Ich greife mal erneut ein Thema auf, was wohl langsam aber sicher virulenter wird: Leute bekommen Rechnungen für legitime Bestellungen, in denen aber die IBAN für das Zielkonto von Cyberkriminellen manipuliert wurde. Zahlungen der Opfer gehen an die Kriminellen. Ursache sind gehackte Mail-Konten (meist beim Absender der Rechnung). Mir ist gerade ein Fall berichtet worden, wo ein IT-Supporter das nachweisen konnte.
Rückblick auf den ersten Fall
Mitte Juli 2025 hatte ich im Beitrag Neue Betrugsmasche mit manipulierten Rechnungen über den ersten Fall berichtet. Ein Landmaschinenhändler und eine Landwirtin vereinbarten einen Handel (Traktorkauf). Der Verkäufer schickt eine Rechnung, die von der Käuferin, trotz Nachfrage von der Bank, ob man dem Empfänger vertraut, auch bezahlt wurde. Das Geld landet aber auf einem fremden Konto, weil die Rechnung auf dem Versandweg manipuliert wurde.
Im beschriebenen Fall, der bereits ein Jahr alt war, bekam das Opfer wohl den Schaden ersetzt. Und von einer IHK hieß es, dass die Masche bekannt sei, und wohl auf ein geknacktes E-Mail-Konto zurück geht. Eine Auflösung gab es bezüglich dieser Vermutung meines Wissens in diesem Fall nicht. Der Fall war auch exemplarisch gedacht, denn er war mir von einem IT-Supporter verlinkt worden, weil er "gerade an einem ähnlichen Fall" für einen geschädigten Kunden dran war und die Details mit dem LKA am abklären war.
Ein Leser schildert einen neuen Fall
Carsten S. hat sich bei mir per E-Mail gemeldet, weil er den obigen Artikel gelesen hatte und für einen Kunden einen ähnlich gelagerten Fall bearbeitet. Zum 30. Juli 2025 schrieb er in einer Mail mit dem Betreff "Ergänzung zum Artikel: Neue Betrugsmasche mit manipulierten Rechnungen": "Ich hatte Ihren Artikel zum Thema gefälschte Kontoverbindung im Kopf und seit gestern haben wir einen eigenen Fall im Kundenkreis". Ich hätte normalerweise gesagt "Ok, ist mit obigem Artikel abgearbeitet". Aber Carsten konnte einige zusätzliche Informationen liefern, weshalb ich seine Beobachtungen hier in einem Beitrag einstelle.
Was ist passiert?
Einer der Kunden des IT-Dienstleisters mahnte einen eigenen Kunden wegen eines offenen Rechnungsbetrags an. Kommt häufiger vor, und es kommt auch schon zu Fehlern. Im aktuellen Fall konnte der gemahnte Kunde nach Prüfung seiner Kontoauszüge jedoch feststellen, dass er den Rechnungsbetrag überwiesen hatte.
Dieser Rechnungsbetrag wurde wenige Tage später wegen eines aufgelösten Konto zurück gebucht. Bei der Prüfung fiel auf, dass die Bankverbindung im Briefbogen des Rechnungsstellers gegen eine gefälschte Bankverbindung der Deutschen Bank (statt Volksbank) ausgetauscht wurde.
Prüfung der IT-Systeme beim Rechnungsversender negativ
Der Leser schreibt, dass man nach umfassender Prüfung einen Sicherheitsvorfall bei "unserem Kunden" (der die Rechnung erstellt und verschickt hatte, ausschließen konnten. Wie bei den meisten Kunden dieses IT-Dienstleisters habe es eine durchdachte Sicherheitsarchitektur der technischen Systeme gegeben. Und der Kunde hatte für Cyberbetrug durch Security-Awareness sensibilisierte Mitarbeiter.
E-Mail-Konto des Rechnungsempfängers gehackt
Carsten schrieb dann: Vielmehr zeigte sich recht schnell das Bild, dass die IT der Empfängerseite (mindestens deren E-Mail-Server) vor einiger Zeit gehackt wurde. Möglicherweise durch einen Phishing-Angriff.
So konnten Rechnungsemails (auch die des Rechnungserstellers) samt Anhang unbemerkt abgefangen und später mit gefälschtem Anhang präpariert werden. Der IT-Dienstleister, der nun von Empfängerseite mit der Analyse beauftragt wurde, konnte sogar eine E-Mail ausfindig machen, in der es dem Angreifer zu spät gelungen war, diese E-Mail samt Anhang zu entwenden. In diesem Fall wurde nur eine E-Mail ohne Anhang zugestellt. Dies war dem Empfänger aufgefallen, und der Mitarbeiter reagierte mit einer Antwort-E-Mail an den Rechnungsversender.
Fragen und Folgen
Im aktuellen Fall war das "Ziel-Bankkonto" der Betrüger bereits für Geldeingänge gesperrt bzw. erloschen, weshalb es zur Rückbuchung kam. Carsten geht davon aus, dass die Bankverbindung bereits für vergangene Betrugsversuche genutzt wurde, weshalb das Konto nicht mehr existierte, und das überwiesene Geld zurückkam. Es ist also für den betreffenden Kunden kein Schaden entstanden.
Zunahme der Fälle zu erwarten
In Zeiten mangelnder Cyberabwehr in Firmen, zunehmender E-Mail-Kommunikation (oft über Microsoft 365 als Monokultur) sowie dem Umstand, dass Cyberkriminelle vermehrt auf AI-Lösungen setzen, muss man künftig verstärkt mit solchen Vorfällen rechnen. Die eRechnung (ZUGPeRD) könnte da sogar noch einen Push liefern.
Kontenabgleich könnte helfen
Bei großen Firmen dürften die Bankverbindungen der Lieferanten in einem elektronischen System erfasst sein. Dann wird eine Zahlung für eine Rechnung nur ausgeführt, wenn diese berechtigt ist und die IBAN stimmt. Alles andere löst eine Nachfrage samt Stopp der Zahlung aus.
Die ab Oktober 2025 geltende Verpflichtung der Banken, IBAN und Empfänger einer Zahlung mit der sogenannten VoP-Prüfung abzugleichen und in einem Ampelsystem zu warnen (siehe IBAN-Namensabgleich ab Oktober 2025 für Banken verpflichtend) könnte diese Betrugsmasche erschweren – sofern die Rechnungsempfänger mitziehen.
Wer haftet in solchen Fällen
Der Blog-Leser schreib: "Mich hat die Frage beschäftigt, wer diesem Fall haftet." Der normale Verstand würde die meisten Menschen wohl zum Schluss kommen lassen, dass die Empfängerseite der Rechnung in der Haftung zu sehen. Diese muss im Rahmen der Sorgfaltspflichten eigentlich prüfen, ob die IBAN stimmen kann.
Carsten schrieb, dass dies zum aktuellen Zeitpunkt nicht unbedingt so sei. Es gebe hier zwar Urteile von Landesgerichten, die die Haftung tatsächlich auf Empfängerseite der Rechnung sehen. Allerdings gebt es nun ein wenige Monate altes Urteil des Oberlandesgericht Schleswig-Holstein, welches folgendes feststellt:
Mit Zahlung an die falsche Bankverbindung bleibt der Rechnungsbetrag beim Rechnungssteller offen, aber die Empfängerseite hat einen Schadenersatzanspruch in gleicher Höhe gegen den Rechnungssteller, da dieser, aus Sicht des Gerichts „keine ausreichenden technischen Maßnahmen" ergriffen hatte.
Der Rechnungsempfänger muss nicht erneut zahlen, der Rechnungssteller bleibt auf dem Schaden sitzen, schrieb Carsten. Hier handelt es sich aber um eine Rechnung an Privatpersonen, heise hat den Sachverhalt in diesem Artikel von Feb. 2025 aufbereitet. Das Urteil des OLG 12 U 9/24 wurde zudem zur Revision zum Bundesgerichtshof zugelassen, da hier eine abschließende Grundsatzfrage geklärt werden soll (siehe: Rechnungsversand per Email – Überweisung auf falsches Konto nach Rechnungsfälschung).
Der Leser meint: In der Praxis ist dies jedoch realitätsfern, zumindest zum aktuellen Zeitpunkt. Es würde voraussetzen, dass jede Kunde über ein E-Mail-Zertifikat und die Möglichkeit zur Ende-zu-Ende Verschlüsselung oder der digitalen Rechnungssignatur verfügt. Bei Handwerksbetrieben die an Privatkunden Rechnungen verschicken kaum denkbar.
Nach Rücksprache mit einer Kundin (die zufällig IT-Recht im Portfolio hat), herrscht hier aktuell also Rechtsunsicherheit, schrieb mir der Leser. Auch hier wurde erwähnt, dass hier im Oktober von anderer Seite Abhilfe in Aussicht steht (siehe mein obiger Hinweis zur Pflicht der Banken zum Abgleich der Empfängerdaten auf Grund der EU-Verordnung Verification auf Payee). Diese nimmt europäische Banken in die Pflicht, bei jeder SEPA-Überweisung Kontoinhaber und IBAN abzugleichen. Gibt es einen "no match" schlägt die Überweisung fehl. Wer dann trotzdem überweist, ist aus Sicht der Banken in der Haftung. Wie das aber im Kontext des obigen Urteils des OLG ausschaut, ist für mich offen. Das Thema ist also erst einmal weiter auf der Agenda.
Ergänzung: Laut Beck Online ist das Urteil 12 U 9/24 (LG Kiel) des OLG Schleswig vom 18.12.2024 inzwischen rechtskräftig. Die Kommentierung bei Beck Online setzt aber hohe Maßstäbe. Eine Auswertung bei Beck Online findet sich hier und eine weitere Kommentierung eines RA gibt es hier. Blog-Leser Tomas schrieb mir dazu: "Interessant ist die juristische Bewertung des Urteils unter Anmerkungen: Hier finden sich Hinweise auf einen mutmaßlichen Inside-Job eines Mitarbeiters mit Namen B. Es fand eine Überprüfung der "Computeranlage" statt, die keine Anzeichen eines Angriffes ergab. Die Manipulation der Mail könnte bereits vor dem Versenden erfolgt sein. Damit ändert sich der komplette Scope, nicht irgendwelche von außen gehackte Email Konten oder eine Malware sondern der eigene Mitarbeiter geraten in den Fokus, alles noch mutmaßlich da ein Strafverfahren wegen Abfangens von Daten, Betrug und Geldwäsche anhänglich und nicht entschieden ist."
