Rechnungsbetrug entsteht selten durch technische Lücken, sondern durch strukturelle Schwächen im Rechnungsaustausch. Oliver Rauschil von Quadient erklärt im Interview, warum E-Mail zum Risikofaktor wird, welche Konsequenzen das OLG-Urteil 2025 hat und wie strukturierte E-Rechnungen Sicherheit, Compliance und Effizienz zusammenführen.
Wie läuft die Manipulation von Rechnungen typischerweise ab?
Rechnungsbetrug ist kein technisches Problem, sondern ein strukturelles. Die meisten Angriffe nutzen Prozesse aus, die auf Vertrauen basieren und die nie auf die heutige Bedrohungslandschaft ausgelegt wurden. E-Mail ist dafür das Paradebeispiel. Sie wurde ursprünglich für die Kommunikation und nicht für Finanztransaktionen entwickelt. Dennoch ist sie heute immer noch der wichtigste Weg für den Belegaustausch.
Die Angreifer wissen das ganz genau. Sie brauchen daher keine ausgeklügelten Tools, solange sich Unternehmen auf manuelle Überprüfungen, visuelle Validierung und guten Willen verlassen. Ob Thread-Hijacking oder Ändern von Kontoinformationen – ihr Ziel ist klar: Zahlungsinformationen im richtigen Moment unbemerkt zu ändern.
Sicherer Rechnungsaustausch: Wo liegen in der Praxis die größten Schwachstellen?
Am Rechnungsformat hängt es sicher nicht. Unternehmen sind viel mehr gefährdet durch verteilte Verantwortlichkeiten und manuelle Bearbeitung. Außerdem herrschen veraltete Ansichten darüber vor, was „ausreichend sicher“ ist. Denn Risiken bestehen, solange Rechnungen über E-Mail-Postfächer laufen und nicht in kontrollierten Systemen verarbeitet werden. Kurzum: Resilienz entsteht nicht, indem Unternehmen im Ernstfall schneller reagieren, sondern indem sie ihre Prozesse grundsätzlich anders aufstellen.
Was bedeutet das Urteil des OLG Schleswig-Holstein aus März 2025 für die Haftung und warum reicht eine Transportverschlüsselung nicht aus?
Das Urteil lässt erkennen, dass sich die Erwartungen geändert haben. Gerichte beurteilen Sicherheit nicht mehr nach der Absicht, sondern nach der Umsetzung. Eine Transportverschlüsselung wie TLS schützt Daten auf ihrem Weg einfach ungenügend. E-Mail-Rechnungen lassen sich relativ einfach abfangen und manipulieren. Sobald die Rechnung in einem E-Mail-Postfach auf dem Server eingegangen ist, haben Unternehmen keine Kontrolle mehr darüber.
Unternehmen sollten deshalb stärker ganzheitlich denken. Denn echte Ende-zu-Ende-Verschlüsselung schützt den Geschäftsvorfall an sich – und nicht nur den Übertragungsweg. Und Gerichte, Versicherer und Wirtschaftsprüfer achten zunehmend darauf, ob die eingesetzten Systeme Manipulationen wirklich einen Riegel vorschieben.
Für die Unternehmen geht es jedoch nicht so sehr um rechtliche Fragen, es geht vielmehr um verantwortliches Handeln. Wer sich auf veraltete Sicherheitsvorkehrungen verlässt, setzt sich Betrugsrisiken aus. Denn die Sicherheitsstandards von gestern genügen heute nicht mehr.
Wenn Unternehmen vorerst noch beim Rechnungsversand per E-Mail bleiben: Welche technischen Mindestmaßnahmen und welche organisatorischen Kontrollen sind dann heute „state of the art“?
