Manipulierte Rechnungen per E-Mail: Unvorsichtiger Zahler unterliegt vor Gericht

Wenn Hacker beim Absender einer Rechnung als PDF im Mail-Anhang eine Schwachstelle finden, kann der Schaden beim Rechnungsempfänger hängenbleiben.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
, Thorsten HĂĽbner

(Bild: Thorsten HĂĽbner)

Lesezeit: 12 Min.
Von
  • Harald BĂĽring
Inhaltsverzeichnis

E-Mails sind ein beliebtes, bequemes, aber auch missbrauchsträchtiges und leicht zu fälschendes Kommunikationsmittel. Wie ein neuerer Fall aus Baden-Württemberg zeigt, können Kriminelle etwa Mails abfangen und als Zahlungsfalle mit veränderten Daten neu verschicken.

Ein Unternehmer hatte ein gebrauchtes Mercedes-T-Modell von einem Händler gekauft. Der Verkäufer schickte ihm auf seinen Wunsch eine Rechnung als PDF-Datei im Anhang einer E-Mail zu. Im Kopfbereich der Rechnung und in der Fußzeile hatte der Verkäufer die Kontonummer seiner Firma bei einer Sparkasse angegeben. Dorthin sollte der Kunde den Kaufpreis von 13.500 Euro überweisen. Nur zwei Minuten später erhielt der Käufer eine weitere E-Mail, anscheinend vom selben Absender, mit einer neuen Rechnung über denselben Betrag. Diese Rechnung wies in der Fußzeile eine andere Bankverbindung und einen anderen Kontoinhaber auf. Der Gedanke, die zweite Rechnung könne einfach eine schnelle Aktualisierung der ersten mit korrigierten Daten darstellen, liegt da nahe.

Mehr zum Thema E-Mails
c't kompakt​
  • Per E-Mail verschickte Rechnungen bergen datenschutz- und zivilrechtliche Risiken.
  • FĂĽr Versender geschäftlicher E-Mails gibt es keine gesetzlichen Sicherheitsvorschriften, die eine zivilrechtliche Haftung bei Fremdeingriffen begrĂĽnden können.
  • Wer beim Begleichen von Rechnungen nicht genau genug hinschaut, riskiert, dass sein Geld auf fremden Konten verschwindet und auch nicht ersetzt wird.

Der Käufer überwies den Rechnungsbetrag auf das in der neuen Mail genannte Konto. Einige Tage später fragte der Verkäufer bei ihm nach, warum er das Geld noch nicht überwiesen habe. Es stellte sich heraus, dass das Konto, auf dem das Geld gelandet war, nicht etwa dem Verkäufer, sondern einem unbefugten Dritten gehörte. Offenbar resultierte die zweite Mail aus einem Hackerangriff – die 13.500 Euro ließen sich nicht wieder zurückholen.

Das war die Leseprobe unseres heise-Plus-Artikels "Manipulierte Rechnungen per E-Mail: Unvorsichtiger Zahler unterliegt vor Gericht". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.