Sichere E-Rechnung? Nur mit sicherer E-Mail!

Die Einführung der E-Rechnungspflicht in Deutschland markiert einen bedeutenden Schritt in der Digitalisierung des Rechnungswesens. Ab dem 1. Januar 2025 sind Unternehmen verpflichtet, elektronische Rechnungen zu empfangen und zu verarbeiten, sofern sie in Deutschland umsatzsteuerpflichtige Geschäfte tätigen.

Der Versand dieser Rechnungen wird im B2B-Bereich ab 2028 verbindlich. Bis dahin gibt es einige Übergangsregelungen. Ziel ist es, die Effizienz in der Buchhaltung zu steigern, manuelle Arbeitsschritte zu reduzieren und die Fehleranfälligkeit zu minimieren. Gleichzeitig soll die Umstellung den Umsatzsteuerbetrug bekämpfen und die Wirtschaft langfristig digital transformieren.

Für die Umsetzung müssen Unternehmen ihre Prozesse anpassen, geeignete Softwarelösungen implementieren und Anforderungen in der Archivierung erfüllen. Trotz der potenziellen Vorteile wie Zeit- und Kosteneinsparungen bringt die Umstellung, insbesondere für kleine und mittlere Unternehmen, Herausforderungen mit sich, da technische und organisatorische Anpassungen notwendig sind.

Langfristig bietet die E-Rechnung jedoch auch Chancen für optimierte Geschäftsprozesse und einen ressourcenschonenden Umgang mit Verwaltungsaufgaben.

Was bisher kaum Eingang in die die öffentliche Berichterstattung gefunden hat, ist die Tatsache, dass sich durch die E-Rechnungspflicht auch das Risiko für Rechnungsbetrug massiv erhöht, da in Zukunft nicht nur noch mehr Rechnungen per E-Mail versendet werden, sondern auch weil Rechnungsangaben in den offenen Datenformaten der E-Rechnung noch einfacher verändert werden können.

Testen Sie, ob Ihr E-Mail-System bereits für die sichere Übertragung von E-Rechnungen geeignet ist, indem Sie eine Test-Mail an die Adresse test@evaluation.comcrypto.de senden.

E-Rechnung ist die Abkürzung für elektronische Rechnung. Definiert wird dieser Begriff in Artikel 23 des Wachstumschancengesetzes zur Änderung des Umsatzsteuergesetzes (UStG). Danach ist eine elektronische Rechnung "[...] eine Rechnung, die in einem strukturierten elektronischen Format ausgestellt, übermittelt und empfangen wird und eine elektronische Verarbeitung ermöglicht.".

Das bedeutet, dass alle Angaben, die in eine solche Rechnung gehören, in einer klar definierten Datenstruktur vorliegen müssen. Eine solche Datenstruktur kann beispielsweise auf einer Auszeichnungssprache wie XML basieren, wie dies bei den bekannten E-Rechnungsformaten XRechnung und ZUGFeRD der Fall ist. Im Prinzip ist aber jede Form von Austauschformat möglich, die zwischen Rechnungsaussteller und Rechnungsempfänger vereinbart wurde, sofern ein Export in ein normenkonformes Format möglich ist. Alle notwendigen Angaben zur Gestaltung eines Austauschformats für E-Rechnungen sind in der europäischen Norm EN 16931 geregelt.

Und was unterscheidet eine E-Rechnung von einer üblichen Rechnung im PDF-Format? Eine PDF-Rechnung ist eine digitale Datei, die Rechnungsinformationen in einem unstrukturierten Format enthält. Die Daten wie z. B. Adressangaben stehen nicht in einzelnen Datenfeldern, sondern verteilt in einem beliebigen Rechnungslayout.

Um in Buchhaltungs- oder ERP-Systeme übertragen zu werden, benötigen übliche PDF-Rechnungen oft manuelle Schritte. Automatisierte Weiterverarbeitung ist bei dieser Variante nur begrenzt möglich, da die enthaltenen Daten nicht maschinenlesbar sind.

Solche Rechnungen werden zusammen mit Rechnungen in Papierform rechtlich als sonstige Rechnungen definiert. Eine normale PDF-Datei ist also laut aktueller Rechtsdefinition keine elektronische Rechnung.

