Zum Hauptinhalt springen
vernetzte kompetenz sicherheitsmanagement

© stock.adobe.com/#820997313 

Expertin warnt vor „Flut digitaler Todes-Rechnungen“

Ab 2027 müssen Unternehmen in Deutschland gemäß der EU-Richtlinie 2014/55/EU und dem deutschen E-Rechnungsgesetz Rechnungen an Firmen und Behörden in strukturierten, digital verarbeitbaren Formaten wie „ZUGFeRD“ oder „XRechnung“ versenden.

„Das öffnet ein Scheunentor für eine neue Cyber-Angriffswelle“, warnt Jane Enny van Lambalgen, CEO der Beratungs- und Managementfirma Planet Industrial Excellence. Der Hintergrund: Cyberkriminelle können die digital verarbeitbaren Rechnungen leicht infiltrieren, so dass damit Malware verschickt wird. Beim bisher vor allem im Mittelstand üblicherweise verwendeten PDF-Format war diese Gefahr nahezu auszuschließen.

„Der Übergang von PDF-Rechnungen zu den verarbeitbaren neuen Formaten birgt erhebliche Risiken, auf die weder die Cybersicherheitsfirmen noch die ERP-Hersteller ausreichend vorbereitet sind“, erklärt Jane Enny van Lambalgen. Sie befürchtet ab 2027 „eine Flut digitaler Todes-Rechnungen, mit denen Computerschädlinge, Erpressungssoftware und ähnliche Abscheulichkeiten in die Rechnungseingangs­systeme von Unternehmen und Behörden gespült werden.“ Die Expertin appelliert vor allen an die Hersteller der Systeme für Enterprise Resource Plannung (ERP), ihre Rechnungsfunktionalität auf die erwartete neue Angriffswelle vorzubereiten. Angesichts von weniger als anderthalb Jahren bis zur Änderung der Rechtslage sei Eile geboten. Sie gibt zu bedenken: „Cyberkriminelle, die Eingang ins ERP-System finden, stoßen damit in das Herzstück der Digitalisierung vor.“ Eine Umfrage des ERP-Herstellers Planat hatte 2024 zutage gefördert, dass für über 90 Prozent der mittelständischen Industrie Enterprise Resource Planning das Schlüsselsystem der Digitalisierungsstrategie darstellt, umreißt Jane Enny van Lambalgen die Tragweite.

Eine tickende Zeitbombe in ERP-Systemen

Die Management-Expertin verweist auf eine Studie des IT-Branchenverbandes Bitkom aus dem letzten Jahr, wonach 78 Prozent der Unternehmen – vor allem im Mittelstand – Rechnungen im PDF-Format verschicken. Doch angesichts des gesetzlichen Drucks startet die mittelständische Wirtschaft in diesem Herbst im großen Stil mit der Anpassung ihrer ERP-Systeme auf die neuen Formate, weiß Jane Enny van Lambalgen aus zahlreichen Anfragen nach Unterstützung bei dieser Veränderung. IHK-Umfragen zufolge planen mehr als 60 Prozent der mittelständischen Unternehmen, ihre Systeme bis Ende 2026 umzustellen, um die Frist einzuhalten.

„Die neue gesetzliche Regelung vergrößert die Angriffsfläche der Wirtschaft für Cyberkriminelle dramatisch“, weist die Management-Expertin auf einen Aspekt hin, dem der Gesetzgeber ihrer Einschätzung nach zu wenig Aufmerksamkeit geschenkt hat. „Die Politik macht es sich sehr einfach“, sagt sie, „indem sie die Wirtschaft einerseits zur Umstellung zwingt, und andererseits die Cyberabwehr den Unternehmen überlässt, und das sogar mit steigenden Sicherheitsauflagen. Das ist im Grunde eine Wasch-mich-aber-mach-mich-nicht-nass-Politik auf Kosten der Wirtschaft.“

Jane Enny van Lambalgen erläutert: „Eine Analyse von Kaspersky aus dem letzten Jahr zeigt, dass 43 Prozent der Cyberangriffe auf Unternehmen über infizierte E-Mail-Anhänge erfolgen, und E-Rechnungen könnten diese Statistik in den kommenden Jahren in die Höhe treiben.“ Die Chance, in die ERP-Systeme der deutschen Wirtschaft einzudringen, dürfte die Motivation der Cyberkriminellen deutlich anstacheln, befürchtet die Management-Expertin.

„ERP meets Cybersecurity“: Ein Kulturschock

„ERP-Hersteller und Cybersecurity-Anbieter sprechen oft unterschiedliche Sprachen“, erklärt Jane Enny van Lambalgen warum die Schnittstelle zwischen ERP-Systemen und Cybersicherheit besonders mittelständische Unternehmen vor Herausforderungen stellt. Sie führt eine aktuelle Studie der Wirtschaftsprüfungs­gesellschaft PwC an, wonach nur 29 Prozent der deutschen Mittelständler eine integrierte Sicherheits­strategie für ihre ERP-Systeme aufweisen. „Die ERP-Welt ist für die Cybersecurity-Branche oft ein Buch mit sieben Siegeln, und umgekehrt fehlt ERP-Herstellern das tiefere Verständnis für Cyberbedrohungen“, erklärt die Expertin.

Handlungsempfehlungen für Unternehmen

  • Jane Enny van Lambalgen, die als Interim Manager zahlreiche Unternehmen bei der Digitalisierung unterstützt, empfiehlt dringend folgende Maßnahmen:
  • Mitarbeiterschulungen: Regelmäßige Trainings, um Phishing und manipulierte Rechnungen zu erkennen.
  • Sichere ERP-Integration: Implementierung von Echtzeit-Überprüfungstools für eingehende Rechnungen, zum Beispiel durch KI-basierte Anomalie-Erkennung.
  • Zusammenarbeit: Engere Kooperation zwischen ERP- und Cybersecurity-Anbietern, um Schnittstellen abzusichern.
  • Zero-Trust-Architektur: Jede eingehende Rechnung sollte verifiziert werden, bevor sie verarbeitet wird.
  • „Unternehmen müssen jetzt handeln, um eine Flut digitaler Todes-Rechnungen ab 2027 zu verhindern“, mahnt van Lambalgen. „Die Umstellung auf E-Rechnungen ist unausweichlich, aber ohne Cybersicher­heit wird sie zur Achillesferse der Unternehmenssicherheit.“

Hintergrund: Cyberangriffe auf dem Vormarsch

Jane Enny van Lambalgen skizziert die Bedrohungslage eindringlich: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) stieg die Zahl der Cyberangriffe auf deutsche Unternehmen 2024 um 28 Prozent im Vergleich zu 2023. Besonders der Mittelstand ist betroffen, da 53 Prozent der Firmen mit weniger als 250 Mitarbeitern laut Bitkom unzureichende Sicherheitsvorkehrungen haben.

-PM Planet Industrial Excellence-