine genaue Prüfung der eingehenden Rechnungen. Falls noch nicht vorhanden, ist es empfehlenswert, Beispielrechnungen bei den Dienstleistern und Partnern einzuholen. So können Sie neue Rechnungen mit den Originalen abgleichen und werden bei Abweichungen im Design stutzig. Bei jeder Rechnung sollten Sie zudem die Bankverbindung ganz genau prüfen. Sollte es Unstimmigkeiten geben, unbedingt bei dem betroffenen Unternehmen telefonisch nachhaken und die Änderung bestätigen lassen. Eine Übersicht mit den regulären Bankverbindungen hilft, Abweichungen oder Änderungen schnell zu erkennen.
Und auch wenn ein Spamfilter aktiviert ist, sollten Sie und Ihre Mitarbeitenden jede E-Mail und ihre Details hinterfragen. Unauffällige Tippfehler oder leicht abweichende Absender-Adressen können ein Hinweis für eine gefälschte Rechnung sein. Auch Anhänge sollten immer mit Vorsicht geöffnet werden, denn durch das Öffnen der Dateien kann Schadsoftware auf das Gerät und somit in Ihr Unternehmenssystem gelangen.
Verschlüsselung und digitale Signatur
Wenn Sie noch einen Schritt weitergehen wollen, gibt es Verfahren, die die E-Mail-Zustellung überwachen und auf Richtigkeit prüfen. Diese Verfahren überprüfen u.a. die Verschlüsselung und digitale Signatur von den E-Rechnungsmails. Eine DKIM (Domain Keys Identified Mail) stellt beispielsweise sicher, dass die empfangene E-Mail während der Übertragung nicht manipuliert wurde. Ein SPF (Sender Policy Framework) hingegen überprüft, ob die IP-Adresse des Senders berechtigt ist, E-Mails zu versenden.
Eine digitale Signatur hilft sowohl Ihre E-Mails als auch die empfangenen Nachrichten zu schützen. Mithilfe eines Public-Key-Zertifikats (das auch von „normalen“ E-Mail-Anwendungen wie Outlook oder Mozilla unterstützt wird) wird an jede E-Mail eine digitale Signatur angehängt. Ihr E-Mail-Programm überprüft beim Erhalt einer E-Rechnung mit digitaler Signatur, ob diese intakt ist und die E-Mail somit nachweislich unverändert angekommen ist. Falls dies der Fall ist, erhält die E-Mail ein kleines Siegel-Symbol und kann von Ihnen ohne Bedenken geöffnet werden.
Absicherung von Onlineanwendungen
Onlineanwendungen sind eine weitere Möglichkeit, E-Rechnungen zu erhalten. Die Anwendungen haben zudem den Vorteil, dass sie die E-Rechnungen verarbeiten und archivieren. Diese Plattformen und Software-Lösungen müssen jedoch auch abgesichert werden, um einen Sicherheitsvorfall zu vermeiden. Bevor Sie eine solche Anwendung für die E-Rechnung nutzen, sollten Sie abklären, ob die Anbieter DSGVO-konform agieren, mit Verschlüsselung ihrer Schnittstellen arbeiten und ein sicheres Rechenzentrum einsetzen. Außerdem sollten Sie, wie bei den E-Mails, Zugriffsrechte für die Anwendung festlegen, sodass unberechtigte Personen keinen Zugang erhalten. Eine Zwei-Faktor-Authentifizierung ist ebenfalls zu empfehlen, da die vertraulichen Rechnungs- und Unternehmensinformationen dadurch besser geschützt sind. Neben dem Passwort müssen die Nutzer:innen der Anwendung z. B. einen zeitlich begrenzten Code eingeben oder ihren Fingerabdruck anwenden, um Zugriff auf die Anwendung zu erhalten.
Archivierung von E-Rechnungen
Neben dem Versand und Erhalt von E-Rechnungen spielt auch deren Archivierung eine wichtige Rolle. In Deutschland müssen E-Rechnungen acht Jahre aufbewahrt, bzw. im empfangenen elektronischen Format archiviert, werden. Bei diesem langen Zeitraum, müssen Sie sicherstellen, dass die Daten vor Verlust und Manipulation geschützt sind. Regelmäßige Back-ups sollten in diesem Fall ein Muss sein. Außerdem sollten Sie die Daten entsprechend verschlüsseln und auch hier Zugriffskontrollen einführen.
In unserem Lernpfad „Cyber-Resilienz schaffen – Back-Ups und Notfallkonzepte erstellen“ erhalten Sie grundlegendes Wissen über Back-Up-Strategien und die Entwicklung eines Notfallplans.
Sensibilisierung im Team
Das Thema E-Rechnung ist nicht nur ein IT-Thema, sondern sollte auch bei Ihren Mitarbeitenden und teamübergreifend verstanden werden. Schulungen für die Mitarbeitenden sind sinnvoll, um aufzuzeigen, was bei dem Erhalt und der Prüfung von E-Rechnungen zu berücksichtigen ist. Ist der Absender bekannt? Macht der Betreff Sinn? Stimmen die Rechnungsinformationen? Diese und weitere Fragen sollten sich Ihre Mitarbeitenden immer wieder stellen.
Zusätzlich ist zu empfehlen, eine:n dedizierten Ansprechpartner:in für die Thematik „E-Rechnung“ festzulegen. Diese Person kann kontaktiert werden, wenn Ungereimtheiten bei Rechnungen auffallen und sie wird kontaktiert, wenn das eigene Unternehmen gehackt wurde und falsche Rechnungen versendet wurden. Die Person stellt dann sicher, dass alle betroffenen Parteien umgehend benachrichtigt werden und die IT-Abteilung oder der IT-Dienstleister den Sicherheitsvorfall analysieren und bereinigen. Damit die Partner, Dienstleister und Kund:innen sofort benachrichtigt werden können, sollten vorab Textbausteine und Infotexte vorbereitet werden. So gibt es auf Ihrer Seite keinen Zeitverzug und die gefälschten Rechnungen werden im Idealfall von den betroffenen Partnern dadurch als solche erkannt und ignoriert.
E-Rechnungen sind Teil der digitalen Transformation und bieten für Unternehmen Chancen und Herausforderungen. Den Aspekt der Cybersicherheit sollten Sie in diesem Zusammenhang ernst nehmen und Ihre Prozesse frühzeitig cybersicher gestalten. Davon profitieren Sie, Ihr Team und Ihre Partner.
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