Ich selbst habe vorige Woche bei der Bezahlung eines Ferienappartements zur Sicherheit beim Vermieter nachgefragt und die IBAN über einen anderen Kanal bestätigen lassen und dann noch die Zielbank als plausibel überprüft. Denn genau in diesem Bereich hatte ich 2024 einen Betrugsfall (siehe Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?). Und auch bei Booking.com gibt es Betrugsversuche, wobei dort in allen Fällen die Vermieter-Postfächer gehackt bzw. deren Buchungssysteme kompromittiert wurden.
Das Thema gefälschter E-Mails ist damit, so Carsten, zwar nicht vom Tisch und bereits Geschädigten vermutlich nicht geholfen. Der Kern des Betrugs wird durch die IBAN-Prüfung hoffentlich doch ausgehebelt. Denn ich gehe davon aus, dass es weiterhin Zeitgenossen gibt, die trotz Warnung der Bank bei der Überweisung diese doch bestätigen. Speziell die vielen Handy-Apps zum Online-Banking könnten dem Vorschub leisten. Ansonsten gibt es ja noch andere Betrugsmaschen für Cyberkriminelle wie Abbuchung per Lastschrift oder über Debit-/Kreditkartennummern.
Ähnliche Artikel:
Neue Betrugsmasche mit manipulierten Rechnungen
Betrugsfall mit falschem SEPA-Mandat über sevdesk
Unberechtigte Abbuchungen bei HypoVereinsbank-Kreditkarte: Datenabfluss?
Vorsicht vor Betrugs-Mails (BGN, DGVU) – April 2025
Betrug: Falsche Gerichtskostenrechnungen im Umlauf
PayPal-Betrug per "Gastkonto"; Verbraucherzentrale warnt
Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?
Booking.com von Cyberangreifern missbraucht – Phishing und Malware verschickt
Booking.com Konten wieder gehackt? Empfehlung zum Passwortwechsel
MVP: 2013 – 2016
"In Zeiten mangelnder Cyberabwehr in Firmen, zunehmender E-Mail-Kommunikation…"
"In der Praxis ist dies jedoch realitätsfern…"
Halt, Stop, von welcher Realität reden wir? Was lese ich hier, wenn es heißt, dass in Unternehmen Recnungen manuell in Emails verarbeitet werden? Ist bei den betroffenen Unternehmen die Entwicklung der letzten 25 Jahre komplett vorbeigezogen?
In der Praxis werden in mittelständischen Unternehmen Belege über elektronischen Datenaustauschformate voll- oder zumindest halb-automatisiert übermittelt. In den verschiedensten Standards (meist EDI) oder B2B Plattformen (z.B. SupplyOn, SAP, ENX etc).
Wer da noch was als PDF braucht, meldet sich 2FA geschützt an und lädt sich diese herunter. Da läuft maximal der Hinweis über E-Mail, dass ein neuer Beleg abgelegt wurde, nicht mehr.
Selbst kleine und freie ERP/Wawi Systeme an wie Tryton oder Oodoo bieten EDI an, so what? Es gibt Branchen, da bekommt man nur noch B-Lieferanten Status, wenn man kein EDI kann.
Und für den Fall, dass tatsächlich noch PDFs per Mails ausgetauscht werden, so haben diese gefälligst in einem DMS zu landen. Direkt neben dem zugehörigen Auftrag oder Projekt, wo der komplette Ablauf selbst die letzte ungelernte Hilfskraft deutlich wird, wenn da plötzlich eine Manipulation vorliegen sollte, vor allem ein Wechsel einer Bankverbindung.
Das ist grundlegendes Handwerk jeder Digitalisierung!
Wer als Unternehmen von dieser Problematik betroffen ist über Phishing oder manipulierten Emails oder Rechnungen jammert, hat schlichtergreifend seine Prozesse und Digitalisierung nicht im Griff!
Der möge bitte abfackeln und in die Insolvenz verschwinden und Platz machen für jene, die Ihre Hausaufgaben ordentlich machen.
Du schildest hier die Sicht aus Konzernebene.
Aber die Wirtschaft besteht nun eben mal nicht nur aus Konzernen, sondern auch aus SMB/KMU. Und da sieht es ganz anders aus.
So ist es.
So schaut es aus! B2B darf sowas kein Problem sein, sonst hat man seine Prozeße nicht im Griff.
Hat man aber auch Privatkundschaft wird es schon schwerer. Ich kann nicht erwarten das ein Privatkunde die Bankverbindungen kennt. Der muss sich darauf verlassen können das das was auf der Rechnung steht korrekt ist!
Informierte, fachkundige Leute besorgen/gleichen die Infos über verschiedene Wege ab, erst recht wenn es doch um "größere" Beträge geht… nur wie immer wenn es um IT Sicherheit & Privatsphäre geht kannst du die im allgemeinen an einer Hand abzählen! Die Masse ist da dumm & faul! (und ja das muss so gesagt werden, totschweigen ändert da nix!)
Ich persönlich finde deine Aussage:
"Der möge bitte abfackeln und in die Insolvenz verschwinden und Platz machen für jene, die Ihre Hausaufgaben ordentlich machen."
bedenklich und würde so einer "Fachkraft", dringend eine Schulung in Kommunikation empfehlen.
bedenklich ist, dass Dir offenbar nicht bewusst ist, in welchem Wirtschaftssystem wir leben. Natürlich braucht es Rück- und Fehlschläge, damit Menschen lernen und sich hoffentlich weiter entwickeln… oder eben nicht. Dann bitte aber verschwinden und den Raum freimachen für alle, die besser, flexibler, intelligenter whatever sind. Bei renitent wirschaftenden Unternehmen sind das halt in letzter Konsequenz Insolvenzen.
"Bei renitent wirschaftenden Unternehmen sind das halt in letzter Konsequenz Insolvenzen."
Ähm, dann muß aber mit voller Ehrlichkeit auch dazu gesagt werden, dass das aber de facto nichts mehr mit immer postuliert "freier" Marktwirtschaft zu tun hat, wenn betriebsbürokratische Prozesse nur noch mit gewissen zu befolgenden Methoden umzusetzen sind. 🤷♂️
Und übrigens steht da oftmals nicht die "Wirtschaftlichkeit" der Unternehmen zur Kritik, allerdings haben wir das nun auch von unserer ach so libertär ausgerichteten Wirtschaftspolitik – "Jeder darf alles machen!" ist dann vllt. eben auch nicht gut.
Darf ich daran erinnern das wir keine "Freie Marktwirtschaft" haben, sondern eine "Soziale Marktwirtschaft"?
Noch schlimmer sind die Leute, sie von "Freier Sozialer Marktwirtschaft" seiern.
Oder wurde das Grundgesetz in den letzten Jahren dies bezüglich geändert/erweitert?
"Darf ich daran erinnern […]"
Sorry, nein, denn wir haben garantiert KEINE "soziale" Marktwirtschaft – braucht man bspw. nur den ersten Absatz bei Wikipedia[1] lesen.
Und grundgesetzlich[2] ist's auch falsch – von "sozialer" Marktwirtschaft ist da NICHTS festgeschrieben – nicht verwechseln mit dem "Sozialstaat".
Übrigens spricht auch das BMWE nur von "Leitbild sozial-ökologische Marktwirtschaft" und es ist absolut sonnenklar, dass die Politik dieses NARRATIV aufrecht erhalten muß, denn sonst könnte man natürlich den 40-45 Jahre lang schwer schuftenden "Bürgern" den eindimensionalen Kapitalismus auch nicht rechtfertigen – "Marktwirtschaft" schließt prinzipbedingt "Sozialität" aus! 🤷♂️
[1] https://de.wikipedia.org/wiki/Soziale_Marktwirtschaft
[2] https://de.wikipedia.org/wiki/Wirtschaftsverfassung (Abs. Rechtsprechung)
[3] https://www.bundeswirtschaftsministerium.de/Redaktion/DE/Dossier/soziale-marktwirtschaft.html
Der letzte Satz klingt zwar knackig, geht aber am Kern der Wirklichkeit vorbei. Wurde ja von anderen Lesern angemerkt, sobald Privatkunden oder kleine Firmen drunter sind, hilft nur Information und Aufmerksamkeit, gepaart mit dem Ansatz, die Systeme sicher zu halten. Ich lege mir als Freiberufler doch kein DMS für die 2 Dutzend Rechnungen pro Jahr zu, und als Privatkunde erst recht nicht.
Da gehe ich nicht mit. Es ist selbst einem Kleinunternehmer und Soloselbständigem zumutbar für wenig EUR im Jahr sich ein Cert zum signieren von Dokumenten zu kaufen. Oder zum signieren und verschlüsseln von Emails. Oder einfach kostenlos PGP nutzen.
Hier ein Beispiel: knapp 300,- EUR p.a. für ein Certum Cert, unbegrenztes signieren von Dokumenten, bei mehr Jahren wird es noch günstiger:
https://www.psw.net/dokumente-signieren
und zum DMS: In jeder synology gibt es doch mittlerweile ein Container mit einem paperless ngx oder ecodms oder wie sie alle heißen. Auf einem Smartphone haben se alle drölfzig Apps, aber dann einem erklären wollen, mit PDFs, DMS oder Certs umgehen sei zu kompliziert?
Kompliziert ist es nur, weil niemand sich damit beschäftigen will.
Kann man machen, nur dann bitte nicht meckern wenn man betroffen ist…
"Es ist selbst einem Kleinunternehmer und Soloselbständigem zumutbar für wenig EUR im Jahr sich ein Cert zum signieren von Dokumenten zu kaufen."
