Rechnungsbetrug durch ungesicherten E-Mail-Versand

Wie viele Rechnungen versenden oder erhalten Sie an einem durchschnittlichen Arbeitstag? 10, 20 oder sogar mehr? Gerät auch nur eine davon in die falschen Hände, kann dies gravierende Folgen haben. Entweder bezahlt ein Kunde, an den Sie eine Rechnung stellten, durch manipulierte Bankdaten an den falschen Empfänger - oder sogar Sie selbst. Damit gehen Sie nicht nur das Risiko ein, an Reputation und das Vertrauen Ihrer Kunden zu verlieren, sondern auch selbst wirtschaftlichen Schaden zu erleiden. Rechnungsmanipulation per E-Mail ist nicht neu – das OLG Karlsruhe fällt nun am 27.07.23 aber ein erstes wichtiges Urteil.

Ausschlaggebend dafür war der Kauf eines Gebrauchtwagens zwischen zwei Unternehmen aus dem Jahr 2021. Der Vertrag wurde telefonisch geschlossen, wobei sich beide Parteien, in diesem Fall die Geschäftsführer höchstpersönlich, einigten, die Rechnung als PDF-Anhang per E-Mail zu versenden. Kurz darauf kam die erste E-Mail inklusive Rechnung über 13.500 € bei dem Käufer an. Allerdings wurde zwei Minuten später die nächste E-Mail, mit einer manipulierten Rechnung erhalten. Und auf diese Rechnung wurde dann mittels Überweisung des Kaufpreises reagiert. Die 13.500 € gingen somit an einen Dritten, der die erste Mail mutmaßlich abgefangen, die Bankdaten der Rechnung gefälscht und an den Käufer weitergeleitet hatte. Als nach mehr als 2 Wochen immer noch kein Geld auf das eigentliche Konto des Verkäufers einging, fragte dieser nach – und ab da nahm das Elend seinen Lauf. Denn erst hier wurde allen Beteiligten klar, etwas stimmt nicht.

Der Verkäufer klagte darauf, dass der Käufer den Kaufpreis abermals bezahlt, diesmal an das richtige Konto. Das Landgericht Mosbach wies diese Klage in erster Instanz ab, der Verkäufer hätte kein Recht auf eine erneute Zahlung. Darauf hin legte er Berufung ein. Das OLG Karlsruhe gab nunmehr dem Verkäufer recht, mit folgender Begründung:

„Nach Ansicht des OLG war die Klägerin nicht verpflichtet, beim Versand der Rechnungs-E-Mail bestimmte Verschlüsselungsverfahren wie die Ende-zu-Ende-Verschlüsselung anzuwenden. Eine allgemeine Verkehrserwartung hierzu bestehe im Geschäftsverkehr nicht. Die Klägerin habe auch sonst keine Pflichten verletzt.“[1]

Weiterhin hätte laut des OLG Karlsruhe dem Käufer auffallen müssen, dass die zweite Rechnung nicht die Originale hätte sein können. Diese enthielt nämlich grobe Fehler und sprachlich auffallende Abweichungen. All dies wurde ignoriert und so kam es zu folgenden, schmerzlichen Urteil für den Käufer:

1. Der Käufer wurde verurteilt, an den Verkäufer 13.500 € sowie weitere 953,40 € nebst Zinsen zu zahlen.
2. Der Käufer trägt die Kosten des Rechtsstreits beider Instanzen.

Doch was hat das mit uns zu tun? An sich besteht kein Handlungsbedarf beim Rechnungsversand seitens des Absenders.

Andererseits ist eine Absicherung des E-Mail-Verkehrs seitens des Absenders, z.B. mittels der qualifizierten Transportverschlüsselung, einfach umgesetzt. Klug vorauszuhandeln ist in diesem Falle einfacher, als sich danach mit verärgerten Kunden und streitwütigen Anwälten auseinanderzusetzen.

Und seien wir doch mal ehrlich - wollen Sie so etwas Ihren Kunden antun? Verärgerung, Stress und erhebliche Geldeinbußen? Bei all diesen drohenden Konsequenzen ist es fraglich, ob ein Kunde dem Unternehmen nach solch einem „Unfall“ treu bleibt. Reibungslose Kundebetreuung ist etwas anderes. Weiterhin – was wäre Ihre erste Anlaufstelle bei so einem Vorfall, wenn Sie der Käufer sind? Genau – Ihr Anwalt. Bei der Menge an Hackerangriffen auf Rechnungen, die per Mail versandt werden, steigt auch gleichzeitig die Anzahl der Klagen, die damit einhergehen. Denn aufgrund von bestehenden rechtlichen Unklarheiten führt der verärgerte Kunde ggf. lieber einen Rechtsstreit, in dem er versucht, Ihnen Pflichtverletzungen nachzuweisen – wie im Fall oben geschehen. Von dem verärgerten Kunden abgesehen, geht mit solch einer Klage und bis zur Klärung durch ein Gericht auch ein erheblicher Reputationsschaden einher.

Der Kunde ist König, sagt man so schön. Und um die digitale Kommunikation zwischen Ihnen und Ihren Kunden abzusichern, gibt es einfach und schnelle Wege.

Wir empfehlen folgende Hinweise zu beachten, um Hackerangriffe auf Ihren Rechnungsversand zu erschweren und im Fall der Fälle eine Rechtsstreitigkeit gar nicht erst bis vor Gericht kommen zu lassen:

• Benutzen Sie eine eigene E-Mail Domain (nicht Bsp. gmx.de oder telekom.de)
• Sicheren Sie den Zugriff auf Rechner, Netzwerke und E-Mail-Postfächer. Zum Beispiel über ein IT-Sicherheitskonzept
• Protokollieren Sie, welche Verschlüsselung beim Versand genutzt wurde und in welcher Qualität, mit welchem Server
• Achten Sie, dass in der eigenen Domain eine SPF- und eine DMARC-Policy gesetzt sind
• Verwenden Sie zusätzlich eine digitale Signatur der versendeten Rechnungs-Mails
• Halten Sie in Ihren AGBs und Aufträgen fest, wie Sie sensible Dokumente digital übertragen. Im Falle eines Rechtsstreites können Sie sich so darauf berufen.