![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich greife mal erneut ein Thema auf, was wohl langsam aber sicher virulenter wird: Leute bekommen Rechnungen f\u00fcr legitime Bestellungen, in denen aber die IBAN f\u00fcr das Zielkonto von Cyberkriminellen manipuliert wurde. Zahlungen der Opfer gehen an die Kriminellen. Ursache sind gehackte Mail-Konten (meist beim Absender der Rechnung). Mir ist gerade ein Fall berichtet worden, wo ein IT-Supporter das nachweisen konnte.<\/p>\n
<\/p>\n
Im beschriebenen Fall, der bereits ein Jahr alt war, bekam das Opfer wohl den Schaden ersetzt. Und von einer IHK hie\u00df es, dass die Masche bekannt sei, und wohl auf ein geknacktes E-Mail-Konto zur\u00fcck geht. Eine Aufl\u00f6sung gab es bez\u00fcglich dieser Vermutung meines Wissens in diesem Fall nicht. Der Fall war auch exemplarisch gedacht, denn er war mir von einem IT-Supporter verlinkt worden, weil er \"gerade an einem \u00e4hnlichen Fall\" f\u00fcr einen gesch\u00e4digten Kunden dran war und die Details mit dem LKA am abkl\u00e4ren war.<\/p>\n Carsten S. hat sich bei mir per E-Mail gemeldet, weil er den obigen Artikel gelesen hatte und f\u00fcr einen Kunden einen \u00e4hnlich gelagerten Fall bearbeitet. Zum 30. Juli 2025 schrieb er in einer Mail mit dem Betreff \"Erg\u00e4nzung zum Artikel: Neue Betrugsmasche mit manipulierten Rechnungen\": \"Ich hatte Ihren Artikel zum Thema gef\u00e4lschte Kontoverbindung im Kopf und seit gestern haben wir einen eigenen Fall im Kundenkreis\". Ich h\u00e4tte normalerweise gesagt \"Ok, ist mit obigem Artikel abgearbeitet\". Aber Carsten konnte einige zus\u00e4tzliche Informationen liefern, weshalb ich seine Beobachtungen hier in einem Beitrag einstelle.<\/p>\n Einer der Kunden des IT-Dienstleisters mahnte einen eigenen Kunden wegen eines offenen Rechnungsbetrags an. Kommt h\u00e4ufiger vor, und es kommt auch schon zu Fehlern. Im aktuellen Fall konnte der gemahnte Kunde\u00a0nach Pr\u00fcfung seiner Kontoausz\u00fcge jedoch feststellen, dass er den Rechnungsbetrag \u00fcberwiesen hatte.<\/p>\n Dieser Rechnungsbetrag wurde wenige Tage sp\u00e4ter wegen eines aufgel\u00f6sten Konto zur\u00fcck gebucht. Bei der Pr\u00fcfung fiel auf, dass die Bankverbindung im Briefbogen des Rechnungsstellers gegen eine gef\u00e4lschte Bankverbindung der Deutschen Bank (statt Volksbank) ausgetauscht wurde.<\/p>\n Der Leser schreibt, dass man nach umfassender Pr\u00fcfung einen Sicherheitsvorfall bei \"unserem Kunden\" (der die Rechnung erstellt und verschickt hatte, ausschlie\u00dfen konnten. Wie bei den meisten Kunden dieses IT-Dienstleisters habe es eine durchdachte Sicherheitsarchitektur der technischen Systeme gegeben. Und der Kunde hatte f\u00fcr Cyberbetrug durch Security-Awareness sensibilisierte Mitarbeiter.<\/p>\n Carsten schrieb dann: Vielmehr zeigte sich recht schnell das Bild, dass die IT der Empf\u00e4ngerseite (mindestens deren E-Mail-Server) vor einiger Zeit gehackt wurde. M\u00f6glicherweise durch einen Phishing-Angriff.