E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen

Günter Esch plädiert für „Secure E-Mail-Gateways“ als Grundsicherung digitaler Rechnungsprozesse

[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen