Die Digitalisierung hat viele Geschäftsprozesse vereinfacht – leider nutzen auch Kriminelle diese Möglichkeiten gezielt aus. Eine besonders perfide Betrugsmasche sind die sogenannten Fake Rechnungen. Dabei machen sich Täter echte Geschäftsbeziehungen zunutze, um Zahlungen unbemerkt auf eigene Konten umzuleiten.
Inhaltsverzeichnis
- Die Betrugsmasche der Fake-Rechnungen im Detail
- Wie sich Unternehmen vor Fake-Rechnungen schützen können
2.1 Zusätzliche organisatorische Schutzmaßnahmen - Worauf Rechnungsempfänger achten sollten
- Was im Ernstfall zu tun ist
- Checkliste: Was tun bei Rechnungsbetrug?
5.1 Für die Kreditorenbuchhaltung (Rechnungsempfang)
5.2 Für den Rechnungsversand (Fakturierung)
5.3 Sofortmaßnahmen bei Verdacht auf Fake-Rechnungen - Fazit zu Fake-Rechnungen
- FAQ – Häufig gestellte Fragen
Die Betrugsmasche der Fake Rechnungen im Detail
Im Zentrum dieser Methode stehen häufig kompromittierte E-Mail-Konten. Kriminelle verschaffen sich Zugriff auf Postfächer von Unternehmen oder Selbstständigen und fangen dort eingehende oder ausgehende Rechnungen ab. Anschließend manipulieren sie gezielt die Zahlungsinformationen: In vielen Fällen verändern die Betrüger lediglich die IBAN auf der Rechnung. Der Rest der E-Mail bleibt unverändert. Absenderadresse, Text und sogar der Dateiname wirken vollkommen authentisch.
Für Sie als Rechnungsempfänger ist es oft schwer, eine gefakte Rechnung zu erkennen. In gutem Glauben überweisen Sie den Rechnungsbetrag – allerdings nicht an den tatsächlichen Geschäftspartner, sondern direkt an die Betrüger. Der Rechnungsbetrug fällt oft erst dann auf, wenn der echte Rechnungssteller eine Mahnung verschickt und Sie auf die ausstehende Zahlung hinweist.
Wie sich Unternehmen vor Fake Rechnungen schützen können
Für Unternehmen ist es entscheidend, den Rechnungsversand so sicher wie möglich zu gestalten. Bereits die Wahl der Absenderadresse spielt eine wichtige Rolle. Allgemeine E-Mail-Adressen wie „info@…“ bieten Angriffsfläche und sollten nach Möglichkeit vermieden werden. Treten verdächtige Vorfälle auf – etwa manipulierte Rechnungen im eigenen Namen – ist schnelles Handeln gefragt. In solchen Fällen besteht der dringende Verdacht, dass ein E-Mail-Konto kompromittiert wurde. Ändern Sie als erstes umgehend alle Passwörter!
Darüber hinaus empfehlen wir Ihnen, die E-Mail-Einstellungen genau zu überprüfen. Kriminelle richten häufig unbemerkte Weiterleitungsregeln ein, die Kopien sämtlicher Nachrichten an externe Adressen senden. Um sicherzugehen, sollten Sie das gesamte IT-System durch Fachleute überprüfen lassen, um mögliche Sicherheitslücken oder Schadsoftware zu identifizieren und zu beseitigen.
Zusätzliche organisatorische Schutzmaßnahmen
Zusätzlich zu technischen Sicherheitsvorkehrungen spielen auch organisatorische Maßnahmen eine entscheidende Rolle beim Schutz vor Fake Rechnungen. So empfiehlt es sich, für Zahlungsfreigaben ab einer bestimmten Summe das Vier-Augen-Prinzip einzuführen. Dabei wird jede Überweisung von zwei unterschiedlichen Mitarbeitenden geprüft und freigegeben, wodurch Manipulationen deutlich schneller auffallen können.
Auch eine klare Kontenstruktur erhöht die Sicherheit: Werden Konten für den laufenden Zahlungsverkehr von Rücklagen- oder Sparkonten getrennt, lässt sich der Zahlungsfluss besser überwachen und potenzielle Schäden können begrenzt werden.