<\/p>\n So konnten Rechnungsemails (auch die des Rechnungserstellers) samt Anhang unbemerkt abgefangen und sp\u00e4ter mit gef\u00e4lschtem Anhang pr\u00e4pariert werden. Der IT-Dienstleister, der nun von Empf\u00e4ngerseite mit der Analyse beauftragt wurde, konnte sogar eine E-Mail ausfindig machen, in der es dem Angreifer zu sp\u00e4t gelungen war, diese E-Mail samt Anhang zu entwenden. In diesem Fall wurde nur eine E-Mail ohne Anhang zugestellt. Dies war dem Empf\u00e4nger aufgefallen, und der Mitarbeiter reagierte mit einer Antwort-E-Mail an den Rechnungsversender.<\/p>\n Im aktuellen Fall war das \"Ziel-Bankkonto\" der Betr\u00fcger bereits f\u00fcr Geldeing\u00e4nge gesperrt bzw. erloschen, weshalb es zur R\u00fcckbuchung kam. Carsten geht davon\u00a0aus, dass die Bankverbindung bereits f\u00fcr vergangene Betrugsversuche genutzt wurde, weshalb das Konto nicht mehr existierte, und das \u00fcberwiesene Geld zur\u00fcckkam. Es ist also f\u00fcr den betreffenden Kunden kein Schaden entstanden.<\/p>\n In Zeiten mangelnder Cyberabwehr in Firmen, zunehmender E-Mail-Kommunikation (oft \u00fcber Microsoft 365 als Monokultur) sowie dem Umstand, dass Cyberkriminelle vermehrt auf AI-L\u00f6sungen setzen, muss man k\u00fcnftig verst\u00e4rkt mit solchen Vorf\u00e4llen rechnen. Die eRechnung (ZUGPeRD) k\u00f6nnte da sogar noch einen Push liefern.<\/p>\n Bei gro\u00dfen Firmen d\u00fcrften die Bankverbindungen der Lieferanten in einem elektronischen System erfasst sein. Dann wird eine Zahlung f\u00fcr eine Rechnung nur ausgef\u00fchrt, wenn diese berechtigt ist und die IBAN stimmt. Alles andere l\u00f6st eine Nachfrage samt Stopp der Zahlung aus.<\/p>\n Die ab Oktober 2025 geltende Verpflichtung der Banken, IBAN und Empf\u00e4nger einer Zahlung mit der sogenannten VoP-Pr\u00fcfung abzugleichen und in einem Ampelsystem zu warnen (siehe IBAN-Namensabgleich ab Oktober 2025 f\u00fcr Banken verpflichtend<\/a>) k\u00f6nnte diese Betrugsmasche erschweren – sofern die Rechnungsempf\u00e4nger mitziehen.<\/p>\n Der Blog-Leser schreib: \"Mich hat die Frage besch\u00e4ftigt, wer diesem Fall haftet.\" Der normale Verstand w\u00fcrde die meisten Menschen wohl zum Schluss kommen lassen, dass die Empf\u00e4ngerseite der Rechnung in der Haftung zu sehen. Diese muss im Rahmen der Sorgfaltspflichten eigentlich pr\u00fcfen, ob die IBAN stimmen kann.<\/p>\n Carsten schrieb, dass dies zum aktuellen Zeitpunkt nicht unbedingt so sei. Es gebe hier zwar Urteile von Landesgerichten, die die Haftung tats\u00e4chlich auf Empf\u00e4ngerseite der Rechnung sehen. Allerdings gebt es nun ein wenige Monate altes Urteil des Oberlandesgericht Schleswig-Holstein, welches folgendes feststellt:<\/p>\n Mit Zahlung an die falsche Bankverbindung bleibt der Rechnungsbetrag beim Rechnungssteller offen, aber die Empf\u00e4ngerseite hat einen Schadenersatzanspruch in gleicher H\u00f6he gegen den Rechnungssteller, da dieser, aus Sicht des Gerichts \u201ekeine ausreichenden technischen Ma\u00dfnahmen\" ergriffen hatte.