E-Invoicing Security
Sicherheit

Sicherheit bei der elektronischen Rechnungsstellung: Schutz vor Manipulationen

20. Februar 202512 min Lesezeit

Die elektronische Rechnungsstellung bietet enorme Effizienzvorteile, bringt jedoch auch neue Sicherheitsherausforderungen mit sich. Insbesondere beim Versand von XML-Rechnungen per E-Mail besteht die Gefahr der Manipulation – beispielsweise durch das Einfügen falscher Bankverbindungen. Ein sicherer, manipulationsfreier Workflow ist daher unerlässlich.

Das Problem: E-Mail und XML-Manipulation

E-Mail ist nach wie vor der am häufigsten genutzte Kanal für den Rechnungsversand in Deutschland. Dies hat sich insbesondere mit PDF-Rechnungen etabliert, die das Drucken und Versenden physischer Rechnungen weitgehend ersetzt haben. PDF-Dokumente galten lange als relativ manipulationssicher.

Mit dem Übergang zu strukturierten XML-Formaten (wie XRechnung oder ZUGFeRD) entstehen jedoch neue Angriffsvektoren:

Manipulation der Bankdaten:

Angreifer können IBAN und BIC im XML-Datensatz ändern und Zahlungen auf eigene Konten umleiten.

Änderung von Beträgen:

Rechnungssummen oder Einzelpositionen können nachträglich verändert werden.

Man-in-the-Middle-Angriffe:

Bei unverschlüsseltem E-Mail-Versand können Rechnungen abgefangen und manipuliert werden.

Phishing-Attacken:

Gefälschte Rechnungen mit manipulierten Daten werden im Namen bekannter Unternehmen versendet.

Wichtig: Wichtig: Für B2C-Szenarien (Geschäft mit Endverbrauchern) wird auch nach der E-Rechnungspflicht weiterhin der PDF-Versand per E-Mail die gängige Praxis bleiben.

Lösung 1: PEPPOL – Das sichere Netzwerk

PEPPOL (Pan-European Public Procurement OnLine) ist ein internationales Netzwerk für den standardisierten und sicheren Austausch von Geschäftsdokumenten. Über PEPPOL werden Rechnungen nicht per E-Mail, sondern über zertifizierte Access Points verschickt.

Vorteile von PEPPOL:

  • Manipulationssichere Übertragung durch verschlüsselte Kanäle
  • Authentifizierung von Sender und Empfänger
  • Tracking und Zustellbestätigung
  • Internationale Kompatibilität (weltweit verbreitet)

Typischer PEPPOL-Setup:

  1. Registrierung bei einem PEPPOL Access Point Provider
  2. Integration des Access Points in das ERP-System
  3. Konfiguration der Dokumentenformate (meist UBL oder CII)
  4. Schulung der Mitarbeiter
  5. Produktivsetzung und laufender Betrieb

Kosten:

  • Einmalige Einrichtung: 500 € - 5.000 € (abhängig vom Anbieter und Integrationsaufwand)
  • Setup-Projekt für größere Unternehmen: 10.000 € - 100.000 €
  • Monatliche Gebühren: 50 € - 2.000 € (volumenabhängig)
  • Kleinunternehmen: ca. 50 € - 500 € / Monat
  • Mittelständische Unternehmen: ca. 500 € - 2.000 € / Monat

Die Herausforderung:

Beide Seiten (Sender und Empfänger) müssen PEPPOL-fähig sein. Dies erfordert oft erheblichen Aufwand bei Geschäftspartnern, die noch nicht angebunden sind. Die Implementierung kann je nach Komplexität 1-8 Wochen dauern.

Nach ViDA: Nach ViDA: Mit der geplanten zentralen EU-Plattform könnte PEPPOL langfristig an Bedeutung verlieren, da staatliche Systeme die Rolle der Access Points übernehmen. Investitionen in PEPPOL könnten dann zu versunkenen Kosten werden.

Lösung 2: EDI – Der Industriestandard

Electronic Data Interchange (EDI) ist seit Jahrzehnten der dominierende Standard in der Industrie für den globalen Austausch von Geschäftsdokumenten. EDI nutzt standardisierte Formate (z.B. EDIFACT, ANSI X12) und sichere Übertragungsprotokolle.

Sicherheitsmerkmale:

  • Verschlüsselte Übertragung über sichere Protokolle (AS2, OFTP, SFTP)
  • Digitale Signaturen zur Authentifizierung
  • Integritätsprüfung durch Checksummen
  • Zugriffskontrolle und Autorisierung
  • Audit-Trail für alle Transaktionen

Vorteile:

  • Manipulationssichere Übertragung
  • Hohe Automatisierung und Geschwindigkeit
  • Etablierte Netzwerke in vielen Branchen
  • Zuverlässige Zustellung und Tracking

Nachteile:

  • Sehr hoher Implementierungsaufwand (Wochen bis Monate)
  • Hohe Kosten für Setup und Betrieb
  • Komplexe Standards und Mapping-Anforderungen
  • Vendor Lock-in bei EDI-Providern
  • Nur wirtschaftlich bei hohem Transaktionsvolumen

EDI ist ideal für große Unternehmen mit umfangreichen, globalen Lieferketten, jedoch für KMU oft zu aufwändig und kostspielig.