Wenn sie denn überhaupt um die Notwendigkeit wüßten.
Hmm… ich frag' mich da ja, wo bspw. Unternehmensgründer über so was hingewiesen/informiert werden – müßte also jeder erstmal eine Digitalisierungs-Sicherheitsschulung vor Gründung machen?
"[…] In jeder synology gibt es doch […]"
Und welcher Klein(st)-Unternehmer hat sowas im Betrieb stehen oder "erkennt" gar eine Notwendigkeit dafür?
Klar, nun kann man argumentieren, dass sich sowas ja allein auch für die Datensicherheit hinblicklich Backups anböte, aber so wird's auch leider zu oft von sog. "IT-Fachkräften" nicht vermittelt.
Wo ENTSTEHT da also der ursächliche Fehler?
> Wenn sie denn überhaupt um die Notwendigkeit wüßten…
So langsam kommen wir zum Pudels Kern. Reden wir noch von einem technischen Problem? Wer ohne Ahnung mit etwas arbeitet und keine Zeit, Ressourcen oder Personal hat es richtig zu machen, der muss Know-How nunmal extern einkaufen. Da genau kommen ganz viele Menschen wie meine Wenigkeit ins Spiel.
> …aber so wird's auch leider zu oft von sog. "IT-Fachkräften" nicht vermittelt.
Es gibt gute und schlechte, so wie überall in allen Aspekten. Es herrscht Vertragsfreiheit, Du darfst Dir Deine Fachkräfte selbst aussuchen.
> müßte also jeder erstmal eine Digitalisierungs-Sicherheitsschulung vor Gründung machen?
Ja ja, der verkappter Ruf nach Hilfe vom Staat, von der Allgemeinheit für die eigenen Verfehlungen. Da sind wir hier in Deutschland sehr schnell.
> Wo ENTSTEHT da also der ursächliche Fehler?
Im Kopf des jeweiligen? Im Mangel, sich mit den elementaren, täglich notwendigen Dingen und Prozessen auseinander zu setzen?
Wir reden hier nicht mehr von technischen sondern eher psychologischen Problemen und da bin ich raus.
In diesem Sinne
Vielleicht übersehe ich etwas.
Aber das ist Scheinsicherheit.
Ich bekomme jeden Monat signierte Rechnungen des Telefon Anbieters. Zumindest ist eine Signatur als separate Datei dabei.
Geprüft habe ich nie etwas. Die Rechnung wird aber ohnehin abgebucht.
Im B2C Bereich werden private Auftraggeber vermutlich die Signatur gar nicht prüfen.
Als Ergebnis wird die Sicherheit nicht erhöht sondern nur die Haftung der Firmen begrenzt.
Eigentlich sollte das Ziel aber die Erhöhung der Sicherheit sein.
Richitg! Das Unternehmen hat seinen Part mit der Signatur dann erfüllt. Solltest Du da auf eine untergeschoebene Fake-Rechnung reinfallen, so ist das PP, persönliches Pech.
Gemäß Rechtslage und dem verlinkten Fall darfst Du dann nochmals zahlen, diesmal an das Unternehmen, dessen Forderungen weiterhin bestehen.
> Eigentlich sollte das Ziel aber die Erhöhung der Sicherheit sein.
Verzeih mir meinen Lachanfall…
Wenige Euro ist lustig. Dort werden unverschämte Preise aufgerufen. Der Aufwand für die CAs ist minimal und doch wollen sie mehrere hundert Euronen im Jahr kassieren. Ich nenne das Abzocke. PGP ist leider nur für Bastler geeignet aber nicht im täglichen geschäftlichen Einsatz. Es ist praktisch niemand in der Lage eine PGP Signatur zu prüfen. Das sog. Web of Trust funktioniert eben nur in der Community.
hahaha… dir ist schon klar, das E-Mail Verschlüsselung garantiert nicht an /meinem/ Zertifikat scheitert?
nenne mir eine Person außerhalb der IT, inkl Hobbybereich der ein Zertifikat für E-Mail Verschlüsselung hat.
Verschlüsselung würde vor 30 Jahren nicht gewünscht und ist deswegen nicht flächendeckende
Es geht ja noch weiter. Ich bietet seit ca. zwei Jahren die Möglichkeit an, verschlüsselt mit mir zu kommunizieren. Einige wenige Leser nutzen das.
– Problem #1, in welches ich gelaufen bin: Irgendwann hat ein Update mir das Thunderbird-Profil versemmelt. Ich habe es hin bekommen, die Mails zu retten – aber die Schlüssel waren weg und ich hatte irgendwie keine Sicherung. Alles, was mir verschlüsselt zugesandt wurde, war damit im digitalen Orkus – zum Glück nur zwei drei Mails von Patrick.
– Problem #2, in welches ich gelaufen bin: Ich wollte mit verschiedenen Behörden verschlüsselt kommunizieren, um Anträge im SGB XII-Bereich für Familienangehörige zu übermitteln. Eine Stelle bot nur S/MIME an (inzwischen wohl auch OpenPGP). Ich habe es im Thunderbird nicht hin bekommen, die S/MIME-Verschlüsselung einzurichten. Mit Patrick bin ich dann zum Schluss gekommen, dass sich OpenPGP und S/MIME in der seinerzeit genutzten Thunderbird-Version ausschließen müssen.
Gut, liegt womöglich an meiner Unfähigkeit. Aber zeige mir den Privatmann oder KMU-Menschen, der das so nebenbei beherrscht. Soll ich jedes Mal, wenn es hakt, x Mail-Clients abklappern, um zu testen, ob es klappt? Auf meinem Android-Smartphone habe ich aktuell auch keine Möglichkeit, verschlüsselte E-Mails zu entschlüsseln (ist nur auf zwei Desktop-Systemen eingerichtet, beim Linux-System weiß ich es ad hoc nicht mal).
Und wenn ich hier von Lesern bei Windows- und Outlook-Problemen lese, dass bei technischen Problemen eben mal neu installiert wird /werden muss, macht dass das Ganze auch nicht besser. Könnte man zwar alles sauber irgendwie von IT-Menschen aufsetzen lassen. Solange die meisten Nutzer von E-Mail-Konten aber damit kämpfen, dass in schöner Regelmäßigkeit die Zugänge wegen Bugs oder Änderungen der Authentifizierung streiken, wird das nichts mit flächendecken signierten und verschlüsselten E-Mails.
Das Ganze müsste irgendwie fool proof und einfach zum Nulltarif oder mit wenigen 1-2 Euro/Monat erhältlich sein, aber da sind wir weit von entfernt – imho. Bei Messengern wie Signal, Threema oder auch WhatsApp sind wir doch schon einen großen Schritt weiter – da ist Ende-zu-Ende-Verschlüsselung implementiert und kein Thema (außer in der Politik, die diese Kommunikation aufbrechen will).
Kann es sein, das Du oder andere hier was durcheinanderwerfen?
Dokumente signieren hat erstmal nichts mit signierten Emails zu tun. Klar kann man beides mit einem S/MIME oder PGP Cert machen, sind aber zwei verschiedene Dinge.
Du kannst (und solltest das auch!) signierte PDFs verschicken, ohne die Email als Briefumschlag mit zu signieren oder Dich in Installationsorgien mit Deinem Email-Clienten zu stürzen.
Jede vernünftige Warenwirtschaft sollte das können. Wenn nicht, kann man sowas zur Not auch automatisiert mit einem Hotfolder und Bash-Skript lösen.
Man kann sich jetzt streiten, ob man eine eigene oder die käuflich zu erwerbenden öffentliche Signaturen für EES, FES oder QES nimmt.
Und Sorry zu Deinem Problem #1, wer sein Key bzw. Passwort vergisst – kein Mitleid. Der gleiche Lockout passiert Dir auch bei vergessenen Admin- und Root-Passwörtern.
Zu Deinem Problem #2, ich habe bis ca. 2019 ohne Probleme PGP und S/MIME im Thunderbird parallel genutzt, unter Linux. Ich schätze Du warst auf Windows?
P.S. Die Ösis sind mal wieder seit Jahren etwas weiter:
https://www.oesterreich.gv.at/de/landingpages/pdf_signatur_services
Sind wir doch mal ehrlich: Mail Verschlüsselung ist nicht gewollt, sonst wäre das längst kein Thema mehr.
Im Rahmen von Archivierungspflicht usw. usf. wird es auch nur noch komplexer. Man MUSS jedes Zertifikat mit seinem Private Key immer auch sichern damit 10 Jahre+ alte Mails auch noch lesbar bleiben. Welcher Anwender weiß schon wie er seine Zertifikate beim Rechnerwechsel oder einer Neuinstallation wie zu sichern hat?
Das einige Programme – Firefox – ihren eigenen Zertifikatespeicher nutzen macht es nicht besser.
Da kennst du Konzerne aber schlecht.
Wir haben hier einen der größten deutschen Automobilkonzerne als Kunden und der will die Rechnungen sogar noch als Papierrechnung!
PDF oder selbst die bald verpflichtende eRechnung lehnt er noch ab!
Wir haben da schon häufiger angefragt, wann er denn die Rechnung auf elektronischem Wege haben will. Immer kam als Antwort: "Rechnungen bitte auf Papier per Post".
Und ein anderer großer deutscher Automobilist, ebenfalls Kunde von uns, will die Rechnungen per PDF.
So sieht die Realität aus!
Und bestellt wird per Massen Brief Post aus dem ERP.
Weil die Bestellungen nocheinmal gegen gezeichnet werden müssen zwecks Korruptions vermeidung.
Früher gab es ja mal die heiße Idee, dass jede Rechnung mittels Quantifizierter Signatur unter schrieben werden sollte, die man elektronisch übermitteln wollte.
Immerhin konnte ja kein Buchprüfer anders fest stellen, wer die Rechnung ausgedruckt hatte….
Das mit der qualifizierten Signatur war irgendwann tot, hätte aber das Problem mit Fake Rechnungen verhindert.
Warum ist der Gesetzgeber davon zurück getreten?
