Die Masche: Business E-Mail Compromise
Kriminelle fangen echte Rechnungen ab, tauschen unbemerkt die IBAN aus und leiten sie weiter. Der Empfänger zahlt in gutem Glauben – auf das falsche Konto. Weil die Rechnung ansonsten echt aussieht, fällt der Betrug oft erst auf, wenn das Geld weg ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt ausdrücklich vor dieser Manipulation.
Warum E-Mail keine Prozesssicherheit bietet
Eine E-Mail liefert keine verlässliche Statusinformation: Sie wissen nicht, ob die Rechnung angekommen, gelesen oder verändert wurde. Sie ist in der Regel unverschlüsselt unterwegs und kann auf dem Weg mitgelesen oder verändert werden. Für einen so sensiblen Vorgang wie den Zahlungsverkehr ist das ein denkbar schwaches Fundament.
Der Gegenentwurf: der gesicherte Netzwerkweg
Über ein geschlossenes Netzwerk wie TRAFFIQX läuft der Austausch verschlüsselt und nachvollziehbar – mit klarer Zuordnung von Absender und Empfänger. Die strukturierten Daten lassen sich nicht so einfach unbemerkt verändern wie ein PDF-Anhang. Wie wir die gesamte Prozesskette absichern, zeigen unsere Zertifizierungen rund um PRESORT-IDX.
Compliance und Archivierung
Zur Sicherheit gehört auch die revisionssichere Aufbewahrung. Über IDX werden Belege nach den geltenden Grundsätzen abgelegt; die Übertragung erfolgt nach dem Standard ISO 27001. Welche Anforderungen das Gesetz an Form und Aufbewahrung stellt, fasst das Bundesfinanzministerium zusammen.
Der oft übersehene Nebeneffekt
Die strukturierte E-Rechnung erschwert Manipulation – ein Argument, das in der Diskussion um die E-Rechnungspflicht häufig untergeht. Wer den Weg vom PDF-Anhang auf einen gesicherten Kanal verlässt, schliesst eine reale Lücke. Den gesetzlichen Rahmen finden Sie in unserer Übersicht zur E-Rechnungspflicht.
»Eine E-Mail sagt Ihnen nie, ob die Rechnung unverändert angekommen ist. Ein gesichertes Netzwerk schon.«
Gut zu wissen
Beim Business E-Mail Compromise fangen Kriminelle echte Rechnungen ab, tauschen die IBAN aus und leiten sie weiter – der Empfänger zahlt in gutem Glauben auf ein falsches Konto; das BSI warnt ausdrücklich davor. Eine PDF-Rechnung per E-Mail bietet dagegen wenig Schutz: E-Mails sind meist unverschlüsselt, liefern keine verlässliche Statusinformation, und ein Anhang lässt sich unbemerkt verändern. Über ein geschlossenes Netzwerk wie TRAFFIQX läuft der Austausch verschlüsselt und nachvollziehbar, mit klarer Zuordnung von Absender und Empfänger – strukturierte Daten lassen sich nicht so einfach manipulieren wie ein PDF.