<\/p><\/blockquote>\n Der Rechnungsempf\u00e4nger muss nicht erneut zahlen, der Rechnungssteller bleibt auf dem Schaden sitzen, schrieb Carsten. Hier handelt es sich aber um eine Rechnung an Privatpersonen, heise hat den Sachverhalt in diesem Artikel<\/a> von Feb. 2025 aufbereitet.\u00a0Das Urteil des OLG 12 U 9\/24 wurde zudem zur Revision zum Bundesgerichtshof zugelassen, da hier eine abschlie\u00dfende Grundsatzfrage gekl\u00e4rt werden soll (siehe: Rechnungsversand per Email \u2013 \u00dcberweisung auf falsches Konto nach Rechnungsf\u00e4lschung<\/a>).<\/p>\n Der Leser meint: In der Praxis ist dies jedoch realit\u00e4tsfern, zumindest zum aktuellen Zeitpunkt. Es w\u00fcrde voraussetzen, dass jede Kunde \u00fcber ein E-Mail-Zertifikat und die M\u00f6glichkeit zur Ende-zu-Ende Verschl\u00fcsselung oder der digitalen Rechnungssignatur verf\u00fcgt. Bei Handwerksbetrieben die an Privatkunden Rechnungen verschicken kaum denkbar.<\/p>\n Nach R\u00fccksprache mit einer Kundin (die zuf\u00e4llig IT-Recht im Portfolio hat), herrscht hier aktuell also Rechtsunsicherheit, schrieb mir der Leser.\u00a0Auch hier wurde erw\u00e4hnt, dass hier im Oktober von anderer Seite Abhilfe in Aussicht steht (siehe mein obiger Hinweis zur Pflicht der Banken zum Abgleich der Empf\u00e4ngerdaten auf Grund der EU-Verordnung Verification auf Payee<\/a>). Diese nimmt europ\u00e4ische Banken in die Pflicht, bei jeder SEPA-\u00dcberweisung Kontoinhaber und IBAN abzugleichen. Gibt es einen \"no match\" schl\u00e4gt die \u00dcberweisung fehl. Wer dann trotzdem \u00fcberweist, ist aus Sicht der Banken in der Haftung. Wie das aber im Kontext des obigen Urteils des OLG ausschaut, ist f\u00fcr mich offen. Das Thema ist also erst einmal weiter auf der Agenda.<\/p>\n Erg\u00e4nzung:\u00a0<\/strong>Laut Beck Online ist das Urteil 12 U 9\/24<\/a> (LG Kiel) des OLG Schleswig vom 18.12.2024 inzwischen rechtskr\u00e4ftig. Die Kommentierung bei Beck Online setzt aber hohe Ma\u00dfst\u00e4be. Eine Auswertung bei Beck Online findet sich hier<\/a> und eine weitere Kommentierung eines RA gibt es hier<\/a>. Blog-Leser Tomas schrieb mir dazu: \"Interessant ist die juristische Bewertung des Urteils unter Anmerkungen: Hier finden sich Hinweise auf einen mutma\u00dflichen Inside-Job eines Mitarbeiters mit Namen B. Es fand eine \u00dcberpr\u00fcfung der \"Computeranlage\" statt, die keine Anzeichen eines Angriffes ergab. Die Manipulation der Mail k\u00f6nnte bereits vor dem Versenden erfolgt sein. Damit \u00e4ndert sich der komplette Scope, nicht irgendwelche von au\u00dfen gehackte Email Konten oder eine Malware sondern der eigene Mitarbeiter geraten in den Fokus, alles noch mutma\u00dflich da ein Strafverfahren wegen Abfangens von Daten, Betrug und Geldw\u00e4sche anh\u00e4nglich und nicht entschieden ist.