BSI warnt

-

Manipulierte Rechnungen als bekannte Angriffsmethode

Vor gut zwei Wochen machten gehackte Rechnungen des Herstellers Merck die Runde. Wie eine Apothekerin damals berichtete, seien Rechnungen manipuliert worden. Offenbar hatten Betrüger die IBAN in der Originalrechnung ausgetauscht. Das Darmstädter Unternehmen bestätigte »vereinzelte Fälle« und informierte die Kundinnen und Kunden über Sicherheitsmaßnahmen. Die Systeme beim Hersteller selbst seien nicht betroffen.

Kurz darauf warnte auch Novo Nordisk vor manipulierten Zahlungsdaten und gefälschten Rechnungen. Auch hier hatten offenbar Hacker Originaldokumente manipuliert und die IBAN gefälscht, sodass die Zahlungen abgezapft werden können. Apotheken sollten genauestens die Überweisungsdaten prüfen, riet Novo Nordisk.

Die Betrugsmasche ist für das Bundesamt für Sicherheit in der Informationstechnik (BSI) nichts Neues. Manipulierte Rechnungen, etwa durch den Austausch von IBAN, seien dem BSI als Angriffsmethode bekannt, so eine Sprecherin zur PZ. Man habe aktuell Kenntnis von mehreren Vorfällen in Deutschland. Dass die Fälle zunehmen, sei zwar nicht festzustellen, aber es erscheine plausibel. Denn es sei typisch, dass »finanziell motivierte Angreifer« in Wellen vorgingen. Innerhalb einer Angriffswelle fokussierten sich die Kriminellen dann auf auf ein Thema, eine Branche oder einen Sektor.

Um sich vor Angriffen zu schützen, sollten Apotheken und andere Kunden unbedingt Details aus PDF-Rechnungen mit dem Rechnungssteller verifizieren, rät die Sprecherin. Hierfür sollte ein vertrauenswürdiger Kommunikationskanal verwendet werden, da die Kontaktdaten in der PDF-Datei auch manipuliert sein könnten. Bei einer länger andauernden Geschäftsbeziehung könnten die Rechnungsdetails auch mit vorausgegangenen Rechnungen und Zahlungen abgeglichen werden. Abweichungen sollten mit dem Rechnungssteller verifiziert werden.

Im europäischen Zahlungsverkehr liefere die Überprüfung des Kontoinhabernamens einen Hinweis darauf, ob die angegebene IBAN tatsächlich dem richtigen Empfänger zugeordnet ist. Die Umstellung auf E-Rechnungen solle ebenfalls helfen, Betrug zu verhindern. Im Geschäftskundenbereich laufe die verpflichtende Einführung bereits, während Privatkunden mit PDF-Rechnungen noch länger anfällig blieben.

Die Frage, ob Geschädigte ihr Geld zurückbekommen, drängt sich auf. Hierzu kann das BSI Betroffenen nur  raten, möglichst schnell auf einen solchen Betrugsfall zu reagieren. Überweisungen würden typischerweise innerhalb von ein bis drei Bankarbeitstagen abgewickelt. Anschließend würden die Gelder weiterüberwiesen  und beispielsweise in Kryptowährungen für eine anschließende Geldwäsche umgewandelt. »Je weiter sich das Geld bis zu einer Anzeige bewegt hat, desto schwieriger wird es, den Geldfluss noch einzufrieren«, so die BSI-Sprecherin.

Zur Frage, ob für die Geschädigten ein rechtlicher Anspruch auf Zurückzahlung besteht, macht das BSI keine Angaben. Hierzu hatte sich auch Hersteller Merck zurückhaltend gezeigt; die Fälle, in denen die Betrugsopfer die gefälschten Rechnungen schon bezahlt hätten, würden bilateral geklärt.