Elektronische Rechnungen sollen Prozesse vereinfachen, Kosten senken und die Digitalisierung in Unternehmen beschleunigen. Doch die moderne E-Invoicing-Infrastruktur birgt auch erhebliche Risiken. Sicherheitslücken, fehlende Standards und unübersichtliche Prozesse machen E-Rechnungen zu einem Einfallstor für Cyberkriminelle – mit zunehmender Brisanz.
Digitale Effizienz mit Abstrichen – der Stand der E-Rechnung
Die Einführung der E-Rechnung wurde über Jahre hinweg als großer Fortschritt gefeiert. Sie ermöglicht eine schnellere Abwicklung, automatisierte Buchführung und eine stärkere Integration mit ERP-Systemen. Seit April 2025 sind E-Rechnungen nach dem europäischen Standard XRechnung in Deutschland für alle B2B-Vorgänge mit öffentlichen Auftraggebern verpflichtend – ein Meilenstein auf dem Weg zur vollständigen Digitalisierung der Finanzverwaltung.
Doch diese Umstellung birgt gravierende Sicherheitsprobleme. Nach Daten des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden allein im Jahr 2024 über 6.200 Manipulationsversuche im Zusammenhang mit elektronischen Rechnungen registriert – Tendenz steigend. Ein großer Teil davon führte zu erfolgreichen Angriffen über präparierte XML-Dateien, die Schwachstellen in schlecht konfigurierten Middleware-Systemen ausnutzten.
Die Standardisierung durch Formate wie XRechnung und ZUGFeRD sollte eigentlich Sicherheit bieten. Doch die fragmentierte Umsetzung in Unternehmen – von individuell programmierten Schnittstellen bis hin zu Drittanbieter-Plattformen ohne ausreichende Security Audits – verhindert ein tragfähiges Schutzniveau. Viele Firmen setzen auf selbstgehostete Lösungen mit veralteten Bibliotheken oder nutzen Cloud-Dienstleister mit intransparentem Compliance-Status. Laut einer Erhebung von Bitkom (2024) erfüllen lediglich 49 % der mittelständischen Unternehmen in Deutschland die Mindestanforderungen an IT-Sicherheit im Bereich digitaler Rechnungsverarbeitung.
Wenn der Rechnungseingang zur Schwachstelle wird
Einer der gravierendsten Angriffsvektoren bei E-Rechnungen ist die manipulierte Rechnung im XML-Format. Diese kann durch sogenannte XML-Injection-Attacken gezielt schädlichen Code in das ERP- oder Buchhaltungssystem einschleusen. Werden diese Formate nicht validiert oder parserseitig abgesichert, kann bereits das Öffnen eines inkompatiblen oder böswillig veränderten Dokuments zu verheerenden Folgen führen.
Ein aktuelles Beispiel dafür stammt aus dem ersten Quartal 2025: Ein deutsches Maschinenbauunternehmen verlor infolge einer kompromittierten E-Rechnung mit manipulierten Zahlungsdaten über 1,4 Millionen Euro. Laut einem Untersuchungsbericht der Allianz für Cybersicherheit wurde die Rechnung über eine legitime Plattform empfangen, jedoch fehlte eine manuelle Sichtprüfung – der Betrug blieb unentdeckt bis zur Zahlungsabwicklung.
Bedenklich ist auch das Social Engineering rund um E-Rechnungen. Angreifer nutzen zunehmend gefälschte Rechnungs-E-Mails im korrekten XML-Format, oft sogar mit echten Unternehmensstempeln (via kompromittierte Geschäftskonten). Die Illusion eines authentischen Prozesses verstärkt die Wahrscheinlichkeit, dass Mitarbeiter Rechnungen ungeprüft ins System einspeisen.
Standards mit Sicherheitslücke – XRechnung und ZUGFeRD unter der Lupe
Die beiden dominierenden E-Rechnungsformate im deutschen Raum – XRechnung und ZUGFeRD – bieten strukturierte XML-basierte Datenmodelle. Während XRechnung streng strukturiert ist, kombiniert ZUGFeRD maschinenlesbares XML mit einem PDF-Container für Menschen. Letzteres ist häufig praktischer, jedoch sicherheitstechnisch problematischer. PDF-Dateien gelten schon lange als Verbreitungsvektor für Angriffe – 2024 wurden laut Kaspersky weltweit über 37 Millionen bösartige PDF-Dateien erfasst.
Die mangelnde Ende-zu-Ende-Verschlüsselung vieler E-Rechnungsprozesse verschärft die Sache noch. Manche Anbieter setzen auf E-Mail-Versand mit bloßem Anhang, was faktisch modernen Sicherheitsstandards widerspricht. Auch RFC-konforme Zertifikatsverfahren wie AS4-Profile nach EN 16931 werden oft nicht konsequent umgesetzt.
