Die digitale Kommunikation ist heute nicht mehr aus dem geschäftlichen Alltag wegzudenken. Sie bietet jedoch auch Betrügern eine Vielzahl von Angriffsflächen. Eine besonders perfide Methode ist der Betrug mit gefälschten IBANs in Rechnungen, bei dem gutgläubige Unternehmen und Privatpersonen zur Zahlung auf falsche Bankverbindungen verleitet werden. In diesem Beitrag möchten wir Ihnen als spezialisierten Fachanwalt für IT-Recht aufzeigen, wie diese Betrugsmasche funktioniert, welche rechtlichen Konsequenzen drohen und welche Maßnahmen Betroffene ergreifen können, um sich zu schützen.
Wie funktioniert der Betrug mit gefälschten IBANs?
Die Betrugsmasche basiert auf der Manipulation digitaler Rechnungen, die per E-Mail versendet werden. Die Täter hacken sich in die E-Mail-Kommunikation von Unternehmen ein oder fangen Rechnungen auf dem Weg zum Empfänger ab. Anschließend verändern sie gezielt die Bankverbindung in der Rechnung und senden die manipulierte Rechnung an den Empfänger. Dieser wird dann dazu gebracht, den fälligen Betrag auf das Konto der Betrüger zu überweisen.
Ein typischer Fall:
Ein Unternehmer kauft beispielsweise ein Fahrzeug bei einem Händler und erhält per E-Mail eine Rechnung. Kurz darauf folgt eine zweite E-Mail, die täuschend echt aussieht und scheinbar ebenfalls vom Händler stammt. In dieser neuen E-Mail befindet sich jedoch eine Rechnung mit einer geänderten IBAN. Der Käufer bemerkt den Unterschied nicht und überweist den Kaufpreis auf das falsche Konto. Der Betrug fällt oft erst auf, wenn der Verkäufer eine Mahnung schickt, da keine Zahlung eingegangen ist. Zu diesem Zeitpunkt ist das Geld häufig unwiederbringlich verloren.
Rechtliche Konsequenzen für Betroffene
Ein besonders brisantes Urteil hat das Oberlandesgericht (OLG) Karlsruhe im Juli 2023 gefällt (Urteil v. 27.07.2023 – 19 U 83/22). Das Gericht entschied, dass die Zahlung des Käufers auf ein falsches Bankkonto keine Erfüllung der vertraglichen Leistung darstellt. Das bedeutet, dass der Käufer trotz der bereits erfolgten Zahlung verpflichtet ist, den Kaufpreis erneut an den Verkäufer zu überweisen. Der Verlust des an die Betrüger überwiesenen Betrags bleibt beim Käufer.
Welche Rolle spielt der Verkäufer?
Das OLG Karlsruhe stellte klar, dass der Verkäufer grundsätzlich nicht haftet, wenn er keine Sicherheitsvorkehrungen gegen Hacking getroffen hat, es sei denn, ihm kann eine Verletzung seiner Sorgfaltspflichten nachgewiesen werden. In dem entschiedenen Fall war dies nicht der Fall, da unklar blieb, wie genau die zweite E-Mail mit der gefälschten IBAN versendet werden konnte. Es gab keine Anzeichen für eine konkrete Sorgfaltspflichtverletzung des Verkäufers.
Welche Sicherheitsmaßnahmen sind notwendig?
Eine der entscheidenden Fragen in solchen Fällen ist, ob Unternehmen verpflichtet sind, besondere Sicherheitsvorkehrungen zu treffen, um solche Manipulationen zu verhindern. Im Geschäftsverkehr gibt es jedoch keine gesetzlichen Vorgaben zur Verschlüsselung von E-Mails. Der Umfang der notwendigen Sicherheitsmaßnahmen richtet sich vielmehr nach den berechtigten Erwartungen des Handelsverkehrs sowie der Zumutbarkeit für die beteiligten Unternehmen.
Keine Pflicht zur Verschlüsselung
Das OLG Karlsruhe betonte, dass es im B2B-Geschäft grundsätzlich keine Pflicht zur Ende-zu-Ende-Verschlüsselung von E-Mails gibt. Solche Maßnahmen sind zwar sinnvoll, um sich gegen Hacking-Angriffe zu schützen, aber sie sind nicht zwingend erforderlich, wenn sie nicht ausdrücklich vertraglich vereinbart wurden. In der Praxis bedeutet dies, dass viele Unternehmen weiterhin unverschlüsselte E-Mails verwenden, was Betrügern in die Hände spielt.