Bleiben E-Mails Teil des Prozesses, müssen Unternehmen sie als kontrolliertes Risiko behandeln – und nicht unreflektiert als Standardweg. Auf dem aktuellen Stand der Technik zu sein heißt dementsprechend, starke technische Sicherheitsvorkehrungen mit kontrollierten Prozessen zu kombinieren. Dazu gehören Ende-zu-Ende-Verschlüsselung, Authentifizierungsstandards wie DMARC und DKIM, qualifizierte Signaturen und manipulationssichere Dokumenten-Workflows.
Ebenso entscheidend sind Governance-Maßnahmen. Werden Zahlungsdaten geändert, muss das zu einer Überprüfung außerhalb des E-Mail-Kanals führen. Das Vier-Augen-Prinzip und saubere Stammdaten sind nicht verhandelbar.
Bei alledem sollten Führungskräfte ehrlich zu sich selbst sein: Solche Maßnahmen reduzieren zwar das Risiko, ändern aber nichts an der grundlegenden Schwäche der E-Mail. Die zentrale Frage darf daher nicht sein, wie wir E-Mails sicherer machen, sondern wie wir sie schnell bei kritischen Finanztransaktionen ersetzen können.
Inwiefern löst die strukturierte E-Rechnung das Sicherheitsproblem und welche Restrisiken bleiben?
Das strukturierte E-Invoicing verändert das Paradigma der Rechnungsstellung: von Dokumenten zu Daten, von der Interpretation zur Validierung. In Kombination mit Netzwerken wie Peppol sind Sicherheit, Compliance und Interoperabilität ein integraler Bestandteil des Prozesses, keine nachträgliche Ergänzung.
Zwar verschwinden auch damit nicht alle Risiken. Denn schlechte Stammdaten oder unklare Zuständigkeiten können weiterhin zu Problemen führen. Der Unterschied ist jedoch: Fehler und Manipulationen sind die Ausnahmen und keine Systemschwäche.
Die elektronische Rechnungsstellung ist daher mehr als eine Compliance-Maßnahme. Sie ist die Grundlage für vertrauenswürdige, automatisierte Finanzökosysteme. Unternehmen, die E-Invoicing frühzeitig einführen, reduzieren nicht nur Risiken – sie positionieren sich auch für eine vernetzte, regulierte und datengesteuerte Zukunft.
Anzeige
Webinare zum Thema Business Software
Trovarit AG, anbieterneutraler Ansprechpartner bei der Auswahl, Einführung und Einsatzoptimierung von Business-Software, weitet ihr Webinar-Programm aus:
- ERP: Tipps & Strategien für zukunftssichere ERP-Projekte
- smartRFI – Der smarte Weg zur Auswahl der passenden Business-Software
- Project Health Check: Qualitätssicherung für Ihr Software-Projekt
- IT-Bebauungsplan – Essentieller Pfeiler einer Digitalisierungs-Roadmap
- Effiziente Lagerverwaltung im Fokus uvm.
Was müssen Geschäftsführer und CFOs zur geltenden E-Rechnungspflicht wissen und wie lässt sich das mit den Sicherheitsanforderungen verzahnen?
Die aktuellen Anforderungen sind ein Meilenstein, kein Endpunkt. Während sich die anfängliche Verpflichtung auf den Empfang strukturierter Rechnungen konzentriert, lautet die übergeordnete Botschaft: Sicherer Rechnungsaustausch wird zu einer regulierten digitalen Infrastruktur. Formate wie XRechnung und ZUGFeRD sind nur der Anfang.
Für Führungskräfte ist ein umfassender Ansatz entscheidend. Compliance, Sicherheit und Effizienz sollten nicht als separate Initiativen behandelt werden. Wer die Implementierung von E-Invoicing gut durchdenkt, der berücksichtigt alle drei Aspekte gleichzeitig.
Und wer frühzeitig beginnt, gewinnt Zeit, um seine Prozesse zu testen, Mitarbeiter zu schulen und Abläufe anzupassen. Unternehmen, die zu lange warten, riskieren, dass aus der grundlegenden Chance auf Transformation eine Compliance-Maßnahme in letzter Minute wird.
