E-Mail-Sicherheit
Fake-Rechnungen per E-Mail erkennen
Gefälschte Rechnungen sind eine der häufigsten Betrugsmethoden im Geschäftsalltag. Wir erklären, wie Sie Fake-Rechnungen erkennen und wie SPF, DKIM und DMARC Ihre Kunden schützen.
Es ist eine alltägliche Situation: Eine E-Mail kommt rein — vermeintlich von Ihrem Hosting-Anbieter, der Telefongesellschaft oder einem bekannten Lieferanten. Im Anhang: eine Rechnung. Der Betrag ist plausibel, das Layout sieht echt aus. Also wird überwiesen. Doch das Geld landet bei Betrügern.
Diese Masche heißt „Rechnungsbetrug per E-Mail" und verursacht jedes Jahr Schäden in Millionenhöhe — besonders bei kleinen und mittleren Unternehmen. Dabei ist die Masche technisch einfach. Und der Schutz ebenso.
Wie Fake-Rechnungen funktionieren
Betrüger gehen in zwei Schritten vor:
- Glaubwürdiger Absender: Sie fälschen die Absenderadresse — die E-Mail scheint von
@telekom.de,@ihr-lieferant.deoder einem anderen vertrauten Unternehmen zu stammen. - Glaubwürdiger Inhalt: Die E-Mail enthält Firmenlogos, korrekte Ansprechpartner, reale Rechnungsnummern und einen plausiblen Betrag — oft zwischen 200 € und 2.000 €, weil das selten geprüft wird.
Für den Betrüger ist das ein Volumengeschäft: Von 1.000 verschickten Fake-Rechnungen werden vielleicht 5 bezahlt. Das reicht für einen hohen Gewinn — bei minimalem Risiko.
7 Warnsignale für Fake-Rechnungen
1. Abweichende Bankverbindung
Die IBAN in der E-Mail weicht von der bekannten Bankverbindung des Absenders ab. Betrüger geben eine eigene Kontonummer an — oft bei einer ausländischen Bank oder einem Fintech-Dienst.
2. Dringlichkeit und Druck
„Zahlungserinnerung — letzte Mahnung vor Inkasso", „Bei Zahlung bis morgen 3 % Skonto". Seriöse Unternehmen versenden Mahnungen per Post und setzen keine unrealistisch kurzen Fristen.
3. Ungewöhnlicher Absender
Die E-Mail kommt von einer Freemail-Adresse (@gmail.com, @web.de) statt von der Firmen-Domain. Oder die Domain ist minimal abweichend: @telekorn.de statt @telekom.de.
4. Keine persönliche Anrede
„Sehr geehrter Kunde" statt Ihrem Namen. Seriöse Rechnungen enthalten in der Regel Ihren Firmennamen und den korrekten Ansprechpartner.
5. Verdächtiger Anhang
Die Rechnung kommt als ZIP-Datei, als passwortgeschützte PDF oder als Word-Dokument (.docm). Das sind typische Wege, um Schadsoftware an Virenscannern vorbei zu schleusen.
6. Ungewöhnliche Zahlungsmethoden
Statt der üblichen Überweisung wird auf PayPal, Kryptowährung oder einen ausländischen Zahlungsdienstleister verwiesen.
7. Rechtschreib- und Grammatikfehler
Seltsame Formulierungen, Übersetzungsfehler oder unprofessionelle Sprache sind ein deutliches Warnsignal — auch wenn KI-generierte Texte dieses Signal zunehmend abschwächen.
So schützen Sie Ihr Unternehmen vor Fake-Rechnungen
Für den E-Mail-Eingang: Prüfprozesse etablieren
- Bankverbindung immer telefonisch verifizieren: Rufen Sie bei neuen oder geänderten Bankverbindungen kurz beim Absender an — unter der gespeicherten Nummer, nicht unter der aus der E-Mail.
- Vier-Augen-Prinzip: Zahlungen über 500 € müssen von einer zweiten Person freigegeben werden.
- Rechnungsnummern abgleichen: Führen Sie eine Liste erwarteter Rechnungen und gleichen Sie eingehende Rechnungen damit ab.
- Mitarbeiter schulen: Erklären Sie allen Mitarbeitern mit Zahlungsbefugnis die Warnsignale. Einmal im Jahr reicht.
Für Ihre eigene Domain: SPF, DKIM und DMARC einrichten
Damit Betrüger Ihre eigene Absenderadresse nicht für Fake-Rechnungen an Ihre Kunden missbrauchen können, brauchen Sie drei Schutzmechanismen:
- SPF: Legt fest, welche Server E-Mails für Ihre Domain verschicken dürfen.
- DKIM: Fügt jeder E-Mail eine kryptografische Signatur hinzu — der Empfänger kann prüfen, ob die E-Mail wirklich von Ihnen stammt.
- DMARC: Sagt dem Empfänger, was mit nicht-autorisierten E-Mails passieren soll — ablehnen, in Quarantäne verschieben oder zustellen.
Lesen Sie dazu unsere ausführliche DMARC-Erklärung — mit Schritt-für-Schritt-Anleitung.
Das kostet nichts: SPF, DKIM und DMARC sind kostenlose DNS-Einträge. Die Einrichtung dauert etwa 10 Minuten. Der Schutz ist sofort wirksam — sowohl für Ihre ausgehenden E-Mails als auch für den Ruf Ihrer Domain.
Was tun, wenn Sie eine Fake-Rechnung erhalten haben?
- Nicht bezahlen: Leiten Sie die E-Mail nicht weiter und öffnen Sie keine Anhänge.
- Bank informieren: Falls bereits überwiesen, kontaktieren Sie sofort Ihre Bank. Bei schneller Reaktion kann die Überweisung oft noch gestoppt werden.
- Polizei einschalten: Erstatten Sie Anzeige bei Ihrer lokalen Polizeidienststelle. Auch wenn die Täter selten gefasst werden — die Statistik hilft, das Ausmaß zu dokumentieren.
- Absender informieren: Wenn der Absender echt ist, informieren Sie das Unternehmen — dessen Domain wird möglicherweise für Betrug missbraucht.