Die Verwaltungsmitarbeiter der Kämmerei der norddeutschen Stadt Kiel sind Opfer einer bekannten Betrugsmasche geworden. Cyberkriminelle haben eine Rechnung abgefangen, die Zahlungsdaten manipuliert und an die Stadt geleitet. Die hat dann auf das angegebene, "falsche" Konto überwiesen. Das Geld ist nun weg – die Cyberkriminellen mutmaßlich nicht zu ermitteln.
Es ist das bereits bestens bekannte Szenario über das die Kieler Nachrichten und die SHZ erstmals am 21. Mai 2026 Woche berichteten (leider Paywall). Der NDR hat den Bericht aber hier aufgegriffen – und ein Leser hatte mich die Woche auf diesen T-Online-Artikel zum Thema hingewiesen.
Manipulierte 68.000 Euro Rechnung
Stadtsprecherin Kerstin Graupner wird in der Berichterstattung so zitiert, dass "Hacker die Rechnung eines Dienstleisters abgefangen, manipuliert und mit gefälschten Kontodaten an die Kämmerei" der Stadt Kiel geschickt haben.
Das ist eine beliebte Masche, bei der Cyberkriminelle Postfächer des Absenders oder des Empfängers übernehmen, auf Rechnungen warten. Die Rechnungen werden dann bezüglich der Zahlungsdaten manipuliert (es wird eine IBAN unter Kontrolle der Betrüger eingesetzt). Überweist das Opfer, ist das Geld weg.
Diese Art des Betrugs, als BEC (Business E-Mail-Compromise) bekannt, ist nicht neu. Ich hatte mehrfach im Blog berichtet, siehe Links am Artikelende. Daher sind Banken in Europa seit Oktober 2025 bei SEPA-Überweisungen zum sogenannten IBAN-Namensabgleich (Verification of Payee, VoP) verpflichtet. Ich hatte im Beitrag Wie sind eure Erfahrungen mit der SEPA-Prüfung (VoP) der Banken? berichtet.
Im aktuellen Fall scheint noch ein ungünstiger Aspekt hinzugekommen zu sein. Normalerweise prüften Mitarbeiter die SEPA-Daten der Überweisung und gleichen diese mit den in der Kreditorenliste hinterlegten Daten ab. Da der beauftragte Dienstleister zuvor noch nicht mit der Stadt Kiel zusammengearbeitet hatte, lagen, laut Stadtsprecherin Kerstin Graupner, auch keine Vergleichsdaten vor. Die Überweisung ging also durch, der Betrag landete auf dem IBAN-Konto der Betrüger.
Zwischen den Zeilen der NDR-Berichterstattung lese ich heraus, dass das BEC beim Postfach der Stadt erfolgt sein dürfte. Dann bei einer Manipulation des E-Mail-Kontos des Rechung-stellenden Dienstleisters wäre dieser in der Haftung.
Jedenfalls ist das Geld, insgesamt werden 68.000 Euro genannt, wohl weg. Die Stadt Kiel hat inzwischen zwar Strafanzeige erstattet. Große Hoffnung auf einen Ermittlungserfolg könne man sich bei dieser Art von Betrug allerdings nicht machen, so Graupner.
Derzeit baut Kiel seine Verwaltung so um, dass es für diese Art Betrugsversuche eine Art Sperre in den Zahlungsabläufen gibt, damit so etwas nicht noch mal passiere, wird die Sprecherin Graupner zitiert. Aus sicherheits- und ermittlungstaktischen Gründen könne die Verwaltung aber nicht näher auf Details eingehen.