********************************
Warum ist der Gesetzgeber davon zurück getreten?
********************************
Wegen Korruption… äh Lobbyarbeit eben (nennt man in der Politik ja nicht Korruption ;-P)
Du läufst leider komplett an der Realität vorbei, auch wenn du in der Sache richtig liegst. Die Probleme, die du beschreibst, sind Alltag. Überall. Ich möchte behaupten: es gibt mehr Unternehmen, die ihre Prozesse und Workflows *nicht* im Griff haben, als andersrum.
"Kreative Zerstörung" halte ich grundsätzlich für den richtigen Ansatz, um diverse Zombie-Unternehmen vom Markt zu bekommen und gebundene Ressourcen für gesunde Unternehmen freizumachen. Aber dann müssten wir vermutlich erstmal einen Großteil unserer Wirtschaft einstampfen…
"In der Praxis werden in mittelständischen Unternehmen "
Dann kennst du offenbar einen anderen Mittelstand als ich. In unserer Größenordnung und Branche sind einfach PDFs per Mail nach wie vor der Standardweg für Rechnungen – und es hat hier schon eine koordinierte Aktion erfordert, überhaupt von Papier auf PDF via E-Mail umzustellen. Alles andere ist hier nahezu kein Thema. Und bei den kleineren Firmen werden oft genug auch noch die Bankverbindungen bei jeder Überweisung neu aus der Rechnung entnommen, statt die einmal hinterlegte Bankverbindung zu nutzen (was ja aber letztlich auch nur "trust on first use" ist).
Dann siehst Du, wieviele Weg bei so manchen noch zurückzulegen ist.
Hallo Thomas, dein Kommentar ist zwar sehr ausführlich, geht jedoch am Thema vorbei. Niemand spricht hier von mittelständigen Unternehmen, ganz im Gegenteil. Der Rechnungssteller kann noch so viel ERP, DMS und was weiß ich nicht betreiben. Wenn der Privatkunde die Rechnung für die Wärmepumpe oder das neue Dach, an die auf seiner Seite fingierte Rechnug überweist, bringt alles Digitalisierung und Automatisierung nichts.
Viele Grüße
Tja da hast du ebenso recht, nur sehe ich da die Haftung auch auf deren Seite! Das Unternehmen welches alles korrekt & richtig macht, kann ja nix dafür wenn dein System kollopiert ist!
Ich habe als Händler sicherzustellen das die Ware einwandfrei beim Kunden ankommt, der Kunde hat sicherzustellen das die Bezahlung einwandfrei & korrekt beim Händler ankommt! Da gibt es auch eine Sorgfaltspflicht!
Dummies lernen es eben auf die harte Tour! Wer den Schaden einmal ordentlich hatte passt beim nächsten mal sicher auf!
Nicht fair, aber wer hat behauptet das die Welt fair wäre?
Es geht um Risiko- und Haftungsminimierung… für das Unternehmen!
Und so wie einige hier bereits geschireben haben, ist es jedem Kleinunternehmer zumutmar, sich ein offizielles Cert zum Signieren seiner Belege zu kaufen und auf seiner Homepage der Kundschaft zu erklären, wie man dieses verifizieren kann, zumal in den üblichen PDF Readern dieses automatisch erfolgt.
Hinzu kommen PGP oder SMIME Certs zum Signieren/Verschlüsseln von Mails.
Wer nicht mit gängiger Technik umgehen kann soll sich nicht wundern, anderen auf den Leim zu gehen.
"Wer nicht mit gängiger Technik umgehen kann soll sich nicht wundern, anderen auf den Leim zu gehen."
Hach, das hat aber schon aus gewisser eindimensional getriebener Sicht so einen fatalistisch-diskriminierenden Unterton, gell?! 🙄
Mag ja alles toll klingen, wenn man selbst aus der Haftung ist. Wenn dein (privater) Kunde dann aber die 5-Stellige Rechnung kein zweites Mal bezahlen kann, dann nützt es dir auch nur begrenzt etwas. Du hast dann alles perfekt gemacht, der Kunde hat aber dennoch irgendwie die gefälschte Mail erhalten und bezahlt.
Das ist das allgemeine Geschäftsrisiko, das Du bei Ausfällen nunmal als Unternehmer hast. Selbst Schuld wenn sich da was auf 5-stellige Beträge angesammelt hat. Dafür gibt es Vorkasse, Abschlags- oder Teilzahlungen.
Eine Rechnung muss nicht verschlüsselt werden.
Das ist vielen Menschen immer noch nicht klar. dass dafür der Empfänger eine Zertifikat haben und veröffentlichen müsste. Etwas dass auch heute kaum ein Privat Mann hat.
Möglich ist aber ein Signieren und das Prüfen dieser. Nur haut dann der Exchange Server etwas in die E-Mail, so dass die Signatur sehr oft ungültig ist und die Empfänger genervt die Prüfung abschalten oder ignorieren…
Das macht nicht der Exchnage Server, sondern ATP oder genauer die policy des Unternehmens. Wnn dort eben nur Schwachmaten am Ruder sind. War bei mir auch der Fall, zwischenzeitlich habne sie das bei signierten Nachrichten gebacken bekommen.
Ganz einfache Lösung, zumindest um aus Unternehmenssicht einer möglichen Mitschuld/Haftung vor Gericht zu entgehen.
Jede ausgehende Rechnung als PDF erfolgt signiert. Ob der private Endkunde merkt, wenn diese beim Betrugsversuch manipuliert wurde und nicht mehr signiert ist, sei dahingestellt, als Unternehmen hat man in jedem Fall Vorkehrungen getroffen.
Kosten 27 € für Software + Signierungszertifikat. Das sollte sich jeder halbwegs seriöse Handwerksbetrieb, um beim Beispiel aus dem Artikel zu bleiben, leisten können.
Verhindert im Zweifel dann auf ausstehenden Beträgen sitzen zu bleiben, wenn der Endkunde falsch überwiesen hat.
Magst Du eine Lösung nennen? Ich würde es ggf. aufgreifen, wobei die eRechnung das vermutlich nochmals ändern wird.
PDFs kann man online signieren lassen.
Aber wer will dafür seine PDFs an eine fremde Adresse senden?
Das Problem selbst ist die Aufweichung des PDF-Standards.
In der Anfangszeit von PDF gab es keine Möglichkeit, PDFs zu manipulieren. Und genau das war auch die Zielsetzung von PDF:
Ein Dokumentenaustauschformat zu schaffen, dessen Inhalt nicht änderbar ist.
Dann wurde das Format entschlüsselt und es kamen jede Menge PDF-Editoren auf den Markt.
Fazit ist, das PDF heute nicht mehr den ursprünglichen Entwicklungsansatz erfüllt.
Was fehlt ist ein Nachfolger von PDF, der wieder zurück geht auf den ursprünglichen Ansatz: Nicht veränderbar.
Und ein weiteres Problem ist der Übermittlungsweg per Email.
Email ist kein elektronischer Brief, wie der Name suggeriert, sondern eine elektronische Postkarte, die jeder mitlesen und ändern kann.
PDFs kann man – wenn denn ein Zertifikat vorhanden ist – auch einfach mit einem lokal installiertem LibreOffice signieren. Habe ich gerade wieder (unter Linux) probiert, geht (Writer -> Datei -> Digitale Signaturen -> Bestehendes PDF signieren). Sollte dann doch auch unter Windows funktionieren.
Bös gesagt: intellektuell herausfordernd dürfte für das Kleinfamilienunternehmen Fa.Hinz&Kunz sein, ein Zertifikat auf den einen Dienstrechner zu bekommen. Ich habe mit selbst ein Volksverschlüsselungs-Zertifikat erstellt, aber das geht ja über meinen Perso, das will vielleicht nicht jeder Firmeninhaber machen… Und "einfach" einzubinden im Sinne von click&forget finde ich das ganze dann doch auch nicht.
Falsch! Es ist trival einfach 1x am Tag oder aus einem Hotfolder von PDFs per Bash Skript automatisiert signierte Mails rauszuhauen.
Und falsch ist auch die Behauptung, Certs seine kompliziert. Wenn ein solches Bash-Skript den Job macht kommt da niemand in Berührung weil es automatisiert abläuft.
Digitalisierung in Deutschland!
Das alle immer meinen, dass solche grundlegenden Prozesse nur manuell möglich seinen…
Wer macht denn bei "Maler Hinz" die ganzen Bash-Scripte?
Genau das ist der Punkt. Wer soll das machen? Wir sind zwei Admins in der ganzen Unternehmensgruppe, keiner von uns beiden hat irgendwas aus dem Bereich IT gelernt.
Hier sind die IT-Dienstleister gefragt – aber die können das selbst oft gar nicht, und wenn doch, winkt man beim Blick auf das Angebot oft resigniert ab. Fakt ist, dass es oft billiger ist, mit dem Risiko zu leben. Wir leben mit einem Haufen Risiken – und die allermeisten davon sind deutlich größer als eine auf dem Versandweg manipulierte Rechnung.
> Hier sind die IT-Dienstleister gefragt – aber die können das selbst oft gar nicht…
Warum habt Ihr einen IT Dienstleister, der seinen Job nicht kann?
> …keiner von uns beiden hat irgendwas aus dem Bereich IT gelernt.
Warum arbeitet Ihr bei einem Arbeitgeber, der Euch ganz offensichtlich nicht mit dem notwendigen Wissen und Instrumenten befähigt?
@Tomas Jakobs: Auf deinen Kommentar unten kann man nicht mehr antworten, daher hier:
"Können das nicht" war nicht konkret auf unseren IT-Dienstleister bezogen. Für uns konkret gelten eher die nachfolgenden Sätze zur Wirtschaftlichkeit. Ich würde dir ja anbieten, mal ein Alternativangebot abzugeben, immerhin sitzt du inzwischen ganz in der Nähe von uns (wann bist du eigentlich nach Dortmund umgezogen?). Allerdings machen wir grundsätzlich keine Geschäfte mit UGs. Sorry, aber eine UG ist beim besten Willen einfach objektiv absolut unseriös.
