Wenn die Rechnung zur Falle wird: Invoice Fraud und was Sie dagegen tun können
Eine Buchhalterin öffnet morgens ihr Postfach. Eine E-Mail vom langjährigen IT-Dienstleister liegt vor – mit einer Rechnung über 14.800 Euro im Anhang. Die IBAN sieht merkwürdig aus, aber eine kurze Notiz im Dokument erklärt: “Bitte beachten Sie unsere neue Bankverbindung.” Sie überweist den Betrag. Drei Wochen später stellt der echte Lieferant die erste Mahnung zur Rechnung – denn das Geld wurde auf das falsche Konto überwiesen. Auf ein Konto im Ausland. Das Geld ist weg, unwiederbringlich. Szenarien wie dieses spielen sich täglich in Unternehmen in aller Welt ab. Diese Art des Angriffs hat einen Namen: Invoice Fraud, eine Unterform des sogenannten Business Email Compromise (BEC). Was dabei oft übersehen wird: Es gibt immer zwei Opfer. Den Empfänger, der Geld überweist, und das Unternehmen, dessen Identität für den Angriff missbraucht wurde – und das davon womöglich nicht einmal etwas merkt.
Was ist Invoice Fraud und woran erkenne ich ihn?
Invoice Fraud ist eine Betrugsform, bei der Angreifer Rechnungen manipulieren – in der Regel die Bankverbindung – und diese an Unternehmen versenden, die die Zahlung dann unabsichtlich auf ein Konto von Betrügern überweisen.
Folgende Warnsignale tauchen in Zusammenhang mit Invoice Fraud häufig auf:
Was hilft Empfängern gegen Invoice Fraud?
Die wirksamsten Maßnahmen sind organisatorischer Natur. Das Vier-Augen-Prinzip bei Zahlungen ab einem definierten Betrag ist ein grundlegender Standard, vor allem bei neuen oder geänderten Bankverbindungen. Eine geänderte IBAN sollte grundsätzlich telefonisch über eine bereits bekannte Nummer bestätigt werden. Darüber hinaus helfen regelmäßige Schulungen und klare interne Prozesse, die Mitarbeitenden Handlungssicherheit geben: Kein technisches System ersetzt eine aufmerksame Person, die bei einer ungewohnten IBAN kurz zum Telefon greift.
Ihre Domäne, Ihre Reputation
Wenn Angreifer gefälschte Rechnungen im Namen eines Unternehmens und unter Verwendung der entsprechenden Domäne versenden, steht die Reputation auf dem Spiel, aber nicht nur die: Beschädigte Geschäftsbeziehungen, Vertrauensverlust bei Kunden und Partnern sowie mögliche rechtliche Folgen drohen ebenso. Und das perfide: In vielen Fällen merkt das betroffene Unternehmen zunächst gar nichts davon.
Es gibt drei typische Szenarien bei Invoice Fraud:
Beim Domänen-Spoofing wird die eigene Domäne imitiert, ohne dass Angreifer tatsächlich Zugriff auf die Infrastruktur haben – sie versenden einfach E-Mails mit einer gefälschten Absenderadresse.
Beim Account Compromise wurde ein echtes E-Mail-Konto zuvor durch Phishing oder ein Datenleck übernommen und wird nun aktiv für den Betrug genutzt.
Das dritte Szenario ist gegeben, wenn die Domäne nicht oder nicht ausreichend geschützt durch DMARC ist: Angreifer können dann im Namen der Domäne E-Mails versenden.
Schutz vor Invoice Fraud durch SPF, DKIM und DMARC
Drei Protokolle bilden zusammen das technische Fundament zum Schutz der eigenen Domäne vor Missbrauch. Sie bauen aufeinander auf und entfalten ihren vollen Schutz erst im Zusammenspiel.
Ein DMARC-Eintrag enthält eine Policy mit drei Stufen:
- p=none: E-Mails werden zugestellt, aber Berichte über Authentifizierungsergebnisse werden an eine definierte Adresse gesendet. Empfiehlt sich für die Einführungsphase zur Analyse.
- p=quarantine: Nicht authentifizierte E-Mails landen im Spam-Ordner.
- p=reject: Nicht authentifizierte E-Mails werden vollständig abgewiesen. Dies ist die einzige Stufe, die echten Schutz gegen Domänen-Spoofing bietet.
Über DMARC erhält man regelmäßige Aggregate‑Reports im XML‑Format: Sie zeigen, von welchen Servern im Namen der eigenen Domäne E‑Mails versendet wurden, wie oft SPF und DKIM korrekt gegriffen haben und in welchen Fällen Authentifizierungs‑ oder Alignment‑Probleme aufgetreten sind.
Warum viele bei p=none bleiben – und wie 25Reports hilft
Viele Unternehmen haben einen DMARC-Eintrag gesetzt – verbleiben aber dauerhaft auf p=none. Das klingt nach einem vorsichtigen Schritt, ist aber faktisch kein Schutz: Ohne Durchsetzung können Angreifer die Domäne weiterhin ungehindert für Spoofing missbrauchen. Die Absenderreputation leidet langfristig, und das Vertrauen bei Empfängern sinkt.
Warum bewegen sich so viele Unternehmen nicht weiter? Es sind zwei eng miteinander verbundene Probleme.
