Betrug im Posteingang – wie manipulierte Rechnungen Geld kosten

Betrugsfälle rund um Rechnungen per E‑Mail (auch „Invoice Fraud“) sind weit verbreitet. Kriminelle versuchen, Unternehmen oder Privatpersonen dazu zu bringen, Geld an Konten zu überweisen, die ihnen gehören — oft durch subtile Änderungen oder gefälschte Nachrichten. Nachfolgend werden typische Angriffsarten beschrieben, Warnsignale aufgeführt und konkrete Schutzmaßnahmen und Reaktionsschritte empfohlen.

Typische Methoden der Betrüger (aufklärend, ohne Anleitung)

• Gefälschte Absender / Spoofing: Die E‑Mail-Adresse oder der sichtbare Name des Absenders ähnelt der echten Adresse eines Lieferanten oder einer internen Person (z. B. „rechnung@firma‑x.com“ vs. „rechnung@firma‑x.co“).

• Kompromittierte E‑Mail‑Accounts: Kriminelle übernehmen das Postfach eines Lieferanten oder Mitarbeiters und versenden echte Rechnungen mit geänderten Zahlungsdaten.

• Geänderte Bankverbindung in Rechnungen: Originalrechnung bleibt gleich, aber die Bankdaten werden durch einen Täuschungsversuch ersetzt (in PDF, Bild oder eingebettet).

• Look‑alike‑Domains und Klone: Betrüger richten Domains ein, die optisch fast identisch zu legitimen Firmenwebsites sind, und senden von dort Rechnungen.

• Man‑in‑the‑middle bei Kommunikation: Während laufender Verhandlungen schleusen Täter eine Nachricht ein, die Zahlungsdetails ändert.

• PDF‑/Datei‑Manipulation: PDFs werden so verändert oder neu erstellt, dass Unterschiede schwer zu erkennen sind (z. B. geänderte IBAN).

• Social‑Engineering/Dringlichkeit: Warnungen über „Sofortzahlung nötig“ oder Drohungen mit Mahngebühren erzeugen Druck, ohne ordentliche Prüfung zu zahlen.

• Neue Lieferanten / Ad‑hoc‑Änderung: Täuschung durch angebliche neue Subunternehmer oder geänderte Kontodaten kurz vor Fälligkeit.

(Hinweis: Die Beschreibung dient der Prävention. Es werden keine technischen Anleitungen zur Durchführung von Betrug gegeben.)

Warnsignale — worauf Sie achten sollten

• Die E‑Mail fordert dringende Zahlung oder droht mit Kurzfristmaßnahmen.

• Geänderte Bankverbindung, vor allem wenn die Änderung per E‑Mail mitgeteilt wird.

• Absenderadresse weicht geringfügig von bekannter Adresse ab (Buchstabendreher, andere Domainendung).

• Ungewöhnliche Schreibweise, mangelnde persönliche Anrede oder plötzlicher Sprachstilwechsel.

• Rechnung ist „anders“ als üblich (Format, Logo, Schriftart), ohne Vorankündigung.

• Unterschiedliche Kontaktdaten in Rechnung vs. bekannte Kontaktliste.

• Ein Anhang (PDF/Word) hat unerwartetes Dateiformat oder enthält Links zu externen Seiten/Downloads.

• Zahlung an ausländische Konten ohne vorherige Vereinbarung.

Praktische Schutzmaßnahmen (technisch + organisatorisch)

Organisatorisch / Prozesse

• Vier‑Augen‑Prinzip bei Zahlungen über definierten Schwellenbetrag (z. B. zwei Personen müssen Freigabe geben).

• Standardisierte Zahlungs- und Lieferanten‑Onboarding‑Prozesse: Kontodaten nur nach Verifikation speichern.

• Rückrufregel: Bei Änderung der Bankverbindung immer telefonisch über eine bekannte Nummer (nicht die aus der E‑Mail) bestätigen.

• Zahlungsfreigabezeiten und Holds für neue oder geänderte Zahlungsdaten (z. B. 48 Stunden Prüfzeit).

• Minimiere manuelle Änderungen: Nutze etablierte Lieferantenportale oder E‑Invoicing mit sicherer Identifikation.

• Segmentierte Aufgaben: Person, die Rechnung erfasst, darf Zahlungen nicht freigeben (Aufgabentrennung).