Zu deiner zweiten Frage:
"Warum arbeitet Ihr bei einem Arbeitgeber, der Euch ganz offensichtlich nicht mit dem notwendigen Wissen und Instrumenten befähigt?"
Weil es UNSERE Firmen sind. Und weil IT eben nicht unser Hauptjob ist, sondern nebenbei erledigt wird, neben diversen anderen, unternehmenskritischen Tätigkeiten. Was wir fachlich können, machen wir selbst – den Rest geben wir an unseren IT-Dienstleister ab, wenn wir die Maßnahme für erforderlich halten. Wie schon gesagt: Man schätzt die Risiken ein (ggf. unter Zuhilfenahme externer Beratung), ermittelt den finanziellen Aufwand, und trifft letztlich eine Abwägung zwischen Risiko und Kosten.
Na ja, bleiben wir mal beim kleinen Handwerksbetrieb: dort dürfte das Rechnungsaufkommen noch so verhältnismäßig gering sein, dass man die PDF-Dateien einzeln signieren kann. Dafür könnte man dann OpenPGP nutzen. Damit ist man -vorausgesetzt man ist nicht auf den signierenden Systemen kompromittiert- auf dem Stand der Technik. Und soweit ich es verstehe, würde dort schon eine FES reichen, eine QES braucht es garnicht.
Ob der Kunde dann etwas damit anzufangen weiss, und was die Juristerei später daraus macht, steht auf einem anderen Blatt, aber erstmal hat man als Betrieb Vorkehrungen getroffen.
Sonst halt doch wieder old-school 95ct für die Post ausgeben.
Das war aber IMHO auch schon einer der Konstruktionsfehler bei ZUGFeRD: zu Gunsten von schnell und simpel hat man auf die verpflichtende Signatur verzichtet, obwohl das bei einem neu definierten Format möglich gewesen wäre. Digitalisierung first, Bedenken second halt. Fällt uns jetzt -mal wieder- auf die Füße.
"Sonst halt doch wieder old-school 95ct für die Post ausgeben."
Und der bestochenen Briefträger übergibt dem Bösewicht den Umschlag, der ihn vorsichtig öffnet, die Rechnung durch eine selbst erstellte ersetzt und den Umschlag wieder verschließt (das geht wirklich sehr einfach).
Peng -> same shit, nur eben nicht digital.
Ja, aber seeerhhhr viele aufwendiger, weil physikalische Interaktion erforderlich und somit nicht ohne örtliche Handlanger von Peking/Washington/Moskau aus zu machen…
Deine Analogie geht an der Realität vorbei.
Digital können Betrüger mit vergleichsweise wenig Aufwand viele Ziele bequem vom Bürostuhl aus schädigen.
Beim Briefträger dürfte das für viele aus dem Ausland agierende Täter schwer werden.
Im ganz gezielten Einzelfall machbar, in großer Breite, wie im digitalen Raum, steht es aber in keinem Verhältnis.
Es gab aber definitiv schon gefälschte Briefe, ich glaube zum Teil auch mit QR Codes.
Ich denke Günter hat darüber auch schon mal berichtet.
Natürlich ist es einfacher gefälschte SCAM Briefe zu versenden, als legitime abzufangen und zu manipulieren, aber unmöglich wäre das nicht.
Ja, aber da wurden nicht gezielt Bankverbindungen in personalisierten Rechnungen ausgetauscht, sondern ungezielte Phsingkampagnen gefahren, soweit ich erinnere: Wenn ich 1000 Menschen anschreibe, werden davon schon einige ihr Konto bei der xyz-Bank haben und vielleicht in die Falle tappen.
Das ist dann eher vergleichbar mit dem Standard-Spam, nur dass man dem im analogen eher traut…
Meine Analogie sollte auch nur aufzeigen, dass der digitale Betrug nichts anderes als der analoge ist und dass so eine Aussage wie "zahl halt 95 Cent für eine Briefmarke" an der Sache vorbei geht. In beiden Fällen gilt es zunächst, festzustellen wo in der Kette der Fehler lag.
Beim Rechnungsteller – weil er die unversiegelte Rechnung einem Transporteur übergab?
Beim Transporteur – weil er die Rechnung unbeaufsichtigt ließ während des Transports?
Beim Empfänger – weil er die Sendung durch nicht vertrauenswürdiges Personal abholen ließ?
Usw…
JA es ist auch da möglich, nur muss da der Gauner vor Ort sein, was er in den seltesten Fällen ist… also direkt 99% der Fehler erschlagen und da es keine 100% Sicherheit gibt kann man damit leben!
Ist das selbe wie du sagt du verschlüsselst deine Daten und wenn die Ermittler kommen hast halt das PW vergessen… ja funktioniert im allgemeinen, will ich ans PW hab ich das spätestens nach der Zweiten Kniescheibe!
Deswegen ist die Verschlüsselung aber noch lange nicht unsicher oder sinnlos. 99% Schutz ist immer besser als keiner! 1% ist halt Restrisiko.
"Ist das selbe wie du sagt du verschlüsselst deine Daten und wenn die Ermittler kommen hast halt das PW vergessen… ja funktioniert im allgemeinen, will ich ans PW hab ich das spätestens nach der Zweiten Kniescheibe!"
Ermittler? Zweite Kniescheibe? Ist Folterei jetzt offizielles Ermittlungsverfahren in Deutschland?
Vielleicht kann ich helfen. Ich (Privatanwender) habe als eine alte PDF Lösung von PDFforge (PDF Architekt 3). Bereits mit meiner gekauften Version ist es möglich PDF mit Zertifikaten zu erstellen. Ob das in der aktuellen Version noch geht keine Ahnung (aber naheliegend weil Folgeversionen meist den Funktionsumfang erweitern). Für mich ist das EMailkonto eines der wichtigsten Konten (Passwort Reset etc. läuft darüber). Daher halte ich von den kostenlosen wie GMX, Google etc nichts (zumindest nicht für Zahlungen und Bestellungen). Bist Du kein Kunde, bist Du das Produkt. Kostenlos geht meist auf Kosten der Sicherheit.
Solche Anbieter akzeptieren auch recht viel Müll an Spam, und besonders Microsoft und Google sind Spamschleuder die sowas gerne weiterleiten.
Es gibt wie du schon schreibst genug Optionen, werbefrei, Datensparsam, ab 1€ im Monat.
Oft aber auch zum nem Webspace Paket, oder zum Telefonanschluss dazu. Nicht wirklich unabhängig, aber wohl immer noch besser als werbeverseuchte GMX wo man erstmal Bankverbindung braucht für kostenlose Konto und so.
Und ja Postfach ist Einfallstor für viele viele andere Dienste.
Viele nutzen aber gerne weiterhin ihr Passwort was man schon vor 10 Jahren hatte bei allen Diensten. Oder hängen evt. noch ein ! dran weil nun Sonderzeichen Pflicht sind.
Leider oft die Einstellung, funktioniert doch also alles ok.
"[…] als werbeverseuchte GMX wo man erstmal Bankverbindung braucht für kostenlose Konto und so."
Also, ich betreibe seit Mitte der 90er mehrere FreeMail-Konten sowohl bei GMX als dann folgend auch web.de und kann das so in absolut gar keiner Weise bestätigen. 🤷♂️
Mag sein, dass das mit der "Bankverbindung" heutzutage so arrangiert ist, aber die Server-Spamfilter arbeiten by default eigtl. ganz gut – letztlich hat aber jeder die freie Wahl sowas eben auch nicht zu nutzen.
Meist ist ein übermäßiges Spamaufkommen entweder vom E-Mail-Adressinhaber selbst oder aber eben auch durch ein leider nicht mehr so seltenes "Leaking" verursacht – die Dienstanbieter selbst dafür immer pauschal verantwortlich zu machen ist nichts anderes als rein populistische Diffamierung! 🤨
Ich komm' selbst mit fast 25 Jahren (Klein-)Selbstständigkeit mittlerweile durchaus auch immer noch mit FreeMail-Konten aus, indes allerdings bevorzugt von https://mail.de/de/. 😉
Die GMX Seite ist voll mit Werbung, und der Kunde bekommt auch noch Werbemails von GMX direkt, welche man natürlich im Webmailer nicht automatisch löschen kann.
Und vor zich Jahren wollte man da unbedingt eine IBAN haben, damit man eben durch falschen Klick beim login einfach mal ProMail Abo abschließt und entsprechend schon mal Zahlungsmittel hinterlegt ist. Bei web_de nicht anders, die haben auch solche Tricks verwendet vonwegen beim Login auf grünen Button dann web_de Club Abo abgeschlossen wird, und man eigentlich nur in Posteingang will, und nicht grauen Links drunter verwendet hat wo man ohne Abo einfach weiter kommt.
Jeder wie er mag, Leute die ich kenne hatten recht viel Müll im Posteingang, seit dem Postfach bei mir auf eigenem Server ist, ist da ruhe.
"Die GMX Seite ist voll mit Werbung, […]"
Ach komm, bitte… wieso muß man die denn nutzen – gibt's nicht genug (auch kostenfreie) E-Mail-Clients, zumal doch die Wenigsten heutzutage nur ein einziges E-Mail-Konto haben dürften?
"[…] damit man eben durch falschen Klick beim login einfach mal ProMail Abo abschließt […]"
Öhm, nee, das verhielt sich denn doch etwas anders – ja, es ging um diesen prominenter – und damit insinuiert leichter, weil verwechselbar – platzierten Button, aber 1. hatte bspw. ich noch NIE eine Bankverbindung in keinem meiner E-Mail-Konten von der "United Internet"-Gruppe hinterlegt oder gar hinterlegen müssen und 2. ist dieser "Trick" ja auch recht zeitnah beseitigt worden.
Also stimmt DAS so, wie von Dir pauschal geschildert, nicht ganz. 🤷♂️
Im Filter bei GMX kannst Du nicht direkt die Emails von deren Werbung löschen, aber Du kannst den umgekehrten Weg gehen, alle Emails die *nicht* vom Werbeaccount kommen zu bearbeiten. Mache ich langer Zeit (eher mehreren Jahrzehnten).