<\/em>\"<\/p>\n Ich selbst habe vorige Woche bei der Bezahlung eines Ferienappartements zur Sicherheit beim Vermieter nachgefragt und die IBAN \u00fcber einen anderen Kanal best\u00e4tigen lassen und dann noch die Zielbank als plausibel \u00fcberpr\u00fcft. Denn genau in diesem Bereich hatte ich 2024 einen Betrugsfall (siehe\u00a0Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?<\/a>). Und auch bei Booking.com gibt es Betrugsversuche, wobei dort in allen F\u00e4llen die Vermieter-Postf\u00e4cher gehackt bzw. deren Buchungssysteme kompromittiert wurden.<\/p>\n Das Thema gef\u00e4lschter E-Mails ist damit, so Carsten, zwar nicht vom Tisch und bereits Gesch\u00e4digten vermutlich nicht geholfen. Der Kern des Betrugs wird durch die IBAN-Pr\u00fcfung hoffentlich doch ausgehebelt. Denn ich gehe davon aus, dass es weiterhin Zeitgenossen gibt, die trotz Warnung der Bank bei der \u00dcberweisung diese doch best\u00e4tigen. Speziell die vielen Handy-Apps zum Online-Banking k\u00f6nnten dem Vorschub leisten. Ansonsten gibt es ja noch andere Betrugsmaschen f\u00fcr Cyberkriminelle wie Abbuchung per Lastschrift oder \u00fcber Debit-\/Kreditkartennummern.<\/p>\n \u00c4hnliche Artikel:<\/strong> Ich greife mal erneut ein Thema auf, was wohl langsam aber sicher virulenter wird: Leute bekommen Rechnungen f\u00fcr legitime Bestellungen, in denen aber die IBAN f\u00fcr das Zielkonto von Cyberkriminellen manipuliert wurde. Zahlungen der Opfer gehen an die Kriminellen. Ursache … Weiterlesen Mitte Juli 2025 hatte ich im Beitrag\u00a0Neue Betrugsmasche mit manipulierten Rechnungen<\/a> \u00fcber den ersten Fall berichtet. Ein Landmaschinenh\u00e4ndler und eine Landwirtin\u00a0 vereinbarten einen Handel (Traktorkauf). Der Verk\u00e4ufer schickt eine Rechnung, die von der K\u00e4uferin, trotz Nachfrage von der Bank, ob man dem Empf\u00e4nger vertraut, auch bezahlt wurde. Das Geld landet aber auf einem fremden Konto, weil die Rechnung auf dem Versandweg manipuliert wurde.<\/p>\n
Ein Leser schildert einen neuen Fall<\/h2>\n
Was ist passiert?<\/h3>\n
Pr\u00fcfung der IT-Systeme beim\u00a0Rechnungsversender\u00a0negativ<\/h3>\n
E-Mail-Konto des Rechnungsempf\u00e4ngers gehackt<\/h3>\n
Fragen und Folgen<\/h2>\n
Zunahme der F\u00e4lle zu erwarten<\/h3>\n
Kontenabgleich k\u00f6nnte helfen<\/h3>\n
Wer haftet in solchen F\u00e4llen<\/h3>\n
\nNeue Betrugsmasche mit manipulierten Rechnungen<\/a>
\nBetrugsfall mit falschem SEPA-Mandat \u00fcber sevdesk<\/a>
\nUnberechtigte Abbuchungen bei HypoVereinsbank-Kreditkarte: Datenabfluss?<\/a>
\nVorsicht vor Betrugs-Mails (BGN, DGVU) \u2013 April 2025<\/a>
\nBetrug: Falsche Gerichtskostenrechnungen im Umlauf<\/a>
\nPayPal-Betrug per \"Gastkonto\"; Verbraucherzentrale warnt<\/a>
\nVorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?<\/a>
\nBooking.com von Cyberangreifern missbraucht \u2013 Phishing und Malware verschickt<\/a>
\nBooking.com Konten wieder gehackt? Empfehlung zum Passwortwechsel<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"