• Whitelist für Lieferanten‑E‑Mailadressen, kombiniert mit manueller Prüfung neuer Domains.

Technisch

• E‑Mail‑Authentifizierung einführen: SPF, DKIM und DMARC für eigene Domains; prüfen, ob eingehende Mails diese Prüfungen bestehen.

• Antivirus / Mail‑Gateway mit Link‑/Anhangsprüfung verwenden.

• PDF‑Prüfung: Rechnungen mit digitalen Signaturen bevorzugen; Dokumenten‑Hashes prüfen, wenn möglich.

• Multi‑Factor Authentication (MFA) für alle E‑Mail‑Konten und ERP‑/Bankzugänge.

• Zugriffsrechte begrenzen: Nur notwendige Personen haben Zugriff auf Zahlungssoftware und Lieferantenstammdaten.

• Regelmäßige Backups und Monitoring auf ungewöhnliche Änderungen in Stammdaten.

Schulung & Awareness

• Regelmäßige Mitarbeiterschulungen zu Social‑Engineering, Erkennungsmerkmalen und Meldewegen.

• Simulierte Phishing‑Tests zur Sensibilisierung.

• Klare Anweisung: Änderungen von Zahlungsdaten niemals per einfacher E‑Mail bestätigen.

Konkrete Prüf‑ und Verifizierungsroutine (Checkliste vor Zahlung)

1. Stimmen Rechnungsnummer und Leistungszeitraum mit internen Unterlagen überein?

2. Ist der Absender die bekannte Adresse des Lieferanten (prüfen auf Domain/Schreibweise)?

3. Wurde die Bankverbindung bereits früher verwendet? Wenn nein: Telefonische Verifikation über bekannte Telefonnummer.

4. Enthält die E‑Mail ungewöhnliche Anhänge oder Links? Dann separat prüfen (nicht direkt anklicken).

5. Liegt eine digitale Signatur oder ein Lieferantenportal‑Beleg vor?

6. Wurde die Rechnung von zwei berechtigten Personen geprüft und freigegeben?

7. Ergibt eine Suche nach Firmendaten/Domain Hinweise auf Dubletten oder kürzlich registrierte Domains?

Was tun, wenn eine manipulierte Rechnung bezahlt wurde?

1. Sofortige Kontaktaufnahme mit der Bank: Zahlungsauftrag rückgängig machen oder Rückruf veranlassen — je schneller, desto besser.

2. Beweissicherung: Alle E‑Mails, Anhänge, Header‑Informationen und Zahlungsbelege sichern.

3. Interne Alarmierung: Geschäftsführung, Compliance und IT informieren; ggf. Buchhaltung sperren.

4. Polizei anzeigen: Strafanzeige erstatten (Cybercrime‑Abteilung) und Anzeige mit Belegen einreichen.

5. Externe Meldestellen: Bei größeren Schäden an Financial Intelligence Units / nationalen Meldestellen melden.

6. Lieferanten informieren: Klären, ob deren Accounts kompromittiert wurden.

7. Passwörter und Zugriffsrechte prüfen und ggf. ändern (insbesondere bei kompromittierten E‑Mail‑Konten).

8. Lessons Learned: Prozesse anpassen, Schwachstellen analysieren und Mitarbeitende nachschulen.

Beispiel: Kurzer Telefon‑Verifizierungstext (vor Zahlung)

„Guten Tag, hier ist [Name] von [Firma]. Wir haben eine Rechnung Nr. [XXX] erhalten. Bevor wir zahlen, bestätigen Sie mir bitte telefonisch Ihre Bankverbindung: IBAN [xxxx] und den Kontoinhaber. Ich rufe die Nummer an, die wir in unseren Stammdaten für Sie gespeichert haben.“

(Nicht die Nummer aus der E‑Mail verwenden — immer die bereits bekannte oder öffentlich recherchierte Nummer.)

Fazit

Manipulation von Rechnungen per E‑Mail gelingt häufig durch soziale Täuschung und Ausnutzung organisatorischer Lücken. Die beste Verteidigung ist eine Kombination aus technischen Schutzmaßnahmen, klaren Prozessen, starker Authentifizierung und regelmäßiger Sensibilisierung der Mitarbeitenden. Schnelles Reagieren und klare Meldewege reduzieren Schaden, wenn dennoch etwas schiefgeht.