Phishing-Mails kennt inzwischen fast jeder. Sie tarnen sich als seriöse Nachrichten und locken mit Links oder Aufforderungen zur Preisgabe von Zugangsdaten. Doch während viele Nutzer hier bereits vorsichtiger geworden sind, hat sich im geschäftlichen Alltag eine andere Form des Betrugs durch Cyberattacken breit gemacht, die besonders heimtückisch ist und auch Handwerksbetriebe nicht verschont.
Gefälschte Rechnungen im Mail-Postfach
Im Geschäftsverkehr werden heutzutage regelmäßig Rechnungen elektronisch per E-Mail versendet. Im B2B-Bereich wird der elektronische Rechnungsversand vom Gesetzgeber seit diesem Jahr sogar erwartet. Aber auch für Privatkunden wird dieser einfache und schnelle Versandweg mittlerweile von Unternehmen bevorzugt gewählt.
Da der Kunde die Abrechnung erwartet, rechnet er nicht mit einer Manipulation. Genau diese Erwartungshaltung nutzen Cyberkriminelle aus. Sie fangen E-Mails mit Rechnungsanhängen ab und manipulieren diese, indem sie vor allem die Bankverbindung ändern, so dass auf der manipulierten Rechnung eine vom Täter kontrollierte Kontoverbindung ausgewiesen wird. Manipulationen sind für den Empfänger oft schwer bis gar nicht zu erkennen. Daher überweisen Kunden häufig ohne weiteren Verdacht. Das Ergebnis: Das Geld landet nicht beim Handwerksbetrieb, sondern auf einem fremden Konto, oft im Ausland. Für den tatsächlichen Leistungserbringer bleibt die Kasse leer.
Handwerksbetriebe doppelt gefährdet
Besonders gefährlich ist, dass Handwerksbetriebe gleich auf zwei Arten betroffen sein können. Zum einen könnten sie selbst Opfer werden und eine manipulierte Rechnung bezahlen. Zum anderen könnten die eigenen Ausgangsrechnungen von Cyberkriminellen abgefangen und verfälscht werden. In beiden Fällen dürfte es zu einem Streit darüber kommen, ob die Rechnung nochmal an den richtigen Rechnungsaussteller gezahlt werden muss.
Wer am Ende die Rechnung zahlt
Die Frage nach der Haftung beschäftigt längst auch die Gerichte. Die Linie ist dabei zunächst klarer, als viele denken: Kunden, die auf ein falsches Konto überweisen, haben ihre Schuld nicht beglichen und sind daher weiterhin zur Zahlung verpflichtet. In mehreren Entscheidungen wurde das bereits bestätigt – auch wenn die manipulierten Rechnungen mit den falschen Kontodaten auf den ersten Blick täuschend echt wirkten.
Wer auf eine manipulierte Mail hereinfällt, trägt also grundsätzlich das Risiko, dass er nochmal zahlen muss. Aber Achtung: Verletzt der Unternehmer beim Rechnungsversand ihm obliegende Sorgfaltspflichten, läuft er Gefahr, sich schadenersatzpflichtig zu machen und damit unter Umständen auf seinem Zahlungsanspruch sitzen zu bleiben. Solche Pflichtverletzungen könnten in den Sicherheitsvorkehrungen beim E-Mail-Versand liegen.
Geschäftskunden vs. Privatkunden
Ist der Rechnungsempfänger ein Unternehmen, haben Gerichte, wie das OLG Karlsruhe1 und das Landgericht Rostock2 entschieden, dass der Versender seine Rechnungs-Mails nicht mit besonderen technischen Vorkehrungen schützen muss. Im Privatkundenbereich aber wird die Latte höher gelegt, denn zum Schutz von Daten natürlicher Personen findet die Datenschutzgrundverordnung (DSGVO) Anwendung. Unternehmen haben hier den E-Mail-Versand so abzusichern, dass sie ein ausreichendes Schutzniveau im Sinne der DSGVO bieten, wenn hohe Geldbeträge auf dem Spiel stehen. So urteilte das OLG Schleswig-Holstein3
DSGVO und IT-Sicherheit
Das OLG Schleswig-Holstein sieht dieses Schutzniveau im Sinne der DSGVO nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet. Da es an einer solchen Sicherheitsvorkehrung im zugrundeliegenden Fall fehlte, sprachen die Richter dem Privatkunden einen Schadenersatzanspruch nach Artikel 82 DSGVO in Höhe der fälschlicherweise getätigten Zahlung zu, sodass er am Ende nicht noch einmal an den Werkunternehmer zahlen musste. Da die manipulierte Rechnung keine signifikanten Auffälligkeiten enthielt, die auf eine Fälschung hätten hindeuten können, lasteten die Richter dem Kunden auch kein Mitverschulden an.
Wer elektronische Rechnungen verschickt, muss also mit steigenden Anforderungen an die IT-Sicherheit rechnen. Grundsätzlich hat zwar derjenige das Risiko eines betrügerischen Angriffs zu tragen, der auf die manipulierte E-Mail hereingefallen ist. Allerdings obliegen bei einer Rechnung an Privatpersonen dem Unternehmen beim Versand per E-Mail besondere Sorgfaltspflichten nach der DSGVO, wie das Oberlandesgericht herausstellt, so dass in diesem Bereich besondere Sicherheitsvorkehrungen für den E-Mail-Versand eingefordert werden. Fehlt es an diesen und zahlt der Kunde aufgrund einer manipulierten Mail an den Falschen, läuft das Unternehmen schnell Gefahr, sich schadenersatzpflichtig zu machen, mit der Folge, dass es auf seiner Forderung unter Umständen sitzen bleibt.
Was das für Handwerksbetriebe bedeutet
Manipulierte Rechnungen sind kein Randphänomen mehr, sondern ein reales Risiko für Handwerksbetriebe. Ein wachsames Auge auf verdächtige Details in eingehenden Rechnungen, klare Absprachen über Bankverbindungen und gegebenenfalls technische Sicherheitsvorkehrungen beim Versand sind daher mehr als nur eine Empfehlung – sie sind längst zu einem Teil professioneller Unternehmensführung geworden.
Quellen:
1 LG Rostock, Urt. v. 20.11. 2024 (Az.: 2 O 450/24)
2 OLG Karlsruhe, Urt. v. 27.07.2023 (Az.: 19 U 83/22)
3 OLG Schleswig-Holstein, Urt. v. 18.12.2024 (Az. 12 U 9/24)
Die einzelnen Entscheidungen können im Volltext bzw. als Pressemeldung über die (externen) Links abgerufen werden.