Hinzu kommt, dass insbesondere kleine und mittlere Unternehmen (KMU) nicht über ausreichende Ressourcen verfügen, um ihre Systeme DSGVO- und GoBD-konform, aber gleichzeitig sicher und aktuell zu halten. Sicherheitsupdates werden verspätet eingespielt, Penetrationstests unterbleiben häufig vollständig.
Cyberkriminelle erkennen das neue Einfallstor
Kriminelle Gruppen nutzen die Schwächen der Übergangszeit gezielt aus. Laut einer Untersuchung von Trend Micro vom September 2025 sind E-Invoicing-Plattformen zunehmend Ziel sogenannter Supplier Impersonation Attacks, bei denen legitime Lieferantenprofile nachgeahmt oder kompromittiert werden, um gefälschte E-Rechnungen zu versenden.
Vor allem in überlasteten Einkaufs- oder Buchhaltungsabteilungen, die durch Automatisierung Prozesse beschleunigen wollen, wird das Risiko durch mangelnde Sichtprüfungen und unzureichende Authentifizierungsverfahren erhöht. Revisionssichere Validierung findet selten automatisiert statt – ein Einfallstor, das sich zunehmend auszahlt.
Schätzungen von IDC (2025) zufolge könnten bis 2026 weltweit Schäden in Höhe von über 1,1 Milliarden US-Dollar speziell durch kompromittierte E-Rechnungsstrukturen entstehen. Allein in der EU sei mit mehreren zehntausend Vorfällen jährlich zu rechnen.
Was Unternehmen JETZT tun sollten
Die Umstellung auf E-Rechnungen ist in vielen Branchen unumkehrbar – ab Januar 2026 wird die EU-weite verpflichtende Verwendung für B2B-Geschäfte erwartet. Umso wichtiger ist es, Sicherheitsbarrieren aktiv zu verbessern. Dazu gehören technische Schutzmaßnahmen, Prozesse zur Schulung und Awareness sowie die Auswahl vertrauenswürdiger Plattformen. Unsere Empfehlungen:
- XML-Schnittstellen absichern: Eingehende E-Rechnungen müssen durch ein zertifiziertes XML-Gateway geschleust werden, das sämtliche Daten gegen bekannte Angriffsmuster (z. B. XXE, XSS) prüft und nur validierte Formate zulässt.
- Zero-Trust-Strategien implementieren: Jeder elektronische Rechnungszugriff sollte unabhängig geprüft werden. Identitäten von Absendern müssen durch starke Authentifizierungsmechanismen (z. B. eIDAS-konforme Zertifikate) abgesichert sein.
- Auditierbare Workflows schaffen: Die Verarbeitung, Freigabe und Archivierung von E-Rechnungen sollte in transparenten, loggestützten Workflows erfolgen. Tools wie SIEM-Systeme und automatisierte Anomalie-Erkennung helfen dabei, verdächtige Vorgänge frühzeitig zu erkennen.
Langfristige Sicherheitsarchitektur: Ein Fall für europäische Standards
Es braucht eine übergreifende europäische Strategie, die über technische Dateiformate hinausgeht. Sicherheitszertifizierungen für Anbieter von E-Invoicing-Plattformen, interoperable Authentifizierungsprotokolle und klare Anforderungen an die Datenspeicherung könnten helfen, einheitliche Schutzstandards zu etablieren.
Die EU-Kommission plant mit ihrer Initiative VAT in the Digital Age (ViDA) bis 2028 weitere Schritte zu harmonisierten, sicheren und grenzüberschreitenden Infrastrukturen für elektronischen Rechnungsaustausch. Entscheidend wird sein, ob dies auch verbindlich und sicherheitstechnisch belastbar geschieht.
Immer mehr Industrieverbände – darunter der eco-Verband der Internetwirtschaft – fordern verpflichtende Penetrationstests und Sicherheitsnachweise für Anbieter im B2B-Rechnungsnetzwerk. In Pilotprojekten wie Peppol (Pan-European Public Procurement OnLine) werden solche Ansätze mit ersten Erfolgen getestet.
Fazit: Digitalisierung mit Verantwortung
Die E-Rechnung ist gekommen, um zu bleiben. Ihre Potenziale stehen jedoch auf dem Spiel, wenn Sicherheitsaspekte weiter vernachlässigt werden. Unternehmen, Behörden und Dienstleister sind gleichermaßen gefordert, die digitale Finanzkommunikation krisenfest zu gestalten.
Klug umgesetzte Sicherheitsarchitekturen, vollständige Standardkonformität und menschliche Aufmerksamkeit sind dabei keine Kür, sondern Pflicht. Die Investition in sichere E-Invoicing-Strukturen schützt nicht nur Unternehmenswerte – sie ist langfristig ein Wettbewerbsvorteil.
Welche Erfahrungen hat Ihr Unternehmen mit der Absicherung von elektronischen Rechnungen gemacht? Diskutieren Sie mit uns in den Kommentaren oder teilen Sie Ihr Know-how in unserer Fach-Community!
