Fake-Rechnungen und Datenklau – Was Handwerksbetriebe jetzt beachten sollten

Dabei geht es nicht nur um technischen Schutz, sondern auch um rechtliche Verantwortung: Wer sensible Daten (zum Beispiel Kundenadressen, Vertragsunterlagen oder Fotos von Baustellen) fahrlässig behandelt, kann gegen Datenschutz- oder Compliance-Regeln verstoßen. Gerade in größeren Projekten mit öffentlichen Auftraggebern oder Konzernen drohen bei Sicherheitsverstößen Vertragsstrafen oder Schadenersatzforderungen – ein Risiko, das viele Betriebe unterschätzen. Diese Vorgaben gelten für die digitale und analoge Speicherung der Daten. Nur kommen mit der digitalen beziehungsweise Online-Speicherung andere Anforderungen und neue Herausforderungen auf Unternehmen zu.

Fin Glowick, CRO bei WISO MeinBüro, erklärt, welche Gefahren lauern und welche Maßnahmen man ergreifen kann. WISO MeinBüro ist eine Bürosoftware-Marke der Buhl Data Service GmbH, die vor allem kleine Unternehmen, Selbstständige, Freiberufler und Gründer bei der Büroorganisation unterstützt.

Betriebe, die mit einfachen IT-Strukturen arbeiten, können Opfer von Datenklau werden
Foto: Anna / Pixabay

Die sieben größten Sicherheitsrisiken beim digitalen Rechnungsaustausch

1. Gefälschte Rechnungen (Fake-Invoices)

Viele Handwerksbetriebe erhalten ihre Eingangsrechnungen als PDF-Dateien per E-Mail. Kriminelle nutzen diese Praxis aus: Sie fangen eine echte Rechnung auf dem Weg zum Empfänger ab, ändern nur die Kontonummer – und leiten sie dann weiter. Das Ergebnis: Die Zahlung landet beim Betrüger, nicht beim Lieferanten. Besonders perfide: Die Rechnung sieht originalgetreu aus – und fällt oft erst nach Wochen auf.

Was hilft: Zahlungsdaten niemals blind übernehmen. Wenn sich eine IBAN ändert, immer beim bekannten Kontakt persönlich oder telefonisch nachfragen – niemals per E-Mail bestätigen.

2. Phishing-Mails

Phishing ist der Versuch, über gefälschte E-Mails an vertrauliche Daten zu kommen – etwa an Passwörter oder Zugangsdaten zu Buchhaltungssystemen. Die Mails wirken täuschend echt, zum Beispiel im Stil von Paketdiensten, Banken oder sogar von Software-Anbietern. Ein Klick auf den Anhang oder Link genügt – und Schadsoftware ist installiert.

Was hilft: Mitarbeiter sensibilisieren. Im Zweifel lieber nicht klicken, sondern die E-Mail löschen oder rückfragen. Technisch helfen Spamfilter und Virenscanner – aber auch gesunder Menschenverstand ist entscheidend.

3. Unverschlüsselte Kommunikation

Rechnungen, Angebote und andere Geschäftsdaten per E-Mail zu verschicken, ist bequem – aber unsicher, wenn die Nachrichten nicht verschlüsselt sind. E-Mails lassen sich auf dem Weg durchs Netz abfangen oder manipulieren, vor allem bei kostenlosen oder schlecht gesicherten Maildiensten.

Was hilft: Nutzung von E-Mail-Verschlüsselung oder – besser noch – ein Wechsel zu gesicherten Übertragungswegen, zum Beispiel zertifizierte E-Rechnungsportale oder den Peppol-Standard. Außerdem: sensiblen Schriftverkehr nie über private E-Mail-Adressen abwickeln.