Ähnliche Artikel:
Neue Betrugsmasche mit manipulierten Rechnungen
Betrug mit manipulierten Rechnungen: Ein neuer Fall / ein neuer Trend
Spoofing-Angriffe auf Ford-Händler ermöglichte Betrug – Teil 1
Betrug: Falsche Gerichtskostenrechnungen im Umlauf
Sozialministerium Sachsen: Opfer von Internetbetrügern, 225.000 Euro Schaden durch fingierte E-Mail
Achtung: Spam-Welle mit falschen Rechnungen
Warnung vor Quishing bei easypark-Parkscheinautomaten
MVP: 2013 – 2016
Da hat wohl der IBAN-Namensabgleich durch die Bank auch nicht funktioniert …
In jedem Fall ein Versagen des IT-Dienstleisters, in diesem Fall Addix. Es ist mir schleierhaft, wie diese Typen an SPF und Co. vorbeigekommen sind, insofern kann ich mir das nur so erklären, dass der IT-Dienstleister desaströs geschlampt hat und sowas kommt mir im Alltag mittlerweile täglich unter die Augen.
Die Stadt Kiel sollte auch schauen in wie weit NIS1/2-Richtlinien und IT-Grundschutz beim Dienstleister angewendet werden und ggf. auf Schadensersatz klagen.
Wie hilft SPF und Co. jetzt genau wenn die Angreifer die Mail im Postfach der Stadt abgreifen und dort gegen eine andere Version austauschen?
Und selbst wenn die Mail schon vom Absender aus gefälscht war, der IT Dienstleister prüft garantiert nicht die IBAN in einer Mail, sondern maximal ob Absender und Empfänger Sinn ergeben, es einen realen Vorgang gibt und ob die Anhänge sauber sind. Das SPF oder DKIM Checks negativ ausfallen ist auch bei regulären Mails Gang und gebe.
Ich bezweifle das das viele überhaupt wissen was das ist, ein Handwerksbetrieb der seine Rechnungen über ein Onlinetool erstellt und versendet wird die Namensserver Einstellungen seiner Domain nicht mal von hören sagen kennen.
Da wir auch nicht die IBAN kennen ist es schwer zu sagen ob es hätte auffallen müssen, wenn es keine ausländische IBAN war wird es schwer und noch schwerer wenn die Fake IBAN unter einen ähnlichen Namen wie die echte lief.
Unser Unternehmen bezahlt mit Sicherheit jeden Tag hunderte – wenn nicht tausende – Rechnungen. Ich kann mir nicht vorstellen, dass ein "echter Mensch" die Empfängernamen mit den Namen in der Rechnung abgleicht. Es gilt, was im SAP-Stammsatz als IBAN steht ;-)
Könnte bei der Stadtverwaltung Kiel ähnlich sein.
Muss ich das wirklich jedes Mal ergänzen? Mail Security best practices haben so einen Bart und immernoch wird ausschließlich auf DKIM und DMARC rumgeritten. Es gibt noch n Haufen anderer Methoden Spam zu unterbinden und da ich grundsätzlich im ganzheitlichen Ansatz denke klemme ich mir die Erwähnung. Aber eben weil ihr es seid: DNSBL, RBL, Country-Blocking, Multilayer Filtering.
Das Postfach der Stadt wird bei Addix gehostet. Schwache Passwortpolicy? Managed Sec-Ops? U.s.w. Addix ist vermutlich genau so ne Pommesbude wie 99% der anderen deutschen IT Dienstleister
Also hat die xRechnung XML B2G inkl. Leitweg-ID so gar nichts gebracht? Das kommt davon, dass da nicht auch eine Basis Authentifizierung/ Signatur implementiert wurde, für jeden Blödsinn muss man heutzutage Zertifikate vorhalten, aber ausgerechnet da nicht? Digitalisierung Deutschland in einer Nussschale.
"Da der beauftragte Dienstleister zuvor noch nicht mit der Stadt Kiel zusammengearbeitet hatte, lagen, laut Stadtsprecherin Kerstin Graupner, auch keine Vergleichsdaten vor. "
Und dann wird halt GAR nicht geprüft?
Joh, geil!
Sind doch doch "nur" Steuergelder, da macht sich doch keiner die Mühe noch irgendwas zu prüfen.