Ein zentraler Baustein ist die regelmäßige Schulung der Mitarbeitenden. Insbesondere im Hinblick auf „Social Engineering“ ist es wichtig, das Bewusstsein für typische Betrugsversuche zu schärfen. Es trägt maßgeblich zur Prävention bei, dass gut informierte Mitarbeitende verdächtige Fake Rechnungen erkennen können.
Worauf Rechnungsempfänger achten sollten
Auch auf Kundenseite lässt sich das Risiko deutlich reduzieren. Prüfen Sie vorab, ob überhaupt eine Bestellung, ein Vertrag oder eine Lieferung zu dieser Rechnung existiert. Misstrauen Sie grundsätzlich E-Mails, die mit Inkasso, rechtlichen Schritten oder extrem kurzen Fristen (z. B. „Zahlung innerhalb von 2 Stunden“) massiven Druck aufbauen. Ein sorgfältiger Abgleich der Zahlungsdaten ist eine der wichtigsten Maßnahmen. Stimmen die Kontodaten mit früheren Überweisungen oder den Angaben auf der offiziellen Webseite des Unternehmens überein, sinkt die Gefahr erheblich.
IBAN auf der Rechnung überprüfen: https://de.iban.com/iban-checker
Lassen Sie sich nicht vom angezeigten Namen des Absenders täuschen. Prüfen Sie die technische E-Mail-Adresse dahinter (z. B. per Mouseover). Betrüger nutzen oft Domains, die dem Original ähnlich sehen (z. B. @firma-gmbh.de statt @firma.de).
Besondere Aufmerksamkeit ist geboten, wenn sich Kontoverbindungen plötzlich ändern. In solchen Fällen empfiehlt es sich, telefonisch Kontakt mit dem bekannten Ansprechpartner aufzunehmen und die Angaben zu verifizieren.
Fehlen Pflichtangaben wie die Umsatzsteuer-Identnummer (USt-IdNr.), eine fortlaufende Rechnungsnummer oder das korrekte Leistungsdatum? Auch Abweichungen im Logo oder Layout sind Warnsignale. Seien Sie skeptisch beim Dateiformat! Rechnungen sollten als PDF kommen. Seien Sie extrem vorsichtig bei ZIP-Archiven oder Word-Dokumenten (.doc/.docx), da diese häufig Schadsoftware enthalten. Grundsätzlich sollte Vorsicht im Umgang mit E-Mail-Anhängen gelten. Dateien aus unbekannten oder zweifelhaften Quellen sollten Sie nicht öffnen, da sie Schadsoftware enthalten können.
Was im Ernstfall zu tun ist
Entdecken Sie einen solchen Betrug, zählt jede Minute. Sowohl Rechnungssteller als auch Rechnungsempfänger sollten umgehend die Polizei informieren und Anzeige erstatten. Parallel dazu ist es wichtig, sofort die eigene Bank zu kontaktieren. In einigen Fällen besteht die Möglichkeit, die Überweisung noch zu stoppen oder rückgängig zu machen – allerdings meist nur innerhalb eines sehr kurzen Zeitfensters.
Nicht zuletzt sollten beide Parteien ihre IT-Systeme gründlich überprüfen lassen. Ziel ist es, mögliche Sicherheitslücken zu schließen und zukünftige Angriffe zu verhindern.
Antworten Sie niemals auf eine verdächtige Mail. Damit bestätigen Sie den Betrügern nur, dass Sie Ihre Adresse aktiv nutzen, was zu weiteren Angriffen führt. Legen Sie fest, wen man im Unternehmen (z. B. IT-Leitung oder Geschäftsführung) sofort informieren muss, wenn man einen Rechnungsbetrug entdeckt.
Checkliste: Was tun bei Rechnungsbetrug?
Angesichts der aktuellen Betrugswelle durch manipulierte Rechnungs-PDFs empfehlen wir, die folgenden Sicherheitsvorkehrungen in Ihren Arbeitsalltag zu integrieren:
Für die Kreditorenbuchhaltung (Rechnungsempfang)
- Plausibilitätscheck: Prüfen Sie vorab, ob überhaupt eine Bestellung, ein Vertrag oder eine Lieferung zu dieser Rechnung existiert.
- Absender-Adresse verifizieren: Prüfen Sie die E-Mail-Adresse (z. B. per Mouseover).
