Manipulierte PDF-Rechnungen per E-Mail: So schützen Sie sich und Ihre Kunden

Veröffentlicht am 15. April 2026 von support@twosteps.net

Rechnungen per E-Mail sind praktisch – für Unternehmen genauso wie für ihre Kunden. Leider haben sie sich in den letzten Jahren auch zu einem beliebten Einfallstor für Betrüger entwickelt. Immer häufiger werden PDF-Rechnungen unterwegs manipuliert: Absender, Logo und Beträge sehen korrekt aus, aber die Bankverbindung wurde unbemerkt ausgetauscht.

In diesem Beitrag zeigen wir, wie diese Angriffe typischerweise ablaufen – und welche technischen und organisatorischen Maßnahmen Sie ergreifen können, um Ihre eigenen PDF-Rechnungen besser abzusichern.

Wie läuft der Betrug ab?

Das Muster ist in vielen Fällen ähnlich:

  • Ein reales Unternehmen stellt eine Rechnung als PDF und versendet sie per E-Mail an einen Kunden.
  • Kriminelle haben Zugriff auf ein E-Mail-Postfach (beim Absender oder Empfänger auch lokal!) oder können den Mailverkehr an anderer Stelle mitlesen.
  • Die Originalrechnung wird abgefangen, die Bankverbindung im PDF geändert und anschließend als „echte“ Mail weitergeleitet.
  • Der Kunde erhält scheinbar eine reguläre Rechnung des bekannten Lieferanten – nur dass das Geld auf ein Konto der Täter fließt.

Besonders perfide: Betreff, Absenderadresse und Mailtext bleiben oft unverändert. In vielen Fällen fällt der Betrug erst auf, wenn der Lieferant nach der ausstehenden Zahlung fragt.

Wichtig ist: Nicht zwingend der Mailserver des Unternehmens ist „gehackt“. Häufiger sind kompromittierte Endgeräte, gestohlene Zugangsdaten oder unsichere E-Mail-Konten auf Kundenseite die Ursache.

Warum einfache Maßnahmen nicht ausreichen

Naheliegende Ideen wie „Wir schreiben die IBAN als Bild in die Rechnung“ oder „Wir packen einen QR-Code dazu“ sind auf den ersten Blick charmant – lösen das eigentliche Problem aber nicht ganz.

  • IBAN als Bild:
    Das kann einfache textbasierte Manipulationen minimal erschweren, verhindert aber keinen Angreifer, der ohnehin eine neue, täuschend echte PDF-Rechnung baut. Wer Zugriff auf das Postfach oder den Rechner hat, kann das Bild problemlos ersetzen.
  • QR-Code (z.B. SEPA-QR):
    QR-Codes sind vor allem ein Komfortmerkmal. Sie senken das Risiko von Tippfehlern und machen das Bezahlen bequemer. Wird jedoch Text und QR-Code gemeinsam manipuliert, bemerkt der Kunde den Betrug in der Regel nicht. Der QR-Code ist also kein Sicherheits-, sondern in erster Linie ein Usability-Feature.

Kurz gesagt: Bild und QR-Code können sinnvoll sein – sie ersetzen aber keine echten Sicherheitsmechanismen.

S/MIME: Digitale Signatur für Ihre Rechnungs-Mails

Ein deutlich wirksamerer Baustein ist der Einsatz von S/MIME. Dabei wird Ihre E-Mail kryptografisch signiert (und auf Wunsch verschlüsselt). Das bringt zwei wichtige Vorteile:

  • Integrität:
    Der Empfänger kann prüfen, ob die E-Mail seit dem Versand unverändert geblieben ist. Jede nachträgliche Änderung an Mailtext oder Anhang macht die Signatur ungültig.
  • Authentizität:
    Die Signatur belegt, dass die Nachricht tatsächlich von der erwarteten Absenderadresse stammt – vorausgesetzt, der Empfänger achtet auf die Anzeige der Signatur und vertraut dem Zertifikat.

In der Praxis bedeutet das: Wird eine signierte Rechnungs-Mail unterwegs „angefasst“, schlägt die Integritätsprüfung beim Empfänger fehl. Moderne Mailprogramme zeigen dies (je nach Client) relativ deutlich an – etwa durch ein gebrochenes Siegel oder Warnhinweise zur ungültigen Signatur.

Was ist für S/MIME erforderlich?