Und 68k € verbrannte Steuergelder sind doch nun auch wirklich Peanuts, im Vergleich zu den ziiiiig Millionen. die sonst so "verschwinden"
Entweder die iban war eine deutsche, dann dürften die Ermittlungen nicht so erfolglos sein wie beschrieben. Oder es handelt sich um eine ausländische iban, dann Frage ich mich, was für Deppen bei der stadt das geprüft haben.
Deutsche Gerichte sind mit der Situation jedenfalls auch überfordert, so las ich neulich von einem Urteil auf heise, in welchem der Empfänger auch für eine Manipulation beim Versender haftet: es zähle einzig, ob das Geld beim korrekten Empfänger angekommen sei, und das sei nicht der Fall.
https://www.heise.de/news/Landgerichtsurteil-Wer-haftet-bei-Phishing-mit-manipulierten-E-Mails-10420964.html
@Christian Krause: Da gibt es aber auch gegenteilige Urteile. In einem Fall, den wir hier im Blog diskutiert haben, hat das Gericht entschieden, dass der Rechnungssteller schuld sei, wenn er nicht die PDF-Rechnung signiert UND (!) verschlüsselt versendet hat.
Vor Gericht und auf hoher See … :-)
Gerade das Geld für die Schulbuchausleihe der Kinder überwiesen. Die Schule ist bei der gleichen Sparkasse wie wir mit unserem Konto. VoP liefert für das Konto der Schule als Kontoinhaber einfach einen leeren String und grobe Abweichung zurück. Eine wirksame Kontrolle ist so quasi unmöglich. Man kann nur wie vor VoP akribisch die IBAN abgleichen. Inzwischen glaube ich ehr, dass es den Banken mehr um Haftungsverschiebung geht und weniger um Kundenschutz.
kann ich nur unterschreiben, das ein Name des Empfängers bei gegebener IBAN angezeigt worden wäre, wenn es keine Übereinstimmung gab, hab ich noch nicht erlebt.
Bei groben Abweichungen gibt es aus Datenschutzgründen keine Korrekturhinweise (s. meine Kommentare unten).
Korrekturvorschläge gibt es nur bei leichten Fehlern, z.B. wenn GmbH fehlt, man den Namen falsch geschrieben hat, ein (zweiter) Vorname fehlt, …
Wird von Bank zu Bank aber auch unterschiedlich gehandhabt AFAIK.
Die manipulierte Rechnung ist VOR der Originalrechnung per per eMail bei der Stadt eingegangen. Bis auf die Kontoverbindung war alles Andere identisch. Dann ist der Betrag überwiesen worden. O-Ton: „Auch bei einem Vier-Augen-Prinzip ist es nicht zwingend, dass man das sehen kann."
Anscheinend hat ja dann der Namensabgleich funktioniert. :-)
Das sowas aber nicht rückverfolgbar ist, ist doch ein Witz! Man hat ja die IBAN auf die überwiesen wurde… selbst wenn die von da weiter überwiesen wurde kann man der Spur folgen! Ne IBAN ist ja nicht anonym…
Money Mules? Und von da dann weiter z.B. per Western Union?
Ich werfe mal in den Raum, dass hier vermutlich das Konto eines s.g. "Finanzagenten" oder ein gehacktes Konto als Zielkonto genutzt wurde. Dann hat man zwar den Kontoinhaber, aber das Geld ist schon längst im Ausland. Den "Finanzagenten" bekommt man allenfalls wegen Geldwäsche dran, das bringt einem das Geld aber nicht zurück.
Die entscheidende Frage ist dann aber, wieso die Empfängerüberprüfung nicht aktiv war…
Ich habe einige Freiberufler im Umkreis, bei denen die Rechnungen auch per Zugpferd reinkommen. VoP liefert dabei erschrecken häufig vollständige Missmatches (also ohne Korrekturhinweise), weil z.B. Meyer Elektrotechnik auf der Rechnung steht, das Konto aber auf Julia Marija Santhorst e.K. läuft, die den Laden von ihrem Vater Joachim Meyer übernommen hat (fiktive Namen). Zahlt man die dann?