Davon zu unterscheiden ist das hybride Datenformat ZUGFeRD. Hier werden strukturierte Rechnungsdaten im XML-Format in ein menschenlesbares PDF eingebettet.

Bereits ab dem 01.01.2025 beginnt eine Übergangsphase. Ab diesem Zeitpunkt müssen alle Unternehmen E-Rechnungen empfangen, verarbeiten und revisionssicher archivieren können. Ab diesem Zeitpunkt entfällt der Vorrang der Papierrechnung und jedes Unternehmen kann E-Rechnungen ausstellen.

Der 01.01.2027 markiert den Stichtag, ab dem Unternehmen mit einem Umsatz von mehr als 800.000 € im Vorjahr im B2B-Sektor definitiv E-Rechnungen versenden müssen.

Spätestens ab dem 01.01.2028 müssen prinzipiell alle Unternehmen ihre Rechnungen im B2B-Bereich als elektronische Rechnungen versenden. Jedoch gibt es einige Ausnahmen, in denen auf eine E-Rechnung verzichtet werden kann.

Dazu zählen unter anderem Leistungen von Kleinunternehmern, Beträge bis 250 €, einige Leistungen an Endverbraucher im Kontext von Grundstücken, als Rechnungen geltende Fahrausweise sowie Leistungen an juristische Personen, die keine Unternehmer sind.

E-Rechnungen werden zu einem großen Teil per E-Mail versendet. Im Gegensatz zur Datenübertragung im Webbrowser hat sich beim Medium E-Mail jedoch nie eine sichere Transportverschlüsselung durchgesetzt. Standardmäßig werden E-Mails mit opportunistischer Transportverschlüsselung übermittelt.

Das heißt, eine sichere Übertragung findet nur statt, wenn die E-Mail-Server entsprechend konfiguriert sind. Das größte Sicherheitsproblem hierbei ist, dass bei unzureichender Verschlüsselungsmöglichkeit die Zustellung nicht abgebrochen, sondern unverschlüsselt fortgesetzt wird.

Diese Priorisierung auf die Zustellung von E-Mails anstatt auf deren Sicherheit kann fatale Folgen haben. Durch sogenannte Man-in-the-Middle-Angriffe können Betrüger unsichere Übertragungswege ausnutzen, den Mail-Verkehr mitlesen und sogar Kontonummern auf Rechnungen austauschen.

Und durch die Umstellung auf maschinenlesbare Rechnungsformate verschlimmert sich diese Situation auch noch. Bisher mussten Betrüger mühevoll die Angaben in den Layouts von PDF-Rechnungen anpassen. Daten in einer XML-Datei wie bei XRechnung oder ZUGFeRD lassen sich hingegen so einfach verändern, dass man dafür leicht Automatismen für großflächige Attacken entwickeln kann.

Dazu kommt, dass durch die E-Rechnungspflicht die Papierform im B2B-Bereich abgeschafft wird. Damit erhöht sich das Gesamtaufkommen an Rechnungsmails zusätzlich. Und durch die Umstellung der Arbeitsabläufe auf E-Rechnung werden vor allem in kleinen und mittleren Unternehmen für eine Weile genügend Unsicherheiten herrschen, um Mitarbeiter mit falschen Angaben manipulieren zu können. Rechnungsbetrug per E-Mail wird dadurch immer attraktiver für Angreifer.

Das kann nicht nur zu hohen finanziellen Verlusten durch Fehlüberweisungen führen, sondern auch das eigene Ansehen bei wichtigen Geschäftskontakten beschädigen.

Daneben handelt es sich bei so einem Angriff auch potenziell um einen meldepflichtigen Vorfall, der eine Lawine weiterer fristgerecht zu erfüllender Maßnahmen nach sich ziehen kann.

Was kann man also tun, um sich vor solchen Betrugsmaschen zu schützen?