Betriebe sollten regelmäßig prüfen, ob alle Systeme auf dem aktuellen Stand sind. Bei kostenpflichtiger Software ist nicht die günstigste Lösung zweckmäßig, sondern man sollte auf aktivem Support und regelmäßige Updates setzen
Foto: S V / Pixabay

4. Veraltete Software

Ob Betriebssystem, Buchhaltungssoftware oder E-Mail-Programm – wer Updates auslässt, riskiert Sicherheitslücken. Veraltete Software ist eines der häufigsten Einfallstore für Angriffe. Vor allem kleine Betriebe arbeiten oft mit älteren Programmen, die nicht mehr regelmäßig mit Sicherheitsupdates versorgt werden.

Was hilft: Regelmäßig prüfen, ob alle Systeme auf dem aktuellen Stand sind. Bei kostenpflichtiger Software nicht nur auf die günstigste Lösung achten, sondern auf Anbieter mit aktivem Support und regelmäßigen Updates setzen.

5. Fehlendes Rechte- und Passwortmanagement

In vielen Handwerksbetrieben nutzen alle Mitarbeiter denselben Computer und oft sogar dieselben Zugangsdaten – aus Bequemlichkeit. Das ist nicht mehr zeitgemäß und kann zu erheblichen Sicherheitsrisiken führen. Wenn jeder Zugriff auf alles hat – von der Kundenliste über die Buchhaltung bis zur Onlinebanking-Software – kann ein einzelner Klick oder ein geknacktes Passwort großen Schaden anrichten.

Was hilft: Ein modernes Rechtemanagement bedeutet: Jede Person im Unternehmen erhält eine eigene Benutzerkennung mit den jeweils notwendigen Zugriffsrechten. Eine Mitarbeiterin in der Buchhaltung braucht andere Zugänge als ein Monteur auf der Baustelle. Wenn Mitarbeiter das Unternehmen verlassen, müssen ihre Zugänge sofort gesperrt oder gelöscht werden – ebenso wie die ihrer E-Mail-Accounts oder mobilen Geräte. Vergessene Nutzerkonten sind beliebte Einfallstore für Cyberangriffe.

Zusätzlich sollte eine sogenannte Zwei-Faktor-Authentifizierung (2FA) eingerichtet werden – besonders für sensible Programme wie Buchhaltung oder E-Mail-Zugänge.

Was ist 2-Faktor-Authentifizierung?

Dabei reicht es nicht mehr, nur Benutzername und Passwort einzugeben. Beim Login wird zusätzlich ein zweiter Sicherheitsnachweis verlangt – zum Beispiel ein Code, der per SMS aufs Handy kommt oder über eine App generiert wird. Das bedeutet: Selbst wenn ein Passwort in falsche Hände gerät, kann niemand ohne das zweite Gerät auf die Daten zugreifen.

6. Gefälschte Anrufe mit vorgetäuschten Notsituationen („Chef-Masche“)

Eine besonders perfide Masche zielt nicht auf Technik, sondern auf das Vertrauen im Unternehmen: Betrüger geben sich am Telefon als Chef, Mandant oder Berater aus und schildern eine dramatische Notsituation – etwa einen angeblichen Unfall im Ausland, eine drohende Haft oder eine dringende Steuernachzahlung. Dann wird Druck aufgebaut: Eine hohe Summe müsse sofort überwiesen werden, sonst drohen schlimme Konsequenzen.

Der Begriff „Social Engineering“ beschreibt eine Methode, bei der Angreifer versuchen, Menschen gezielt zu manipulieren, um an vertrauliche Informationen oder Geld zu gelangen
Foto: Gerd Altmann / Pixabay

Die Täter sind gut vorbereitet. Sie kennen Namen, Urlaubszeiten oder Geschäftsreisen – oft aus öffentlich zugänglichen Quellen oder durch Social Engineering. Solche Anrufe wirken dadurch glaubwürdig, besonders wenn Mitarbeiter wissen, dass der Chef tatsächlich im Ausland ist.