Die GMX-Werbung verbleibt in der Inbox und alle Nicht-Werbung ist in einer Non-GMX-Inbox.
Zugegeben ich nutze es nur für den Forward zu meinem Mailserver und auf GMX kommt mehr Spam rein als sonst wo.
Also ich habe diverse eMail Anbieter in Nutzung (je nach Aufgabenfall eben), auch Freemailer (warum auch sollte ich für Mailinglisten/Newsletter etc mein Hauptmail nutzen)… und wer da eben einfach klickt ohne zu schauen was er klickt ist selber Schuld! Außerdem hilt da nen ordentlich eMail Programm (muss ja nicht Outlook sein),
dann hast du das Problem erst gar nicht, dazu reicht auch Thunderbird.
schreib dich nicht ab, lern lesen schreiben, ALFA Telefon Münster… 080053334455
IBAN must ich noch nie bei einem Freemailer angeben, wenn dann nur optional (was man halt nicht macht).
Ebenso wie das Thema hier liegt das Hauptproblem beim User der einfach unfähig ist etablierte Technik zu nutzen. Aus Bequemlichkeit, Faulheit oder Dummheit.
Aber heh manche brauchen halt erst nen ordentlichen Schaden um zu lernen, also lass den Schaden massig sein damit die Leute lernen… kommt damit allen zugute!
Spamfilter beim Anbieter sind nett, aber die filtert man selbst… dann ist auch Anbieterwerbung keinerlei Problem!
Wobei da wieder vorletzter Absatz greift ;-P
Mein Online-Banking zeigt mit nach Eingabe der IBAN das Ziel-Institut an. Im pribaten Umfeld bei wenigen Rechnungen sollte das doch reichen um stutzig zu werden?
Gruß
Nicht zwingend. In Zeiten von Neobanken sowieso nicht und manche Menschen oder Firmen haben schlicht aus der Historie heraus womöglich Banken, die nicht mal Ansatzweise etwas mit dem aktuellen Firmensitz/Wohnsitz zu tun haben.
Naja, was hat der Sitz der Firma mit dem Sitz der Bank zu tun?
Wenn auf der Rechnung eine IBAN steht mit z.B. Sparkasse XY und das Bankingprogramm nach Eingabe der IBAN aber Volksbank Z anzeigt, dann weiß ich doch schon sofort, das da etwas nicht stimmt und breche den Vorgang ab.
Bei meiner Bank wird nach Eingabe der IBAN neben dem Banknamen auch die BIC angezeigt.
Auch das kann man prüfen, ob die denn auch so auf der Rechnung steht.
nicht zu vergessen das viele Spar- und Volksbanken auch Fusionieren sich das ganze (BIC / Ort etc) dadurch auch stetig ändert.
Man kann auch einfach den Banknamen in der PDF entsprechend anpassen, wenn man schon die IBAN tauscht. Dann wird man vielleicht auch kurz stutzig, warum man nun in ein anderes Land überweist, aber ob es den geneigten User wirklich aufhält, ist halt fraglich.
Und wieso sollte derjenige, der in der Rechnung die IBAN ausgetauscht hat, das nicht auf mit BIC und Banknamen machen?
Ich würde jetzt mal davon ausgehen das die Betrüger auf der Rechnung neben der IBAN auch den Banknamen/BIC anpassen.
Immer wieder witzig so Vergleiche mit dem Postboten der bestochen wird. Der grosse Unterschied in der analogen Welt: Es braucht Manpower vor Ort und nicht irgendwo auf der Welt. Das ist schon ein gewaltiger Unterschied! Für Betrug im grossen Stil ist da schon ein enormer Aufwand notwendig. Das fällt dann auf.
"Und für den Fall, dass tatsächlich noch PDFs per Mails ausgetauscht werden, so haben diese gefälligst in einem DMS zu landen. "
Sowas wie Sharepoint, am besten in der Cloud meinst Du oder? Schön zentralisiert alles auf einem Haufen. *hust*
Aktuell finde ich die Digitalisierung und insbesondere die Zentralisierung kritischer Bereiche echt beängstigend. Für mich steht das in keinem Verhätlnis mehr zum Schaden, der mit verhältnismässig geringen Mitteln von Weit her angerichtet werden kann. Schlicht weil Software nunmal Fehler hat. Tatsächlich beherrschbar ist das meiner Meinung nach schon lange nicht mehr. Nichtmal für Staat oder Grossfirmen. Sehr trügerische Sicherheit. Alles viel zu aufgeblasen. Wenn man dann noch so Dinge liest wie das die Cloud des US-Militärs von Chinesen gewartet wird, dann dreht sich mir alles um. Völlig unverantwortlich. Wie sieht das erst für "normale" Kunden aus? Haarsträubend. Echt.
Imho herrscht eine sehr gefährliche Mischung von Ignoranz, Gelähmtheit und Kostendruck vor. Sehe ich ja selbst, KMU's effektiv und irgendwie mit vertretbarem Aufwand absichern ist ein Ding der Unmöglichkeit. Die fähigen IT Dienstleister in diesem Bereich haben gar nicht die Kapazität dazu, die Kunden nicht die finanziellen Mittel für den notwendigen Effort.
Das eigentliche Problem wird eh bald behoben, nämlich die Prüfung der IBAN mit dem Namen.
Wird der Name auch getauscht. 😉🙄
naja dann brauchst du aber immer JEWEILS ein Konto das zum Namen des Rechnungsempfänger passt.
So weit ich weiß sind die Zielkonten, meist Konten deren Zugangsdaten kompromittiert wurden oder die von Leuten die sich als "Agenten" haben anwerben lassen.
Da passt der Name dann aber nicht. Du bräuchtest also ein Konto mit korrektem Namen pro abgefangener und manipulierter Rechnung, das dürfte wohl kaum klappen,
oder müsstest einen vermutlich kruden Namen in die Rechnung manipulieren, was wiederum auffallen "sollte".
Und? Wo ist Problem?
Dann wird aus Sanitär Müller eben Sanitär Müller & Schulz, und Konto lautet dann auf Schulz.
So einfach ist es auch nicht Konten auf x beliebige Namen zu erstellen vor Allem nicht just in Time, wenn man grad eine Rechnung abgefangen und manipuliert hat.
Du brauchst dann aber trotzdem erst mal das Konto, das du bei einer Bank erstellen musst, die schon prüft ob das legitim ist.
Und zwar für jeden Betrug neu.
Aktuell reicht es ja irgendwo ein Konto zu haben, und bei 20 Leuten die man betrügen will, überall die gleiche IBAN einzutragen.. das wird im Anschluss deutlich aufwendiger.
mehr Infos zum "VOP"
https://www.europeanpaymentscouncil.eu/news-insights/videos/verification-payee-vop-scheme
Hier wurden ja mehrfach signierte pdf vorgeschlagen. Was hindert Betrüger daran die gefälschte Rechnung auch zu signieren?
Nichts hindert Betrüger daran, eine manipulierte Rechnung digital zu signieren. Aber sie dürften Probleme haben, ein digitales Zertifikat von Müller & Co. aus Hintertupfingen zu faken – es sei denn, sie können die digitalen Zertifikate durch Kompromittierung der Systeme klauen. Problem ist hat: Schaut der Empfänger nach, wer das Dokument signiert hat und gleicht die Daten mit den Erwartungen ab.
Warum PDF?
Eine Rechnung hat keine vorgeschriebene Form. Ich bekomme Rechnungen in erstaunlich vielen Formaten von meinen Lieferanten.
Was nützt eine Signatur wenn ich die IBAN nicht prüfen kann?
Wir hatten die Tage einen ähnlichen Fall in der Kundschaft.
Unberechtigte hatten Zugriff auf den Webmailer einer Privatperson. Sie hinterlegten Regeln über welche eingehende Rechnungen beim Eintreffen in einen Unterordner verschoben wurden.
Dort wurde an den angehängten PDF's dann die Bankverbindung geändert und die Rechnungen wurden in den Posteingang zurück verschoben und als ungelesen markiert. Somit überwies der Kunden an die Falsche Bankverbindung.
Die Polizei war freundlich, signalisierte aber, dass man hier nichts machen könne. Man möchte meinen, dass sich hinter einer Bankverbindung auch ein Besitzer ausfindig machen lässt – ist aber anscheinend nicht so einfach.
Ein Gedanke der mir dabei kam: Wenn sich solche Fälle in der Kundschaft häufen, dann ist es hilfreich, wenn der ITler nicht die Passworte zu den Mailkonten kennt um nicht in den Kreis der Verdächtigen zu geraten. Hängt ja doch der vertrauenswürdige Ruf der Firma mit dran.
Das Problem haben vor Jahren die Banken erzeugt.
Mit zunehmenden Online Banking wollte man sich die Empfänger Prüfung sparen. Irgendwann wurde es egal, welcher Name da stand. Das kam Betrügern auf eBay sehr zu Pass. So konnten sie die Konto Nummer einer armen Socke angeben, der als Agent die Zahlungen an den Betrüger weiterleite. Auf eBay stand nur der Name des gecrackten Accounts.
Zum Glück soll die Namens Prüfung wieder eingeführt werden.
Das wird bestimmt lustig für die Hotline. Meine App hat so eine Rechnungs Lese Funktion. Der Knilche der die Rechnung designt hatte, hatte den Namen der Bank direkt hinter die IBAN gesetzt, aber nicht den Namen des Empfängers.
Und so wäre die Überweisung an den Namen der Bank mit der Konto Nummer des Kunden gegangen.
Irgendwie ist doch im System ein Fehler.
Früher hatte ich BLZ und Konto Nummer. Heute steht das auch in der IBAN. nur in 4er Gruppen.
Aber es gibt auch Leute, die sich nicht wundern wenn die IBAN des Deutschen Lieferanten mit RO anfängt…
Wie willst Du da rauskommen?
