? So schützen Sie sich vor Phishing-Attacken

SEEBURGER

The Engine Driving Your Digital Transformation

E-Invoicing

Phishing Angriffe erkennen und wertvolle Daten schützen Teil I

| | PM (D-A-CH) automatisierte Rechnungseingangsbearbeitung non-SAP-Systeme, SEEBURGER AG

Detect phishing attacks and protect valuable data Part IEine elementare Voraussetzung für die Akzeptanz der elektronischen Rechnungsverarbeitung in Wirtschaft und Öffentlichkeit ist das Vertrauen in die Sicherheit. Betrügerische Machenschaften wie das Ausspähen von Rechnungsinhalten und deren Verfälschung durch sogenanntes Phishing untergraben dieses Vertrauen. Professionelle Lösungen für den gesetzeskonformen und sicheren Austausch sensibler Daten machen Betrügern das Leben schwer und können Ihnen enorme Kosten und viel Zeit sparen.

Elektronische Rechnungen werden in der öffentlichen Verwaltung und auch im B2B Bereich immer wichtiger. Entsprechend hoch ist das Interesse der Vertrags- und Kommunikationspartner an der Sicherheit dieser Rechnungen. Denn durch das Ausspähen von Rechnungsinhalten im offenen Kommunikationsverkehr des Internets erhalten Kriminelle nicht nur den Zugang zu personenbezogenen Daten oder können Rückschlüsse auf Lieferantenbeziehungen und Geschäftsgeheimnisse der betroffenen Unternehmen ziehen – schlimmer noch – sie können dieses Wissen nutzen, um Rechnungen durch Phishing zu fälschen oder Schadsoftware zu verbreiten. Für den Empfänger einer gefälschten Rechnung ist es in der Regel sehr schwierig, diese als solche zu erkennen, und ist der Rechnungsbetrag erst überwiesen, ist das Geld meist unwiederbringlich verloren. Versender von elektronischen Rechnungen sollten daher immer sicherstellen, dass sie eine geeignete Verschlüsselungstechnologie verwenden – auch beim Versand von nicht sicherheitsrelevanten Rechnungen. In der Vergangenheit war der Einsatz von Werkzeugen zur Gewährleistung von Datenschutz und Sicherheit häufig unbequem und wenig praktikabel. Mit der Verwendung der Managed File Transfer-Technologie wird dies jedoch zum Kinderspiel.

  • Das gestiegene Interesse an Datenschutz und Sicherheit ist kein Selbstzweck, sondern dient der Verankerung der elektronischen Rechnungsverarbeitung im betrieblichen Leistungsaustausch. Es geht also nicht darum, den Siegeszug der elektronischen Rechnungsverarbeitung zu behindern, sondern dieser in der Praxis zum Durchbruch zu verhelfen.

Was sind Phishing E-Mails?

Unternehmen und Privatpersonen erhalten immer wieder Fake-Rechnungen per E-Mail von vermeintlichen Unternehmen oder auch im Namen real existierender Firmen. Einige dieser E-Mails, deren Betreff beispielweise Bezug auf eine angeblich nicht durchführbare Kontoabbuchung nimmt, haben zum Ziel, Schadprogramme zu verbreiten, andere dienen dazu, anhand der fingierten Rechnungen die Rechnungsbeträge abzukassieren, indem die Angaben zur Bankverbindung entsprechend manipuliert wurden. Die Fake-Rechnungen wirken in den meisten Fällen sehr authentisch. Sie ahmen in vielen Fällen gekonnt die Corporate Identity bekannter Banken oder Unternehmen nach, sind meist in nahezu einwandfreiem Deutsch geschrieben und bauen unterschiedlich starke Drohkulissen für den Fall auf, dass die Rechnung nicht innerhalb der gesetzten Frist beglichen wird (gerichtliches Verfahren, Hinzuziehung Inkassobüro, et al). Doch häufig sind die E-Mails äußerlich einfach und ohne jegliche Corporate Identity gestaltet. Die skizzierten Drohungen erschrecken den Empfänger jedoch ausreichend, um ihn direkt zur Überweisung des angemahnten Geldbetrages zu bewegen.

Es werden dabei fast ausschließlich komplette Personendatensätze (Vorname, Nachname, Anschrift und Rufnummer) der Rechnungsempfänger verwendet. Betroffene Rechnungsempfänger, die den Betrugsfall im Nachhinein gemeldet haben, konnten dies verifizieren und bestätigen. Hatten die E-Mails nicht nur zum Ziel, den Rechnungsbetrag zu erschleichen, sondern Schadsoftware zu verbreiten, verbarg sich diese entweder im E-Mail-Anhang oder hinter einem Download-Link. In Teil II dieses Blogs beschreiben wir anhand eines exemplarischen Betrugsfalls im Detail, wie eine Phishing-E-Mail aufgebaut ist und wie der Betrugsvorgang abläuft. Dass Sie grundsätzlich weder den Anhang öffnen noch den Link anklicken sollten, versteht sich von selbst.

Um den Erhalt solcher Fake-Rechnungen per E-Mail zu verhindern, reicht eine digitale Signatur für E-Mail-Rechnungen kaum aus. Bei höheren Rechnungsbeträgen wird der Betrüger den Aufwand betreiben, die gefälschte Rechnung zu signieren. Hier liegt die Verantwortung beim Absender einer Rechnung, der von vornherein dafür Sorge tragen muss, seine Rechnungen ausschließlich verschlüsselt zu übertragen. Nur über eine verschlüsselte Übertragung mit separatem Passwort (zum Beispiel über SMS Versendung), wie sie beim Managed File Transfer von SEEBURGER genutzt wird, ist der Rechnungsversand sicher.

Fazit

SEEBURGER ermöglicht mit dem Invoice Delivery Service den sicheren Rechnungsversand. Hierfür erhält der Rechnungsempfänger einen Link zum gesicherten Download. Mit diesem registriert er sich mit Benutzernamen und Passwort. Letzteres erhält er über einen separaten Kommunikationsweg (zum Beispiel per SMS). Anschließend kann er die Rechnung verschlüsselt herunterladen. Mit den E-Invoicing-Lösungen von SEEBURGER sind Sie auf der sicheren Seite.

Nutzen Sie SEEBURGER Technologien präventiv, wie den Invoice Delivery Service, den Invoice Portal Service oder die SAP integrierten Lösungen Purchase-to-Pay und smart-e-Invoice-Outbound, um derartige Betrugsfälle im Vorfeld auszuschließen.

Eine professionelle Managed File Transfer Lösung für den Versand personenbezogener Daten, als auch eine E-Invoicing-Lösung für Ihren elektronischen Rechnungsaustausch, schaffen Sicherheit, Transparenz und Nachvollziehbarkeit beim Datentransfer Ihrer sensiblen digitalen Dokumente.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!
Peter Fels

Über den Autor:

Peter Fels ist Produktmanager D-A-CH im Hause SEEBURGER für die automatisierte Rechnungseingangsbearbeitung für alle non-SAP-Systeme. Herr Fels hat viele Jahre Erfahrung bei der Umstellung von papierhaften auf elektronische Rechnungsprozesse.