Manipulierte Rechnungen, falsche Kontodaten, hohe Schäden – Cyberangriffe auf die E-Mail-Kommunikation nehmen zu. Zwei aktuelle Urteile zeigen: Wer Rechnungen per E-Mail versendet, muss mehr tun als nur auf Transportverschlüsselung zu setzen. Qualifizierte elektronische Signaturen (qeS) könnten der Schlüssel zur sicheren Kommunikation sein.
Zwei Fälle, ein Problem: Rechnungsbetrug per E-Mail
In zwei aktuellen Urteilen – vom OLG Karlsruhe und dem Schleswig-Holsteinischen OLG – ging es um Rechnungen, die per E-Mail versendet wurden. In beiden Fällen wurden die Rechnungen manipuliert die Empfänger zahlten auf die in den manipulierten Rechnungen angegebenen falschen Konten. Das Geld war verloren und konnte nicht zurückgeholt werden. Es war die Frage, ob erneut zu zahlen ist bzw. wer den Schaden zu tragen hat. Die Gerichte kamen zu unterschiedlichen Bewertungen – mit weitreichenden Folgen für Unternehmen.
TLS vs. E2EE: Was schützt wirklich?
Das Schleswig-Holsteinische OLG forderte in seinem Urteil faktisch die Einführung von Ende-zu-Ende-Verschlüsselung (E2EE) für den Versand von Rechnungen und anderen kritischen Mails. Doch laut Dr. Thomas Lapp, Fachanwalt für IT-Recht und Vorsitzender der NIFIS e.V., greift diese Sichtweise zu kurz:
„E2EE schützt die Vertraulichkeit – aber nicht die Authentizität oder Integrität einer Nachricht.“
Denn: Auch eine verschlüsselte E-Mail kann manipuliert werden, wenn der Empfänger nicht sicher weiß, wer sie gesendet hat. Die Lösung liegt daher nicht allein in der Verschlüsselung, sondern in der elektronischen Signatur.
Die bessere Lösung: Qualifizierte elektronische Signatur (qeS)
Die qeS ist der rechtssichere Nachweis, dass eine Nachricht unverändert und authentisch ist. Sie ist der eigenhändigen Unterschrift gleichgestellt (§ 126a BGB) und kann mit modernen Tools wie der EU Digital Identity Wallet künftig noch einfacher eingesetzt werden. Die EU DI Wallet ist Teil der Digitalstrategie der neuen Bundesregierung.
Vorteile der qeS:
- Nachweis von Authentizität und Integrität
- Manipulationen werden bei der Signaturprüfung erkannt
- Rechtssicher nach § 14 Abs. 3 UStG für elektronische Rechnungen
Was Unternehmen jetzt tun sollten
- Rechnungen mit qeS versenden
Moderne Signatursoftware wie z. B. digiSeal Office pro 500 oder andere Lösungen ermöglichen eine einfache Umsetzung. - Empfänger sensibilisieren
Mitarbeitende müssen wissen, woran sie eine echte Rechnung erkennen – und wann sie misstrauisch werden sollten. - Verbindliche Kommunikationsregeln etablieren
Unternehmen sollten mit ihren Partnern vereinbaren: „Rechnungen nur mit qualifizierter Signatur sind gültig.“ - Alternativen prüfen
Rechnungsportale oder gesicherte Downloadlinks können alternativ Sicherheit bei elektronischen Rechnungen bieten.
________________________________________
Fazit: Sicherheit braucht mehr als Verschlüsselung
Die Rechtsprechung zeigt: Vertraulichkeit allein genügt nicht. Wer Rechnungen oder andere rechtlich relevante Dokumente per E-Mail versendet, sollte auf qualifizierte elektronische Signaturen setzen – und mit seinen Kommunikationspartnern diese sichere Kommunikation etablieren.
Und gleich vormerken:
IT Security Talk: Regulierung
26.06.2025 | live, digital und kostenlos
Mit folgenden Beiträgen:
- noris network
- "KI-Regulierung - Innovationsbremse oder Wegweiser für sichere Anwendungen?"
- "IT-Dienstleister und steigende Kundenanforderungen nach NIS2, DORA, CRA, etc."
Redaktioneller Hinweis:
Dieser Beitrag basiert auf dem entsprechenden Vortrag während des IT Security Talks zum Thema Regulierung am 27.05.2025 und wurde mit Unterstützung von KI erstellt.