Bei Rückfragen beim Rechnungsteller gibt es dann häufig angeblich wenig Verständnis, dass man VoP ernst nimmt, die IBAN ist doch da, damit kommt das Geld doch an.
Aus Sicht des Sicherheitsmenschen: die Zugpferd-Umstellung war ohnehin ein Kraftakt für viele. Warum hat man es dann nicht gleich richtig gemacht und zumindest eine fortgeschrittene elektronische Signatur, oder ab einer bestimmten Unternehmensgröße oder Rechnungssumme eine QES obligat vorgeschrieben?
Klar könnten Manipulationen noch immer passieren, aber es gäbe eine Sicherheitsebene mehr und die Haftungsfrage wäre eindeutiger und man hätte Rechtssicherheit, was verlangt wird (s. MaxM oben).
Ohhhh QeS?! Das würde zu viele komplett überfordern. Woher soll die kommen?
Es seihe denn Vater Staat würde die z.B. via ELSTER zur Verfügung stellen (wäre dann direkt mit der USt-ID/Wirtschafts-ID verknüpft). Würde dann aber quasi zu einer ELSTER-Pflicht führen.
Auch die Banken könnten Pseudo-QeS zur Verfügung stellen (die wären dann mit einem Bankkonto verknüpft).
Für all sowas müssten aber erstmal komplizierte Gesetze geschrieben werden und Infrastruktur geschaffen werden. Und man muss es auf mindesten europäischer Ebene denken.
Ne FeS bringt auch nix. Die manipulierte Rechnung könnte so ja einfach vom Gauner neu signiert werden. Wogegen möchte man die abgleichen.
Rechnungen per Mail auszutauschen ist einfach gefährlich. Deshalb gibt es PEPPOL oder TRAFFIQX. Darüber laufen dann aber nur XRechnungen. Die können wiederum viele nicht verarbeiten.
Übrigens konnte auch schon immer eine Papierrechnung ganz ähnlich manipuliert werden.
Na ja, da sich die „Zugpferd-Pflicht" erstmal nur auf Nicht-Privatpersonen bezieht, die meistens ohnehin darin geübt sind regulatorische Vorgaben egal welcher Sinnhaftigkeit umzusetzen, wäre eine QES vermutlich nicht das Problem Nr. 1 gewesen. Wie gesagt vor allem auch vor dem Hintergrund, dass viele für Zugpferd ohnehin einiges umstellen mussten.
Was Elster-Pflicht anbelangt: bin nicht sicher, muss im nicht-privaten nicht ohnehin alles via Elster laufen, und die Pflicht besteht faktisch schon so für diejenigen, die auch eRechnungs-pflichtig sind?
Aber QeS-Anbieter und damit die Infrastruktur gibt es ja auch schon so am Markt. Sowohl für „Kleinnutzer", als auch im großen Stil, s. z.B. Heilberufeausweise.
Was die FES anbelangt, okay, da hast Du recht. Und wenn VoP funktionieren würde, brächte das dafür erst recht keinen Vorteil.
Papierrechnungen können natürlich auch leicht manipuliert werden, aber wegen des notwendigen physischen Zugriffs ist der Aufwand größer. Man muss die „richtigen" Briefe rausfischen, diese gegen manipulierte ersetzen, die wieder einschleusen, … das in großen Stil dürfte schwer werden. außerdem ist die in Frage kommende Personengruppe definierter und damit das Entdeckungsrisiko höher.
dito.
das ist unglaublich schlecht umgesetzt bei einigen Unternehmen.
@Karel schreibt: "Bei Rückfragen beim Rechnungsteller gibt es dann häufig angeblich wenig Verständnis".
Rückfragen wie denn der Empfängername richtig laute und eine Bitte um Korrektur auf dem Rechnungsformular laufen häufig ins Leere.
Krude Geschichte – ein Inside Job?