Mitverschulden des Käufers
In bestimmten Fällen kann dem Käufer sogar ein Mitverschulden angelastet werden. Dies ist der Fall, wenn es Anzeichen dafür gab, dass die Rechnung manipuliert sein könnte – zum Beispiel bei verdächtigen E-Mail-Adressen, Grammatikfehlern oder einer Änderung der Bankverbindung ohne plausible Erklärung. In solchen Fällen könnten Gerichte entscheiden, dass der Käufer sorgsamer hätte handeln müssen.
Präventive Maßnahmen – Wie können Sie sich schützen?
Um sich vor dieser Betrugsmasche zu schützen, sind einige präventive Maßnahmen unerlässlich. Folgende Schritte sollten Sie in Ihrem Unternehmen umsetzen, um das Risiko zu minimieren:
- Zahlungsinformationen verifizieren: Bevor eine Zahlung auf eine in einer E-Mail angegebene Bankverbindung erfolgt, sollte immer überprüft werden, ob die Rechnung tatsächlich vom Verkäufer stammt. Ein einfacher Anruf beim Verkäufer oder eine Rückfrage über alternative Kommunikationskanäle kann bereits Klarheit schaffen.
- Mehrstufige Freigabeprozesse: Implementieren Sie in Ihrem Unternehmen interne Freigabeprozesse für Zahlungen, insbesondere bei hohen Beträgen. Auf diese Weise wird eine zweite Person in den Zahlungsprozess involviert, was die Wahrscheinlichkeit verringert, dass gefälschte Rechnungen unbemerkt bleiben.
- E-Mail-Sicherheit erhöhen: Nutzen Sie technische Sicherheitsvorkehrungen wie die Verschlüsselung von E-Mails und digitale Signaturen. Diese Maßnahmen erschweren es Kriminellen, Rechnungen zu manipulieren.
- Sensibilisierung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit Cyber-Sicherheit. Mitarbeiter sollten in der Lage sein, verdächtige E-Mails zu erkennen und entsprechende Maßnahmen zu ergreifen.
- Kontinuierliche Überprüfung der IT-Sicherheit: Lassen Sie Ihre IT-Systeme regelmäßig von Experten auf Schwachstellen prüfen. Ein starker Schutz Ihrer digitalen Kommunikation ist der beste Weg, um Betrugsversuche frühzeitig zu erkennen.
Was tun, wenn Sie bereits Opfer geworden sind?
Sollten Sie trotz aller Vorsichtsmaßnahmen Opfer eines Betrugs durch gefälschte IBANs in Rechnungen geworden sein, ist schnelles Handeln gefragt. Hier sind die wichtigsten Schritte, die Sie unmittelbar einleiten sollten:
- Sofortige Kontaktaufnahme mit der Bank: Informieren Sie Ihre Bank unverzüglich über den Betrug und versuchen Sie, die Zahlung zu stoppen. In einigen Fällen kann die Bank den Betrag noch zurückholen, bevor er dem Konto des Betrügers gutgeschrieben wird.
- Anzeige bei der Polizei: Erstatten Sie sofort Anzeige bei der Polizei. Betrugsfälle mit gefälschten Rechnungen und manipulierten Bankverbindungen sind strafrechtlich relevant, und eine polizeiliche Ermittlung kann dazu beitragen, die Täter zu identifizieren und festzunehmen.
- Benachrichtigung des Verkäufers: Informieren Sie den Verkäufer über den Vorfall und klären Sie gemeinsam das weitere Vorgehen. Es kann hilfreich sein, die Kommunikation schriftlich festzuhalten, um spätere Missverständnisse zu vermeiden.
- Rechtliche Beratung einholen: Ziehen Sie in Erwägung, rechtlichen Rat einzuholen. Ein Anwalt für IT-Recht kann Ihnen helfen, Ihre Ansprüche durchzusetzen, und Sie bei der Kommunikation mit dem Verkäufer und anderen Beteiligten unterstützen.
Fazit: Schützen Sie sich vor manipulierten Rechnungen!
Der Betrug mit gefälschten IBANs in Rechnungen ist eine ernstzunehmende Gefahr, die durch die zunehmende Digitalisierung des Geschäftsverkehrs immer häufiger vorkommt. Unternehmen sollten daher präventive Maßnahmen ergreifen, um sich zu schützen, und gleichzeitig auf verdächtige Rechnungen und Bankverbindungen achten. Wer dennoch Opfer dieser Betrugsmasche wird, sollte nicht zögern, schnell zu handeln und rechtliche Unterstützung in Anspruch zu nehmen.
Durch eine Kombination aus technischer Sicherheit, sorgfältiger Überprüfung und der Schulung von Mitarbeitern können Sie das Risiko, Opfer eines solchen Betrugs zu werden, erheblich reduzieren. Wenn Sie Fragen zu diesem Thema haben oder rechtliche Unterstützung benötigen, stehe ich Ihnen als spezialisierter Fachanwalt für IT-Recht gerne zur Verfügung.