Back to top

In 3 Schritten eine gefälschte Rechnung per E-Mail erkennen

In der Corona-Zeit ist die Anzahl der betrügerischen Mails wieder gestiegen. Viele Menschen sind im Homeoffice und haben nicht mehr den direkten Kontakt zu den Kolleginnen und Kollegen, um mal eben etwas zu klären. Diese Umstände sind vorteilhaft für E-Mail-Betrüger, sodass wir jetzt auch einen Anstieg Falscher-Chef E-Mails und Mails mit gefälschten Rechnungen beobachten.
Ganz konkret sind wir jetzt durch einen Kunden auf eine Rechnung aufmerksam gemacht worden. Im Folgenden möchten wir auf die Punkte eingehen, die eine gefälschte Rechnung schnell enttarnen können. Die Rechnung bezieht sich auf eine „Domain Registrierung Zeitraum 2020 / 2021“ und soll von der Firma „United Hosting Deutschland“ sein.

Schritt 1: Erwarte ich diese E-Mail?

Als erstes sollten Sie kurz innehalten und nachdenken, ob die E-Mail legitim sein kann oder nicht. Dabei hilft es, sich den Kontext der E-Mail zu vergegenwärtigen. Erwarte ich eine solche Mail? Kenne ich die Firma? Besteht eine Geschäftsbeziehung?

Die Betrüger nutzen hier geschickt aus, dass nahezu alle Unternehmen eine Domain besitzen und für diese auch in jährlichem Abstand eine Rechnung erhalten. Von daher ist eine Rechnung für eine Domain nicht ungewöhnlich. Der Name der Firma und der Absendername sind hier aus bekannten Begriffen rund um das Thema Domain, Hosting und Rechnung gewählt. Ist mir mein Partner für die Verwaltung der Domains unbekannt, lassen sich die beiden letzten Fragen nicht direkt beantworten: genau darauf zielen die Betrüger ab und setzen darauf, dass ganz nach dem Motto „Wird schon passen, wir haben ja eine Domain“ die Rechnung freigegeben wird.

Schritt 2: Die E-Mail

Die E-Mail ist unpersönlich formuliert und es fehlen wichtige Angaben. Eine echte Rechnung per Mail hat eine korrekte Anrede. Zudem fehlen auch die Pflichtangaben zur Unternehmensform, Handelsregisternummer und Geschäftsführung, die üblicherweise am Ende einer E-Mail stehen. Wichtige E-Mails sollten zudem mit einem digitalen Zertifikat versendet werden. Die persönlichen E-Mail-Adressen von ho.Systeme werden alle mit einem digitalen Zertifikat (ein kleiner roter Wimpel ist dem Absendernamen vorangestellt) versehen und Sie können sicher gehen, dass die E-Mail von max.mustermann@hosysteme.de mit diesem Zertifikat auch wirklich von Max Mustermann von ho.Systeme kommt.

Schritt 3: Das PDF mit der Rechnung

Entgegen aller Ratschläge, keine Dateianhänge von unbekannten Absendern zu öffnen, sind wir dennoch neugierig und möchten wissen, welcher Betrag in der Rechnung steht und wir finden gleich drei Merkmale, die uns mitteilen, dass es sich um eine gefälschte Rechnung handelt.

Die unpersönliche Anrede setzt sich auch in der Rechnung fort. Anders als in §14 Umsatzsteuergesetz (UStG) gefordert, enthält die Rechnung keinen Empfänger und lässt auch andere Pflichtangaben einer Rechnung, wie die Steuernummer, vermissen. Als zweiter Punkt sollte Ihnen die angegebene Kontonummer spanisch vorkommen, da es sich auch um ein Konto bei einer spanischen Bank handelt. Eine kurze Prüfung bei iban-rechner.de ergibt eine Bank in Malaga in Südspanien. Als drittes sollten Sie bei der konsequenten Kleinschreibung hellhörig werden und dann auch auf alle anderen Punkte aufmerksam werden.

Im Anhang stellen wir Ihnen die Rechnung bereit, damit Sie Ihre Kolleginnen und Kollegen informieren können. Diese von uns bereitgestellte Musterrechnung können Sie natürlich bedenkenlos öffnen und/oder herunterladen.

Fazit

Oft können Sie sich eine detaillierte Prüfung von Grammatik, IBAN und den gesetzlichen Anforderungen einer Rechnung sparen, wenn Sie den ersten Schritt beherzigen und die E-Mail im Kontext betrachten: erwarte ich eine solche E-Mail oder habe ich von dem Absender schon mal eine Rechnung erhalten und passt die E-Mail-Adresse des Absenders? Damit lassen sich eine Vielzahl von schadhaften Mails direkt erkennen und Sie ersparen sich und Ihren Kolleginnen und Kollegen eine Menge Ärger. Sind Sie sich sicher, dass diese Rechnung in Ihrem Unternehmen aufgefallen wäre? Fragen Sie ihr professionelles Systemhaus, wie Sie auch Ihre Mitarbeiterinnnen und Mitarbeiter sensibilisieren können.