Was hilft: Diese sogenannte „Chef-Masche“ lebt davon, dass Mitarbeiter überrumpelt werden. Daher gilt: Keine Überweisungen aufgrund eines Anrufs ohne Rückversicherung! Legen Sie intern klare Regeln fest: Bei außergewöhnlichen Zahlungen – besonders ins Ausland – ist immer eine schriftliche Bestätigung nötig, idealerweise über einen zweiten Kanal (z. B. separate Mail oder Rückruf). Sensibilisieren Sie das Team für diese Masche: Auch wenn es noch so dringend klingt – erst prüfen, dann handeln. Machen Sie vertrauliche Abwesenheiten nicht öffentlich, z. B. auf Social Media. So erschweren Sie Tätern die Vorbereitung.

7. Risiken auf der Baustelle und unterwegs

IT-Sicherheit endet nicht im Büro – besonders im Handwerk. Mobile Geräte wie Smartphones und Tablets gehören auf Baustellen längst zum Alltag. Sie werden für Fotos, Zeiterfassung, Projektabsprachen oder Materialbestellungen genutzt. Doch genau hier lauern zusätzliche Gefahren, die oft unterschätzt werden:

• Geräte ohne Zugriffsschutz: Ein verlorenes oder gestohlenes Smartphone kann sensible Daten preisgeben – etwa Kundennamen, Vertragsinhalte oder Login-Daten. Geräte sollten deshalb immer mit einem PIN, Fingerabdruck oder Gesichtserkennung geschützt sein.
• Offene WLAN-Netze: Wer unterwegs Hotel- oder Café-WLAN nutzt, riskiert, dass Daten mitgelesen werden. Ohne zusätzliche Sicherung (z. B. VPN) sollten keine sensiblen Informationen übertragen werden.
• Unverschlüsselte USB-Sticks oder Festplatten: Diese Datenträger sind zwar praktisch, gehen aber schnell verloren – und geben dann oft ungeschützt Zugriff auf vertrauliche Dateien.
• Datenschutzverletzungen durch Fotos: Fotos von der Baustelle können problematisch sein, wenn darauf Personen, Kundendaten oder vertrauliche Unterlagen zu erkennen sind – besonders in sensiblen Projekten.
• Geteilte oder unkontrollierte Geräte-Nutzung: Wenn mehrere Personen dasselbe Gerät mit demselben Passwort nutzen, wird es unmöglich, Sicherheitsverstöße nachzuvollziehen oder Schäden zu begrenzen.

Solche Sicherheitslücken sind nicht nur technische Probleme – sie können auch rechtliche Konsequenzen nach sich ziehen. Verlieren Mitarbeiter ungeschützt gespeicherte Kundendaten oder fotografieren ohne Freigabe auf sensiblen Baustellen, kann das als Compliance-Verstoß gewertet werden. Besonders bei öffentlichen Auftraggebern oder in Industrieprojekten drohen in solchen Fällen Vertragsstrafen, Schadensersatzforderungen oder sogar der Ausschluss aus Ausschreibungen.

Die Digitalisierung bringt viele Chancen – aber auch neue Risiken. Handwerksbetriebe sind keine IT-Spezialisten, aber sie müssen sich trotzdem mit dem Thema Cybersicherheit auseinandersetzen. Wer seine Systeme regelmäßig prüft, die richtigen Tools einsetzt und sein Team sensibilisiert, ist auf einem guten Weg. Dabei können manche diese Pflichten schon mit der richtigen Wahl des Softwareanbieters „abgegeben" werden. Dann muss man sich als Kunde keine Gedanken um Updates machen. Diese werden in einem Cloud-Produkt automatisch eingespielt und der Anwender ist immer auf der aktuellsten und sichersten Version. Gute Prozesse, verlässliche Tools, aber auch gesunder Menschenverstand sind unerlässlich.

Autor

Fin Glowick ist Chief Revenue Officer bei „WISO MeinBüro.“

www.meinbuero.de