Problem 1: Fehlende Transparenz über die eigene E-Mail-Infrastruktur
Wenn Unternehmen DMARC zum ersten Mal einrichten, stellt sich oft heraus, dass weit mehr Systeme im Namen ihrer Domäne E-Mails versenden als bekannt: alte CRM-Systeme, ERP-Software, externe Dienstleister, Monitoring-Tools, Newsletter-Plattformen. Bevor diese Quellen vollständig autorisiert sind, würde p=reject legitime E-Mails abweisen – ohne Fehlermeldung an den Absender. Genau dieser Ausfallmodus ist gefürchtet, weil er sich in geschäftskritischen Prozessen tagelang unentdeckt bemerkbar machen kann.
Problem 2: Die Aggregate Reports sind praktisch nicht auswertbar
DMARC sendet Berichte als XML-Dateien, mit Hilfe derer man einen Überblick über die Absender bekommt, die im Namen der eigenen Domäne senden. Ohne spezialisierte Tools sind diese Dateien für IT-Teams im Alltag schlicht nicht handhabbar. Wer keine geeignete Lösung nutzt, hat formal Reporting aktiviert, aber faktisch keinen Überblick. Und wer die Reports nicht systematisch auswertet, weiß nicht, welche Absender noch nicht autorisiert sind – und kann damit auch nicht sicher auf p=reject wechseln.
Das Ergebnis ist ein strukturelles Hindernis: Gutes Monitoring ist die Voraussetzung für p=reject. p=reject ist die Voraussetzung für echten Schutz. Wer den Monitoring-Schritt überspringt, kommt nie ans Ziel.
25Reports: DMARC Monitoring ohne Spezialkenntnisse
Genau hier setzt 25Reports an. Statt roher XML-Daten bietet 25Reports ein zentrales Dashboard, das Absender, Volumen und Authentifizierungsergebnisse aller überwachten Domänen in Echtzeit visualisiert. Millionen von Datensätzen werden zu klaren Kennzahlen und Trenddiagrammen verdichtet. Jede Domäne erhält eine Live-Bewertung von A bis F mit konkreten Verbesserungsvorschlägen.
Ein wichtiges Detail: Im Alltag ist nicht jede einzelne IP-Adresse relevant, sondern die Frage, welche Systeme oder Dienste tatsächlich E-Mails für eine Domäne versenden. 25Reports fasst Absender-IP-Adressen deshalb automatisch zusammen und stellt sie als gemeinsamen Absender dar. Das reduziert Rauschen und macht die eigentlich relevanten Fragen sichtbar: Welche Systeme senden? Sind alle autorisiert? Wo besteht Handlungsbedarf?
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Fokus statt Informationsflut
DMARC-Reports enthalten häufig Absender, die zwar nicht DMARC-konform sind, aber dauerhaft keinen Handlungsbedarf erzeugen. 25Reports ermöglicht es, solche Absender gezielt zu markieren und aus Tabellen sowie Alarmen auszunehmen. Administratoren können ihre Aufmerksamkeit so auf das lenken, wo tatsächlich etwas zu tun ist.
Anstatt das Dashboard täglich manuell zu prüfen, erhalten Nutzer automatisch eine Benachrichtigung, wenn relevante Ereignisse eintreten: Unbekannte Absender tauchen auf, Authentifizierungen schlagen fehl, die Anzahl nicht authentifizierter E-Mails steigt auffällig an, oder das DMARC-Rating einer Domäne verändert sich. Auch Änderungen an SPF- oder DMARC-Einträgen im DNS werden überwacht und gemeldet – inklusive Vergleich von altem und neuem Eintrag. Das ist besonders relevant, wenn externe Dienstleister DNS-Einträge verwalten.
Schutz vor Invoice Fraud – ohne Ausfallrisiko
Mit vollständiger Sicht auf alle Absender und klaren Handlungsempfehlungen können Unternehmen ihre DMARC-Bewertung systematisch verbessern und die Policy schrittweise verschärfen – von p=none über p=quarantine bis p=reject – ohne das Risiko einzugehen, legitime E-Mails zu blockieren, weil ein legitimer Absender übersehen wurde.
Invoice Fraud ist kein abstraktes Sicherheitsproblem – es ist eine alltägliche Bedrohung mit konkreten Folgen für Unternehmen auf beiden Seiten des Angriffs.
Auf der Empfängerseite sind klare Prozesse, das Vier-Augen-Prinzip und die telefonische Verifizierung geänderter Bankdaten die wirksamsten Mittel. Auf der Senderseite bilden SPF, DKIM und DMARC das technische Fundament – aber nur, wenn DMARC auch tatsächlich auf p=reject konfiguriert ist.
25Reports bietet intelligentes DMARC Monitoring & Alerting
Der Weg dorthin führt zwingend über gutes Monitoring. Tools wie 25Reports machen diesen Schritt praktikabel: Sie schaffen die Transparenz, die notwendig ist, um die eigene Mailinfrastruktur vollständig zu verstehen – und geben Unternehmen damit die Grundlage, den einzig wirksamen Schutz gegen Domänen-Spoofing sicher und kontrolliert einzuführen.
Mit 25Reports wird DMARC endlich einfach. Die Lösung übernimmt das komplette DMARC Monitoring für Sie – automatisiert, grafisch aufbereitet und natürlich DSGVO-konform. Testen Sie 25Reports jetzt 30 Tage kostenfrei!