Für den Einsatz von S/MIME benötigen Sie:

  • Ein gültiges Zertifikat für die jeweilige E-Mail-Adresse (z.B. der Rechnungsadresse).
  • Eine genau konfigurierte Mailsoftware (Outlook, Thunderbird, Apple Mail etc.), die jede ausgehende Rechnungs-Mail signiert.
  • Optional: Vereinbarungen mit wichtigen Geschäftspartnern, dass Signaturen geprüft und bei Ungültigkeit nachgefragt wird.

Die Einrichtung ist einmal etwas Aufwand, zahlt sich aber vor allem bei wiederkehrenden Kundenbeziehungen klar aus. Außerdem unterstützen wir Sie dabei tatkräftig!

PDF selbst digital signieren

Zusätzlich zur Signatur der E-Mail kann auch das PDF-Dokument selbst mit einer digitalen Signatur versehen werden. Das hat den Vorteil, dass das Dokument losgelöst von der E-Mail geprüft werden kann – etwa wenn der Empfänger das PDF speichert und später unabhängig vom ursprünglichen Postfach öffnet.

Viele PDF-Werkzeuge (inklusive gängiger Office- und PDF-Lösungen) unterstützen Dokumentensignaturen. Der Empfänger kann in den PDF-Eigenschaften nachvollziehen, ob das Dokument seit der Signatur verändert wurde.

Für Unternehmen mit höherem Sicherheitsbedarf kann diese doppelte Signatur (Mail + PDF) sinnvoll sein.

Organisatorische Schutzmaßnahmen: Prozesse sind Pflicht

Technik alleine reicht nicht aus. Mindestens genauso wichtig sind klare Prozesse im Umgang mit Bankverbindungsänderungen:

  • Auf jeder Rechnung und in den Rechnungs-Mails sollte ein deutlicher Hinweis stehen, z.B.:
    „Änderungen unserer Bankverbindung teilen wir Ihnen niemals ausschließlich per E-Mail mit. Bitte verifizieren Sie Änderungen im Zweifel telefonisch über eine Ihnen bekannte Rufnummer.“
  • Intern sollten Sie klare Regeln definieren, wie mit eingehenden Änderungsmitteilungen zu Bankverbindungen verfahren wird – sowohl beim eigenen Einkauf als auch beim Verkauf.
  • Regelmäßige Sensibilisierung der Mitarbeitenden auf beiden Seiten („Rechnungsbetrug“, „geänderte Bankverbindung“) reduziert die Wahrscheinlichkeit, dass jemand „mal eben schnell“ auf ein neues Konto überweist.

Gerade Urteile der letzten Jahre zeigen: Gerichte erwarten von Unternehmen mittlerweile ein Mindestmaß an Sorgfalt beim Umgang mit elektronischen Rechnungen und Abweichungen bei Bankdaten.

Was wir unseren Kunden konkret empfehlen

In vielen Projekten empfehlen wir unseren Kunden aktuell folgende Kombination:

  1. Einführung von S/MIME-Signaturen für den Versand von Rechnungs-E-Mails.
  2. Optional: Digitale Signatur der PDF-Rechnung selbst.
  3. Deutlicher Hinweistext zu Bankverbindungsänderungen auf der Rechnung und in der E-Mail.
  4. Auf Wunsch ein QR-Code mit den korrekten Kontodaten für mehr Komfort beim Bezahlen – mit dem klaren Hinweis an Kunden, dass Text und QR-Code übereinstimmen müssen.

Damit sind Angriffe zwar nicht vollständig ausgeschlossen – aber deutlich schwerer durchzuführen und einfacher zu erkennen.

Fazit

Manipulierte PDF-Rechnungen sind kein theoretisches Problem, sondern inzwischen Alltag in vielen Branchen. Wer seine Prozesse und technischen Maßnahmen beim Rechnungsversand nicht anpasst, geht ein erhebliches Risiko ein – finanziell wie rechtlich.

Mit einer Kombination aus digitalen Signaturen (E-Mail und PDF), klaren Hinweisen an Kunden und durchdachten internen Prozessen lässt sich dieses Risiko aber deutlich reduzieren. Wenn Sie Ihren Rechnungsversand absichern möchten oder Unterstützung bei der Einführung von S/MIME und digitalen Signaturen brauchen, sprechen Sie uns gerne an.

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.