Gefälschte Rechnungen per Mail: Eine unterschätzte Gefahr für Unternehmen und ihre DMS-Systeme

Estimated reading time: 4 Minuten

In fast jedem Unternehmen existiert heute eine zentrale E-Mail-Adresse für Eingangsrechnungen – typischerweise rechnung@firma.de oder invoice@unternehmen.com. Diese Vereinheitlichung bringt viele Vorteile: Rechnungen können automatisiert in ein Dokumentenmanagement-System (DMS) eingelesen, digital archiviert und zur weiteren Bearbeitung in Workflows überführt werden.

Doch genau hier setzen Kriminelle an: Sie versenden täuschend echt wirkende Fake-Rechnungen. Wenn solche E-Mails ungeprüft durch das DMS verarbeitet werden, entsteht ein erhebliches Risiko für Unternehmen.

Warum gefälschte Rechnungen so gefährlich sind

Mit der zunehmenden #Automatisierung von Rechnungsprozessen wächst auch die Angriffsfläche. Viele Unternehmen haben ihre DMS-Systeme so konfiguriert, dass eingehende Dokumente automatisch:

• klassifiziert,
• relevanten Buchungskonten oder Kostenstellen zugeordnet,
• und ohne manuelle Prüfung an Freigabe-Workflows weitergegeben werden.

Das spart Zeit, erhöht aber auch die Gefahr, dass Rechnungen für nie erbrachte Dienstleistungen oder Leistungen von unbekannten Absendern in Umlauf gelangen. Im schlimmsten Fall erfolgt sogar eine unberechtigte Zahlung.

Typische Merkmale gefälschter Rechnungen

Gefälschte Rechnungen sind oft erstaunlich professionell gestaltet – Logos, Layout und Absender wirken auf den ersten Blick authentisch. Dennoch gibt es häufig kleine Hinweise, die Verdacht wecken sollten:

1. Absenderadresse – Die Domain stimmt nicht exakt mit dem echten Lieferanten überein (z. B. lieferant-gmbn.destatt lieferant-gmbh.de).
2. Ungewöhnliche Beträge – Rundsummen oder stark abweichende Beträge ohne Bezug zu bisherigen Zahlungen.
3. Fehlende Referenzen – Keine Bestellnummer, kein Ansprechpartner, kein Projektbezug.
4. Unklare Dateiformate – statt PDF wird ein ZIP- oder DOCX-Anhang verschickt – hohes Risiko für #Malware.
5. Zeitdruck – Formulierungen wie „dringend“, „letzte Mahnung“ oder „sofort fällig“ sollen zur unüberlegten Zahlung bewegen.
6. Sprachliche Auffälligkeiten – kleine Tippfehler, falsche Anrede oder untypische Formulierungen.

Schutzmaßnahmen: So bleiben Unternehmen auf der sicheren Seite

Der beste Schutz ist eine Kombination aus Technik, Prozessen und Sensibilisierung.

1. Technische Maßnahmen

• E-Mail-Schutz: Implementierung von SPF, DKIM und DMARC verhindert gefälschte Absenderadressen.
• Spam- und Malwarefilter: Viele Fake-Rechnungen lassen sich bereits hier abfangen.
• DMS-Regeln: Keine automatische Freigabe von Rechnungen, die keinem bekannten Lieferantenstamm zugeordnet werden können.

2. Prozessuale Maßnahmen

• Vier-Augen-Prinzip: Besonders bei hohen Rechnungsbeträgen sollte immer ein zweiter Prüfer eingebunden sein.
• Lieferantenprüfung: Nur Rechnungen von bekannten Geschäftspartnern dürfen in den Workflow gelangen.
• Checklisten einführen: Klare Prüfkriterien für Mitarbeiter (z. B. Abgleich mit Bestellungen, Plausibilitätsprüfung).

3. Mitarbeiterschulung

• Awareness-Trainings: Regelmäßige Schulungen zu Phishing und #Cybercrime sind Pflicht.
• Praxisbeispiele: Gefälschte Rechnungen aus der eigenen Branche zeigen, wie raffiniert Angriffe sein können.
• Kommunikation fördern: Mitarbeiter sollten sich trauen, im Zweifel nachzufragen, statt stillschweigend eine Rechnung weiterzuleiten.

Kurz-Checkliste: In 30 Sekunden zur mehr Sicherheit

• Passt die Absenderadresse exakt?
• Lässt sich die Rechnung einer Bestellung oder einem Auftrag zuordnen?
• Ist der Betrag plausibel?
• Gibt es Hinweise auf Dringlichkeit oder Drohungen?
• Ist das Dateiformat unüblich oder potenziell riskant?

Fazit

Gefälschte Rechnungen sind ein wachsendes Risiko in der digitalisierten Unternehmenswelt. Durch die Verknüpfung von zentralen Rechnungsadressen und automatisierten DMS-Prozessen können Kriminelle mit wenig Aufwand große Schäden verursachen.

Unternehmen müssen sich darauf einstellen, dass solche Angriffe nicht die Ausnahme, sondern der Normalfall sind. Wer auf technische Filter, klare Prozesse und geschulte Mitarbeiter setzt, macht es Betrügern deutlich schwerer – und schützt sich effektiv vor finanziellen Verlusten.

• Alles, was Sie über das ZUGFeRD-Format (V2 Extended) wissen müssen
• Schutz vor Phishing: So erkennen und vermeiden Sie betrügerische Online-Fallen
• Vorsicht! Die unsichtbare Bedrohung: Wie Hacker Ihr Facebook-Konto im Handumdrehen knacken
• Der unsichtbare Feind: Wie Landkreise und Gemeindeverwaltungen sich gegen Cyberangriffe wappnen können
• Gefahr durch Kosteneinsparungen: Wie Verwaltungen ihre IT Sicherheit vernachlässigen