Nur noch per SEPA Business Lastschrift zahlen erlauben?
Sehr schönes Beispie, danke dafür!
Dieses Szenario wäre nicht möglich, wenn Ihr Eure Rechnungen signieren würdet. entweder mit einem eingekauften Cert für wenige EUR im Jahr.
https://www.psw.net/dokumente-signieren
Jeder PDF Viewer kann dann eine Manipulation anzeigen. Oder kostenlos mit einem eigenen Cert, wo Ihr Eurer Kundschaft auch den Hinweis auf der Website oder in den AGBs geben müsst, wie sie Eure PDF Rechnungen auch validieren können.
Wenn Eure Warenwirtschaft das nicht kann, lässt sich das Signieren und ein Versand mit einem Bash-Skript über einen Hotfolder komplett automatisieren.
Dann seid Ihr zumindest aus dem Risiko, Forderungen hinter her laufen zu müssen. Das genau besagt das im Blog verlinkte Urteil.
Ich frage mich immer öfter, was du wirklich arbeitest.
Ich soll den Kunden erklären wie sie meine Rechnungen validieren sollen, oder die Rechnungen von meinen Kunden?
Was bringt es Rechnungen zu signieren, wenn gar der Kunde gar nicht prüfen kann, ob die Signatur von mir ist?
Wenn man mal bei PDF bleibt. Fast alle PDF Programme, jammern _nicht_ wenn sie _keine_ Signatur finden. Als an Angreifer.. man entfernt einfach die Signatur, und ändert den IBAN. Und schon muss derjenige der die Rechnung erhält wissen, dass die Rechnung mal eine Signatur hatte, und wie die aussehen sollte, usw. usw.
Und wenn nun kommt.. fordern, dass alle Rechnungen signiert sein müssen, dann kannst du auch fordern, dass in deinem Skiurlaub immer genug Schnee und perfektes Wetter zu herrschen hat.
Du scheinst das Thema komplett nicht erfasst zu haben.
Es geht nicht um den Kunden, ob er Deine Signatur prüft oder nicht.
Es geht um Dich bzw. das rechnungsstellende Unternehmen, damit der Anspruch auf Zahlung eines Verfügungsgeschäftes nicht verwirkt ist. Denn das genau ist bei dem verlinkten Urteil passiert.
Nochmal für Unbedarfte:
Ein Unternehmen, das Rechnungen per Mail durch die Gegend schickt trägt das alleinige Risiko des Schadens durch fehlende/mangelhafte Sicherheitsvorkehrungen beim Versand.
Eine wirksame Gegenmaßnahme: Rechnungen nur signiert zu versenden und das den Kunden durch einen entsprechenden Passus in den AGBs juristisch wirksam kenntlich gemacht zu machen.
End of Story.
Ich habe 2007 mit Signierten Mails angefangen. Damals bereits habe ich allen Personen mit denen ich regelmäßig e-Mails austausche gesagt: Eine E-Mail von mir die NICHT signiert ist, betrachten Sie bitte als nicht NICHT von mir stammend.
Das einige Mail Clients/Gateways/Server zu dumm sind mit Signierten Mails umzugehen ist dann ein anderes Thema. Das leider nicht alle CAs die man womöglich gerne verwenden will nicht überall als Vertrauenswürdige Stamm-CA hinterlegt sind, dann ein weiteres Problem. Wenn aber ein Empfänger auf die wie auch immer gearteten Fehlermeldungen einer Mail wegen der Sig mit Desinteresse reagiert, interessiert es mich nicht mehr. Das ist dann das Problem des Empfängers.
Er hat bash und Script gesagt?
Das konnte man vor 30. Jahren erwarten.
Heute muss alles KlickiBunti sein. Das scheint nicht mehr zur Ausbildung zu gehören und wenn man den Wahnsinn, den Microsoft verbtechen darf sieht, will man sich nicht auch noch rein Script ans Bein hängen, das irgendwann nicht mehr geht, weil MS das Api undokumentiert geändert hat. Und wer könnte heute noch den For Befehl von MS anwenden, gar in einen Mix aus Uni Code Andi und ASCII?
Wer kennt alle Möglichkeiten der Powershell?
bash, was waren das noch für Zeiten.
Hmmm ja die Sache mit den Zertifikaten :-)
Technisch ist es ja nicht schwierig eine Rechnung / Email digital mit einem Zertifikat zu signieren.
Ich hatte das bei einem Kunden auch einmal vor. Leider konnte ich nirgends ein entsprechendes Zertifikat kaufen. Bei der Personen Identifikation über den Personalausweis scheiterte die ganze Sache. Die Deutschen dort kennen die PIN Ihres Personalausweises gar nicht. Es arbeiten jedoch auch Briten Franzosen und Spanier dort, da funktioniert ein Ident überhaupt nicht..
Das Ende von Lied jeder dort erstellt sich ein persönliches Zertifikat unter Windows und arbeitet damit.
Sicher ist das nicht :-)
Denkfehler! Es geht nicht um Sicherheit, es geht einzig und allein zur Wahrung des Verpflichtungsgeschäft, Deinem Anspruch auf Zahlung einer Ware durch einen Kunden, selbst wenn er eine Zahlung an eine Drittpartei geleistet hat, die sich dazwischen geschaltet hat.
Und ja, wenn Du Deinen Kunden darauf hinweist (z.B. in einer AGB), wie er Deine persönliche Signatur validieren kann, bist Du auf einem sehr guten Weg.
„Die Deutschen dort kennen die PIN Ihres Personalausweises gar nicht. Es arbeiten jedoch auch Briten Franzosen und Spanier dort, da funktioniert ein Ident überhaupt nicht."
Was die Deutschen und die PIN anbelangt: das zeigt doch nur, dass das Thema eben keinerlei Priorität hatte. Wenn man seitens des Kunden bereit gewesen wäre, auch nur etwas Zeit und Geld zu investieren, hätte man eine neue PIN organisieren können.
EU-Bürger: ist für genau solche Dinge nicht die eID gedacht? ( https://de.m.wikipedia.org/wiki/EID-Karte )
Wie es für Briten ist, keine Ahnung.
Im Koalitionsvertrag der aktuellen Regierung hat die eID sehr hohe Priorität:
Ja in diversen Koalitionsverträgen steht seit Jahrzehnten auch was von Breitband für alle…
Das mag sein, aber z.B. ePA wurde gnadenlos ausgerollt und dabei bzgl. Zugriffen aufgeweicht, ähnliches wird auf verschiedenen anderen Ebenen weitergehen, und die persönliche digitale Identität steht dabei ganz oben auf der Befehlsliste.
Für mich völlig unverständlich, daß 99,99 Prozent der Industrie und Verwaltung immer noch unsignierte Mails verschickt. Selbst mit dem schlechtesten Emalprogramm namens Outlook ist das möglich. Problem ist natürlich die Abzocke der CAs und die ständige Herabsetzung der Gültigkeit der Zertifikate, weil die CAs den Widerruf nicht im Griff haben. Ich habe nur einen einzigen Geschäftspartner, der signiert Kommuniziert. Das ist ein Unternehmen, das sich mit PKI beschäftigt. Gerne hätten die auch verschlüsselt kommuniziert, doch mein Unternehmen verweigert ein entsprechendes Zertifikat. Einmal gehackt ist offensichtlich noch nicht genug. Ich habe keinerlei Mitleid, weil Dummheit im Geschäftsbetrieb, bestraft werden darf.
Das Problem dabei: Wenn das mal dermaßen Konsequenzen zeigt, dass die Unternehmensexistenz gefährdet oder sogar zerstört wird, verlierst man seinen Arbeitsplatz – unschöne Auswirkung von so viel selbstgefällig unverantwortlicher Ignoranz! 🤷♂️
> verlierst man seinen Arbeitsplatz <
Keine Ahnung was genau gemeint sein soll, möglicherweise ein Sachverhalt aus der Arbeitnehmerhaftung. Etwa 'eMail-Administrator gefeuert, da zu faul S/MIME zu implementieren'? Dafür dann bitte Belege/Entscheide.
> Ich habe keinerlei Mitleid, weil Dummheit im Geschäftsbetrieb, bestraft werden darf.
Obacht, damit bist Du nicht weit entfernt von meinem "abfackeln und in die Insolvenz verschwinden" Zitat ;-)
Es gibt auch Konzerne die tun Signieren, allerdings mit ihrer eigenen internen CA, die natürlich von Nichts und Niemanden akzeptiert wird. Ich kann das sogar verstehen, weil warum sollte man einen offiziellen CA vertrauen? Wenn man dort aber fragt: Woher weiß ich jetzt, dass das eure interne CA ist, wie prüfe ich das? Kommt nur Schulterzucken.
> Problem ist natürlich die Abzocke der CAs…
Nein, bei 19,- EUR p.a. für emailvalidierendes S/MIME Cert sind CAs kein Problem. Und in Verwaltungen stünde die bundeseigene CA sogar kostenlos zur Verfügung.
> ständige Herabsetzung der Gültigkeit..
Nein, auch kein Problem wenn Admins Ihren Job richtig machen würden und alles sauber ausrollen, sprich alles automatisiert.
wie funktioniert die VoP-Prüfung wenn man die Überweisung auf Papier ausfüllt und bei der Bank in den zugehörigen Briefkasten wirft? Wie wird das kontrolliert? Das dauert dann Wochen, bis per Brief-Ping-Pong alles geklärt ist.
Lösung: Wir machen das mit dem "Briefkasten abbauen".
Wenn ich mir das hier anschaue, weiß ich genau wo das Problem liegt. 2025 in Deutschland und wir arbeiten noch mit Fax udn nSnailmail. Und sobald sich was ändern soll, kommt (in beliebiger Reihenfolge) die arme alte Rentnerin oder der Kleinbetrieb als Argument warum bei uns dass, was in der Rest der Welt schon gut funktioniert, nicht möglich ist.
Neuland halt. Mein Gott, E-Mail gibt es schon länger als einige Poster hier leben, genauso das Internet. Gewöhnt euch dran!
