E-Mail-Sicherheit im Rechtsverkehr

Zwei Fälle, ein Problem: Rechnungsbetrug per E-Mail

In zwei aktuellen Urteilen – vom OLG Karlsruhe und dem Schleswig-Holsteinischen OLG – ging es um Rechnungen, die per E-Mail versendet wurden. In beiden Fällen wurden die Rechnungen manipuliert die Empfänger zahlten auf die in den manipulierten Rechnungen angegebenen falschen Konten. Das Geld war verloren und konnte nicht zurückgeholt werden. Es war die Frage, ob erneut zu zahlen ist bzw. wer den Schaden zu tragen hat. Die Gerichte kamen zu unterschiedlichen Bewertungen – mit weitreichenden Folgen für Unternehmen.

TLS vs. E2EE: Was schützt wirklich?

Das Schleswig-Holsteinische OLG forderte in seinem Urteil faktisch die Einführung von Ende-zu-Ende-Verschlüsselung (E2EE) für den Versand von Rechnungen und anderen kritischen Mails. Doch laut Dr. Thomas Lapp, Fachanwalt für IT-Recht und Vorsitzender der NIFIS e.V., greift diese Sichtweise zu kurz:
„E2EE schützt die Vertraulichkeit – aber nicht die Authentizität oder Integrität einer Nachricht.“
Denn: Auch eine verschlüsselte E-Mail kann manipuliert werden, wenn der Empfänger nicht sicher weiß, wer sie gesendet hat. Die Lösung liegt daher nicht allein in der Verschlüsselung, sondern in der elektronischen Signatur.
 

Die bessere Lösung: Qualifizierte elektronische Signatur (qeS)

Die qeS ist der rechtssichere Nachweis, dass eine Nachricht unverändert und authentisch ist. Sie ist der eigenhändigen Unterschrift gleichgestellt (§ 126a BGB) und kann mit modernen Tools wie der EU Digital Identity Wallet künftig noch einfacher eingesetzt werden. Die EU DI Wallet ist Teil der Digitalstrategie der neuen Bundesregierung.

Redaktioneller Hinweis:
Dieser Beitrag basiert auf dem entsprechenden Vortrag während des IT Security Talks zum Thema Regulierung am 27.05.2025 und wurde mit Unterstützung von KI erstellt.