Cyberrisiko eRechnung: So schützen Sie Ihr Unternehmen

Cyberrisiko eRechnung: So schützen Sie Ihr Unternehmen

Seit dem 01.01.2025 müssen Unternehmen in Deutschland in der Lage sein, eRechnungen zu empfangen. Durch den Systemwechsel im UStG ist die eRechnung jetzt das führende Rechnungsformat im B2B-Bereich und notwendig für den Vorsteuerabzug. Beim Versand einer eRechnung können Unternehmen aus verschiedenen Formaten auswählen. In der einfachsten Form ist eine eRechnung eine sogenannte XML-Datei, die per E-Mail an den Rechnungsempfänger geschickt wird. Diese Lösung wird von den meisten Unternehmen in Deutschland bevorzugt und erfüllt die gesetzlichen Anforderungen. 

Rechnungsbetrug 4.0 – auf was müssen Sie jetzt achten?

Für Unternehmen stellen sich mit der Einführung der eRechnung jedoch alte und neue Herausforderungen. Zum einen sind die klassischen Betrugsgefahren auch bei eRechnungen möglich: Entweder per Post oder E-Mail kommen Rechnungen für nicht erbrachte Leistungen an oder Rechnungen werden auf dem Weg zum Leistungsempfänger abgefangen und manipuliert. Zum anderen macht die Einführung der eRechnung Manipulationen bzw. das Erstellen von erfundenen Rechnungen leichter, da sie vollautomatisierbar sind. 

Die eRechnung in ihrer einfachsten Form besteht aus einer XML-Datei, die per E-Mail ankommt. Allerdings ist bei Erstellung, Transport sowie während oder nach dem Empfang eine spurenlose Manipulation der XML-Datei möglich. Im eRechnungsstandard ist unter anderem detailliert definiert, dass Zahlungswege und Zahlungsziele genau angegeben werden können. Jedoch fehlen Sicherheitsmechanismen wie digitale Signaturen oder Kontrollsummen (Hashes). Dies bietet Kriminellen neue Möglichkeiten des Rechnungsbetrugs:

  1. Aufgrund der fehlenden Signatur kann der Rechnungsaussteller / -übersender nicht geprüft werden.
  2. Wegen der fehlenden Kontrollsummen kann nicht geprüft werden, ob die eingegangene bzw. verarbeitete / gebuchte Rechnung der ursprünglich versendeten Rechnung entspricht.
  3. Das offene Transportmedium E-Mail macht eine Manipulation während der Zustellung und sogar im Postfach des Empfängers leicht möglich. 
  4. Je nach Automatisierungsgrad der Eingangsrechnungsverarbeitung kann ein ERP-/FiBu-System mit Rechnungen geflutet und dadurch lahmgelegt werden (DoS- / DDoS-Attacke). Der Angriff wird erst nach Zahlung eines Lösegeldes eingestellt.
  5. Bei Injection-Angriffen erfolgt eine Manipulation von ERP/FiBu-Systemen durch Einschleusen von schadhaften Daten. Ziel eines solchen Angriffs sind meist Datendiebstahl und Erpressung (z.B. durch Verschlüsselung).

Mögliche Gegenmaßnahmen – das können Sie tun

Die gute Nachricht: Sie können Ihr Unternehmen aktiv vor diesen Risiken schützen. Die beste Vorbereitung gegen betrügerische Maßnahmen rund um erfundene oder gefälschte Rechnungen sind wachsame Mitarbeiterinnen und Mitarbeiter. Sie können die Risiken zudem mithilfe gestufter Änderungsrechte bzw. Freigabemechanismen vermindern. Das heißt, Änderungen an Daten wie beispielsweise einer UStID, einer IBAN oder den Zahlungszielen dürfen nur von ausgewählten Personen oder Abteilungen vorgenommen und freigegeben werden. Mehrfache Änderungen innerhalb weniger Stunden müssen einen Security Incident auf höherer Ebene auslösen. Außerdem sollten Freigaben von Rechnungen, Waren- und Serviceeingängen, Zahlungen und Datenänderungen systemseitig durch ein Mehr-Augen-Prinzip gesichert sein.

Darüber hinaus bietet insbesondere der eRechnungsein- und -ausgang effektive Möglichkeiten, Ihr Unternehmen vor Cyberangriffen zu schützen. Sie können:

  • zwischen Eingang und Weitergabe an das ERP-System Prüfungen oder Verzögerungen einbauen.
  • über die Option verfügen, den eRechnungseingang zu deaktivieren bzw. vom ERP-System trennen zu können.
  • in den arbeitsfreien Zeiten den eRechnungseingang vom ERP-System trennen.
  • keine automatische Weiterleitung von eingehenden eRechnungen in das nachgelagerte ERP-System vornehmen, stattdessen verbleiben die eRechnungen in einer Warteschlange im eRechnungseingang.
  • externe Dienste an den eRechnungsein- und ausgang anschließen, die z.B. ausgehende Rechnungen mit einer Signatur oder einem Link zu einem Hash versehen, der vom Empfänger geprüft werden kann.
  • eingehende eRechnungen an einen externen Dienst schicken, der innere und äußere Plausibilitätsprüfungen durchführt, z.B. ob die Länderkennungen UStID und IBAN identisch sind.
  • mithilfe eines eInvoicing Tools die Signaturen und Hashes anhand der publizierten öffentlichen Schlüssel prüfen.


BDO unterstützt Sie bei der Auswahl der passenden Gegenmaßnahmen. Unser interdisziplinäres Team aus erfahrenen Expertinnen und Experten steht Ihnen in gewohnt hoher Qualität mit steuerlicher und technisch-fachlicher Beratung zur Seite. Hans-Peter Toft von unserem Kooperationspartner, der BDO Legal Rechtsanwaltsgesellschaft mbH, berät Sie gerne bei allen Rechtsfragen zu Vorkehrungen rund um Cyber Incidents und deren Handhabung.