Es ist noch schlimmer… ganz offensichtlich fehlen den meisten hier grundlegende juristische und kaufmännische Grundlagen.
Habe mich da unlängst bzgl. der sogenannten Disclaimern zu "ausgekotzt":
https://blog.jakobs.systems/blog/20250709-disclaimer-you-have-been-warned/
Tja, hätt' der Staat doch einfach bspw. zur Jahrtausendwende dafür gesorgt, dass E-Mail als ein rechtssicheres Kommunikationsmedium nutzbar geworden wäre, wäre diese Diskussion und mglw. ein notwendiger Fax-Gebrauch obsolet.
Hat er allerdings – vermutlich – aus bestimmtem Grund nicht gemacht, denn E-Mail ist eben nur das Pendant zur Postkarte, die ebenso keinen rechtsbindenden Status besitzt, außer, dass sie eigtl. auch unter das "Postgeheimnis" als Teil des Briefgeheimnis nach Art. 10 ff. GG fällt – wie das Fax auch.
Finde den Fehler – der Mensch kann das allein nicht, dazu ist er sowohl zu faul und bequem als auch dumm sowie unmotiviert! 🤷♂️
Ach ja, es ist übrigens schon eine – mglw. diskriminierende – Hürde ab einem gewissen Alter nicht mehr so empfänglich für sich insbesonders im Umgang mit technischen Dingen ändernde Handhabungen auseinandersetzen bzw. beschäftigen zu können oder gar zu müssen.
Da wäre dann doch schon ein wenig mehr Toleranz anstelle von selbstgefälliger Anmaßung ganz angebracht.
Bei dem Kommentar beschleichen mich ganz unchristliche Gefühle. "Was würde der Betreffende wohl meinen, wenn ihm eine fünfstellige Summe auf diesem Weg abhanden käme". Aber gehört nicht hier her – der Punkt ist: Die Leute sollen wissen, dass es dieses Risiko gibt. Und die Firmen sollten sich Gedanken machen, dass ihre Server und Clients sauber bleiben.
Um den Bogen zu schließen: Nein, es sind nicht Fax und Snail-Mail, die das Problem darstellen. Sondern Digitalisierungs-Fetischisten ohne jeglichen Plan, die genau mit deinen Argumenten um die Ecke kommen. Ich lebe davon, drüber zu bloggen, was im "Rest der Welt mit der tollen Digitalisierung" so alles schief läuft und die Leute mit "wir haben doch alles getan, aber dieser böswillige Angreifer …" um die Ecke kommen. Kopfschütteln.
Wen es interessiert, ich habe ich die Erkenntnisse und Diskussionen zum Thema in meinem Blog zusammen gefasst:
https://blog.jakobs.systems/blog/20250805-risiko-rechnung-emails/
Find' ich interessant.
Tja, bleibt – zumind. für mich – die Frage, WER das wohl wieder einsammelt bzw. einsammeln könnte – wieder ein Paradebeispiel dafür, dass in diesem Land fachliche Kompetenz eher nur als Scheinzustand gelebt wird und auch der Staat immer den eher bequemsten Weg nutzt.
@Tomas Jakobs: Nachdem ich beim 1. Lesen das OLG-Urteil "geschockt" war (wegen der pauschalen Forderung nach Verschlüsselung), sehe ich es mittlerweile differenzierter.
Schade ist, dass die Instanzen nicht aufgeklärt haben, wo und wie die Manipulation stattfand. Weiterhin ist schade, dass das OLG-Urteil nicht zwischen digitaler Signierung und/oder digitaler Verschlüsselung abgewogen hat.
So bleibt die Befürchtung, dass das OLG-Urteil entweder von einer höheren Instanz "kassiert" wird oder dass es sich gegenseitig widersprechende OLG-Urteile geben wird.
"höhere Instanz kassiert" gibt es nicht, das Urteil ist rechtskräftig.
Das Recht wird sich mit Sicherheit hier weiter entwickeln, da das Urteil wie dargelegt einige handwerkliche "Sollbruchstellen" aufweist.
Als Referenz würde ich das Urteil bei Diskussionen in Unternehmen, ob nun E2E verschlüsselt wird oder nicht, eher nicht heran ziehen.
@Tomas Jakobs: "Als Referenz würde ich das Urteil bei Diskussionen in Unternehmen, ob nun E2E verschlüsselt wird oder nicht, eher nicht heran ziehen."
Dieses Fazit würde ich auch ziehen.
Sekunde, habe ich gerade indirekt, über drei Ecken Bande gespielt, ein Kompliment herauslesen können :-P
😉
Danke ist sehr interessant. Habe den Link auch als Lesezeichen gespeichert.
In einem Kommentar zu Guenters erstem Blog-Eintrag vor wenigen Wochen hatte ich das ältere Urteil des OLG Karlsruhe, 27.7.2023, AZ 19 U 83/22 https://dejure.org/dienste/vernetzung/rechtsprechung?Text=19%20U%2083/22 verlinkt.
Im damals behandelten Fall hätte der Rechnungsempfänger nach Ansicht des Gerichts anhand von Unstimmigkeiten die Fälschung erkennen können, d.h. er musste doppelt zahlen.
JFTR: die Prüfung der S/MIME- oder PGP-Signatur einer E-Mail (die E-Mail-Clients seit dem letzten Jahrtausend automatisch durchführen) oder eines Anhangs (die von dem den Anhang öffnenden Programm durchzuführen wäre, d.h. die SCHLECHTERE Lösung) zwecks Erkennung von Unstimmigkeiten obliegt ebenfalls dem Empfänger.
Auch wenn für das OLG-Karlsruhe-Urteil die DSGVO nicht gilt, so steht es dem Urteil des OLG Schleswig-Holstein diametral gegenüber:
– keine Pflicht zu Signatur oder Verschlüsselung: weder Email noch der PDF-Datei
– SPF nicht zwingend
– erhebliches Mitverschulden des Zahlers
Ich bin verwirrt ;-)
Die Sachverhalte bei beiden Urteile sind doch sehr verschieden.
Es gab da 2 Emails, eine richtige und eine gefakte.
Überwiesen wurde an die gefakte. Es wurde ein "erhebliches Mitverschulden" festgestellt da "auffällige Unstimmigkeiten" in der gefakten Mail schlichtwegs nicht hinterfragt wurden.
Zusammengefasst lässt sich zu dem Karlsruher Urteil sagen:
Besser die Finger von technischen Dingen lassen, die man nicht kennt..
Danke Dir für diesen Link vom Karlsruher OLG, was bei mir unter der Aufmerksamkeitsschwelle geblieben ist.
Das ist genau mein Einwand und Problem mit diesem Urteil aus SW, wo die Ausgewogenheit und der risikobasierte Ansatz komplett fehlt und noch nicht mal eine Kausalität hergestellt ist zwischen dem DSGVO-Verstoß und der Auswirkung.
Ich schaue mir heute Abend mal die Kommentierungen zum dem Karlsruher Urteil an.
Na toll, so schnell den guten Eindruck gleich wieder zerstört. 😅
"[…] aus SW […]"
Entweder SH für Schleswig-Holstein oder SL für Schleswig, den Sitz des SH-OLG.
Schnell, kann noch korrigiert werden. 😉
> die Prüfung der S/MIME- oder PGP-Signatur einer E-Mail … oder eines Anhangs … zwecks Erkennung von Unstimmigkeiten obliegt ebenfalls dem Empfänger. <
Das ist in dieser Pauschalität nicht zutreffend, resp. eine solche Prüfung gehört so gut wie nie zu den Obliegenheiten des Empfängers. Auf welche Entscheide spielen Sie allfällig an?
IT Sicherheit ist vertragliche Nebenpflicht.
Inhalte einer Nebenpflicht nach § BGB § 241 Abs. BGB § 241 Absatz 2 BGB ergeben sich aus dem konkreten Schuldverhältnis, der Verkehrssitte und den Anforderungen des redlichen Geschäftsverkehrs (Mü-KoBGB/Bachmann, 9. Aufl. 2022, BGB § 241 Rn. 169)
Auch wenn konkrete Sicherheitsmaßnahmen nur anhand den Bedürfnissen und Risiken im Einzelfall bestimmt werden können, so verpflichtet die Rücksichtnahmepflicht aus § BGB § 241 Abs. BGB § 241 Absatz 2 BGB doch zu einem Mindestmaß an IT-Sicherheit (Hornung/Schallbruch (Hrsg.), IT-Sicherheitsrecht/Pour Rafsendjani/Bomhard, § 9 Rn. 10).
> IT Sicherheit ist vertragliche Nebenpflicht. … ergeben sich aus dem konkreten Schuldverhältnis, der Verkehrssitte und den Anforderungen des redlichen Geschäftsverkehrs … konkrete Sicherheitsmaßnahmen nur … im Einzelfall … Rücksichtnahmepflicht … Mindestmass an IT-Sicherheit <
Da rennt einer mit 'nem Stumpf Schwert durch die Gegend, was red' ich, da fehlt ja die ganze Klinge! Ich fragte nach Entscheiden. Wenn Du welche gesucht hättest, wäre Dir aufgefallen, dass es kaum den Anflug einer Rechtsprechung gibt, von höchstrichterlich gan zu schweigen.
Solange wir keine strafrechtlich bewehrte Signierpflicht haben, wird da gar nichts gehen.
Grundkurs Jura: Was im Gesetz steht, gilt auch ohne irgendeine höchstrichterliche Rechtsprechung…
Und wo im Gesetz mit welchem Wortlaut steht jetzt genau, dass signiert und verschlüsselt werden muss?
Wenn ich soviel Unsinn absonderte, würde ich auch nur als "Anonym" auftreten. Merke: Recht und Gesetz sind nicht kongruent. Einfach mal eine Vorlesung in Rechtsdogmatik besuchen, statt in aller Einfalt an den Buchstaben einer BGB-Taschenbuchausgabe zu kleben.
Ende der Durchsage.
Herr Jakobs hat es Ihnen bereits ausführlich erklärt.