Neben der Nutzung von Plattformen wie z.B. Peppol (Pan-European Public Procurement OnLine) oder der Anwendung des EDI-Verfahrens bleibt die E-Mail zentraler Eckfeiler in der geschäftlichen Kommunikation. Selbst wenn man also zusätzlich andere sichere Verfahren nutzen möchte, um Geschäftsdokumente auszutauschen, muss man seine E-Mail-Infrastruktur trotzdem immer absichern, um sie für den Austausch von Geschäftsdokumenten sicher nutzen zu können.

Um sicherzustellen, dass Informationen weder unbefugt eingesehen noch missbräuchlich verwendet werden, sind bei der Nutzung von E-Rechnungen bestimmte Anforderungen zu beachten. Diese umfassen insbesondere die Punkte Integrität, Verfügbarkeit und Vertraulichkeit.

Die Integrität elektronischer Rechnungen bedeutet, dass deren Inhalte nachträglich nicht verändert oder manipuliert werden können. Verfügbarkeit bezeichnet die Pflicht, elektronische Rechnungen jederzeit, beispielsweise während einer Betriebsprüfung, abrufen zu können. Vertraulichkeit stellt sicher, dass nur berechtigte Personen im Unternehmen Zugang zu den jeweiligen Rechnungen erhalten.

Unternehmen müssen gewährleisten, dass alle rechtlichen Anforderungen im Zusammenhang mit E-Rechnungen von Anfang an erfüllt werden, um den Vorgaben zu entsprechen.

Nur wenn E-Mails verschlüsselt übertragen werden, kann deren Integrität sichergestellt werden. Leider spielen dabei aber auch die technischen Vorausetzungen der Empfängerseite eine große Rolle.

Die adaptive Verschlüsselung von comcrypto bietet die passende Lösung für den sicheren Versand von E-Rechnungen und anderen sensiblen Daten per E-Mail. Diese Technologie basiert auf einer automatisierten Sicherheitsprüfung, die in Echtzeit durchgeführt wird. Das System entscheidet dynamisch, welche Verschlüsselungsmethode basierend auf den Sicherheitsanforderungen des Empfängersystems angewendet wird und stellt sicher, dass mindestens der erforderliche Schutz garantiert wird, ohne dass manuelle Eingriffe erforderlich sind.

Ein wesentlicher Vorteil liegt in der Flexibilität der Lösung: Sie kombiniert Technologien wie S/MIME, qualifizierte Transportverschlüsselung und Passwortschutz, um verschiedene Sicherheitstechnologien abzudecken. Falls beispielsweise der Empfänger keine Transportverschlüsselung unterstützt, greift das System automatisch auf alternative Schutzmechanismen zurück.

Ein Zustellnachweis ist ein Beleg dafür, dass eine E-Mail erfolgreich beim Empfänger angekommen ist. In Bezug auf E-Rechnungen spielen Zustellnachweise eine große Rolle. Im B2B-Bereich werden große Summen an Geld bewegt. Kommt es zwischen Unternehmen zu Unstimmigkeiten, ist der Zeitpunkt der Zustellung von Geschäftsdokumenten häufig besonders wichtig.

Sobald eine E-Mail auf dem Mailserver eines Empfängers abrufbereit zur Verfügung steht, gilt sie rechtlich als zugestellt. Die Nachweispflicht, sowohl für die Zustellung, als auch den Zustellzeitpunkt, liegt dabei beim Absender.

Das Mail Exchange Gateway von comcrypto bietet neben seiner Verschlüsselungstechnologie auch den Vorteil, dass für jede E-Mail automatisch ein rechtssicherer Zustellnachweis protokolliert wird. Das comcrypto MXG erhöht damit nicht nur die Sicherheit, sondern auch den administrativen Aufwand beim Austausch von E-Rechnungen.

So viele Chancen wie elektronische Rechnungen bieten, so viele Gefahren können durch falsche Handhabung auch entstehen. Wer seine Hausaufgaben im Bereich E-Mail-Sicherheit und Datenschutz bisher nicht gemacht hat, setzt sich mit der Umsetzung der E-Rechnungspflicht einem noch größeren Risiko als bisher aus. Ab jetzt ist schnelles Handeln gefragt, denn die Übergangsfristen laufen aus.

Machen Sie den Test und finden Sie heraus, ob Sie über Ihre E-Mail-Infrastruktur bereits E-Rechnungen sicher verschicken können.