- IBAN auf Rechnung überprüfen: Vergleichen Sie die IBAN auf der Rechnung grundsätzlich mit den Stammdaten in Ihrem System oder den Angaben auf der offiziellen Website des Dienstleisters.
- Achtung bei Änderungen: Seien Sie besonders wachsam, wenn ein Geschäftspartner plötzlich per E-Mail mitteilt, dass sich seine Bankverbindung geändert hat.
- Telefonische Verifizierung: Rufen Sie im Zweifelsfall den Rechnungssteller unter einer bekannten Nummer an (nicht die Nummer aus der verdächtigen E-Mail!), um die Kontodaten kurz abzugleichen.
- Dateiprüfung: Öffnen Sie Anhänge nur, wenn der Absender und der Kontext der Mail absolut plausibel sind. Vorsicht bei ZIP-Archiven oder Word-Dokumenten!
Für den Rechnungsversand (Fakturierung)
- Dedizierte E-Mail-Adressen: Nutzen Sie für den Versand von Rechnungen keine Sammeladressen wie info@…, sondern spezialisierte Accounts.
- Sicherheits-Check: Prüfen Sie regelmäßig Ihre E-Mail-Einstellungen auf unautorisierte Weiterleitungsregeln. Betrüger richten diese oft heimlich ein, um Kopien Ihrer Korrespondenz zu erhalten.
- Passwort-Hygiene: Verwenden Sie starke Passwörter und falls möglich eine Zwei-Faktor-Authentifizierung (2FA) für Ihre Mail-Accounts.
Sofortmaßnahmen bei Verdacht auf Fake Rechnungen
- Bank kontaktieren: Versuchen Sie umgehend, die Überweisung über Ihre Bank stoppen oder rückbuchen zu lassen.
- Beweissicherung: Löschen Sie die verdächtige E-Mail nicht; sie dient der Polizei als Beweismittel.
- Anzeige erstatten: Informieren Sie die Polizei (Zentralstelle Cybercrime), damit der Vorfall offiziell erfasst wird.
- IT-Systeme prüfen: Lassen Sie Ihre Rechner und Server auf Schadsoftware untersuchen, um weitere Manipulationen auszuschließen.
Fazit zu Fake Rechnungen
Fake Rechnungen sind eine ernstzunehmende Bedrohung im Geschäftsalltag. Da die Fälschungen oft täuschend echt wirken, ist ein hohes Maß an Aufmerksamkeit erforderlich. Mit klaren Sicherheitsmaßnahmen, gesunder Skepsis und schnellem Handeln im Ernstfall lässt sich das Risiko jedoch deutlich reduzieren.
FAQ – Häufig gestellte Fragen
Wie verifiziere ich eine neue Bankverbindung sicher?
Rufen Sie Ihren Ansprechpartner unter einer Ihnen bereits bekannten Telefonnummer an und gleichen Sie die Rechnungsdaten mündlich ab. Vertrauen Sie niemals auf Telefonnummern, die direkt in einer verdächtigen E-Mail stehen.
Was soll ich tun, wenn ich bereits Geld an eine falsche IBAN überwiesen habe?
Kontaktieren Sie sofort Ihre Bank, um die Überweisung stoppen zu lassen – jede Minute zählt. Erstatten Sie zudem umgehend Anzeige bei der Polizei.
Ist eine PDF-Rechnung sicherer als eine Word-Datei?
In Bezug auf Viren ja, in Bezug auf Betrug nein. Während Word-Dateien oft Schadcode enthalten, nutzen Betrüger PDFs wegen ihrer seriösen Optik, um gefälschte Kontodaten glaubhaft zu präsentieren.
Woran erkenne ich eine manipulierte Rechnung am schnellsten?
Achten Sie auf Abweichungen bei der IBAN im Vergleich zu früheren Zahlungen oder der Website. Auch verdächtige Absender-E-Mails und künstlicher Zeitdruck sind Warnsignale.
Warum schlägt mein Spam-Filter bei diesen E-Mails nicht an?
Die Betrüger nutzen oft echte, gehackte Konten und kopieren Original-Inhalte. Da die Mail technisch „sauber“ ist und nur die IBAN im Anhang geändert wurde, wird sie oft nicht als Spam erkannt.