Wie sieht eine pragmatische Roadmap aus und lassen sich Quick Wins realisieren?
Kurzfristig sollten Unternehmen Risiken einhegen, also ihre bestehenden Kanäle absichern, Validierungsverfahren einführen und für klare Verantwortlichkeiten sorgen. Diese Schritte schaffen Bewusstsein und Dynamik.
Mittelfristig müssen sich die Strukturen ändern, indem sicherer Rechnungsaustausch auf sicheren Plattformen und in standardisierten Netzwerken stattfindet. SaaS-Lösungen sind hier besonders effektiv, da sie ohne zusätzliche Komplexität skalieren. Dadurch beseitigen Unternehmen ganze Risikoklassen und gewährleisten gleichzeitig die Compliance.
Langfristig wird die Rechnungsstellung Teil eines vollständig automatisierten Finanzflusses. Ab diesem Punkt geht es nicht mehr um Rechnungen, sondern darum, wie Daten sicher und intelligent innerhalb des Unternehmens fließen.
Welche Nachweise erwarten Auditoren und Cyber-Versicherer, um im Schadensfall grobe Fahrlässigkeit auszuschließen?
Die gute Absicht genügt hier nicht, Prüfer und Versicherer bewerten zunehmend die Prozessreife. Ihre Kriterien sind dokumentierte Richtlinien, geschulte Mitarbeiter, nachvollziehbare Prozesse und technische Nachweise dafür, dass Unternehmen Kontrollen aktiv durchsetzen.
Hier geht es nicht um Bürokratie. Dokumentationen weisen nach, dass Sicherheit und Compliance in den täglichen Betrieb integriert sind. Unternehmen, die diesen Wandel nachweisen können, stehen im Fall eines Vorfalls weitaus besser da.
Mit anderen Worten: Resilienz ist heute messbar. Und wer sie belegen kann, ist auf der sicheren Seite.
Aus Ihren Projekten: Woran scheitern Unternehmen am häufigsten und welche drei Maßnahmen haben den größten Effekt bei vertretbarem Aufwand?
Die meisten Fehler sind auf zu zögerliches Verhalten zurückzuführen. Unternehmen schieben Entscheidungen hinaus, unterschätzen Veränderungen oder versuchen, veraltete Prozesse zu optimieren, anstatt sie zu ersetzen. Das ist angesichts der Investitionen und organisatorischen Umstellungen, die ein strukturelles Projekt wie die Einführung der elektronischen Rechnungsstellung erfordert, nur natürlich. Aber Abwarten kann teuer werden – insbesondere in schnell wachsenden und sich rasch entwickelnden Branchen.
Die effektivsten Unternehmen konzentrieren sich auf drei Dinge: Sie entfernen E-Mails aus den kritischen Rechnungsflüssen, automatisieren die Validierung sowie die Prüfung der Compliance und setzen eine klare Governance für Zahlungsdaten durch. Mit solch einem pragmatischen Ansatz wird der Rechnungsprozess vom Risiko zum strategischen Vorteil.
Fazit: Sicherer Rechnungsaustausch beginnt im Prozessdesign
Das Interview macht deutlich: Ein sicherer Rechnungsaustausch ist kein reines IT-Thema und keine isolierte Compliance-Maßnahme. Er erfordert klare Governance, strukturierte Prozesse und den konsequenten Abschied von E-Mail in kritischen Finanzflüssen. Wer frühzeitig handelt, reduziert nicht nur Betrugsrisiken, sondern stärkt langfristig die Stabilität seiner Finanzprozesse.
Im Interview
Oliver Rauschil ist Senior Director of Digital Sales für Zentraleuropa bei Quadient. Er unterstützt Unternehmen diverser Branchen bei der Modernisierung ihrer Finanzabläufe und ihrer Kundenkommunikation.