Lösung 3: ZUGFeRD – Der pragmatische Hybrid-Ansatz

ZUGFeRD (Zentraler User Guide des Forums elektronischer Rechnung Deutschland) ist ein hybrides Format, das ein<bos> menschenlesbares PDF/A-3-Dokument mit eingebetteten XML-Daten (Factur-X) kombiniert. Es ist speziell für den deutschen und französischen Markt entwickelt worden.

So funktioniert ZUGFeRD:

  • Die Rechnung besteht aus einem PDF/A-3-Dokument (visuell lesbar)
  • Im PDF sind strukturierte XML-Daten eingebettet (maschinenlesbar)
  • Empfänger können die Rechnung sowohl manuell (PDF) als auch automatisiert (XML) verarbeiten
  • Abwärtskompatibel: Kann wie eine normale PDF-Rechnung geöffnet werden

Sicherheit durch digitale Signaturen:

ZUGFeRD unterstützt PDF Advanced Electronic Signatures (PAdES), wodurch Manipulationen verhindert werden können. Signierte ZUGFeRD-Rechnungen erfüllen die Anforderungen der GoBD für manipulationssichere, langfristige Archivierung.

  • Integrität: Jede Änderung macht die Signatur ungültig
  • Authentizität: Bestätigung des Absenders
  • Langfristige Gültigkeit: PAdES-Signaturen bleiben auch bei veralteten Algorithmen gültig

Vorteile:

  • Keine spezielle Infrastruktur nötig – funktioniert mit E-Mail
  • Kann in bestehende Prozesse integriert werden (kein Bruch)
  • Sowohl für automatisierte als auch manuelle Verarbeitung geeignet
  • Niedrige Einstiegshürde und Kosten
  • Keine Abhängigkeit von Drittanbietern oder Netzwerken

Internationale Kompatibilität:

ZUGFeRD basiert auf dem UN/CEFACT Cross Industry Invoice (CII) Standard, einem international anerkannten Format. Die meisten großen ERP-Systeme (SAP, Microsoft Dynamics, DATEV, etc.) unterstützen CII oder hybride PDF/A-3-Formate, oft als Add-on.

Spanien führt aktuell eine ViDA-konforme B2B-E-Invoicing-Pflicht ein, die CII / EN16931 unterstützt – womit ZUGFeRD de facto kompatibel wird.

ZUGFeRD ist somit europaweit technisch kompatibel, auch wenn es nicht überall als offizielles Format geführt wird.

GoBD und Archivierung: Rechtliche Anforderungen

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD) regeln in Deutschland die Anforderungen an die digitale Archivierung.

Anforderungen an E-Rechnungen:

  • Aufbewahrungspflicht: 8 Jahre für steuerrelevante Dokumente
  • Unveränderbarkeit: Rechnungen müssen manipulationssicher gespeichert werden
  • Maschinenlesbarkeit: Bei strukturierten E-Rechnungen (ZUGFeRD, XRechnung) ist die XML-Komponente das rechtlich relevante Element
  • Nachvollziehbarkeit: Vollständige Prozessdokumentation erforderlich
  • Zugriffssicherheit: Schutz vor unbefugtem Zugriff

Archivierung von ZUGFeRD:

Laut GoBD 2025:

  • Die XML-Komponente ist das rechtlich relevante Element
  • Ein separates PDF muss nicht gespeichert werden, wenn aus dem XML eine lesbare Darstellung generiert werden kann
  • Das Originalformat der empfangenen Rechnung muss immer gespeichert werden
  • Auch bei interner Konvertierung muss das Original im Archiv verbleiben

Geeignete Archivierungssysteme:

  • Revisionssichere DMS (Dokumentenmanagementsysteme)
  • Cloud-Archivsysteme mit GoBD-Zertifizierung
  • ERP-integrierte Archivlösungen
  • Spezielle E-Rechnungs-Archivierungsplattformen
Unsere Empfehlung: ZUGFeRD + E-Mail

Aus unserer langjährigen Beratungserfahrung empfehlen wir für die meisten Unternehmen – insbesondere KMU – den Einsatz von ZUGFeRD in Kombination mit digitalem Signieren und E-Mail-Versand.

Warum?

Pragmatisch:

Funktioniert ohne spezielle Infrastruktur und kann in bestehende Prozesse integriert werden.

Kostengünstig:

Keine hohen Setup- oder Betriebskosten wie bei PEPPOL oder EDI.

Sicher:

Mit digitaler Signatur manipulationssicher und GoBD-konform.

Zukunftssicher:

Basiert auf internationalen Standards (CII / EN16931) und ist kompatibel mit ViDA.

Flexibel:

Sowohl für automatisierte als auch manuelle Verarbeitung geeignet.

Weitreichende Unterstützung:

Auch wenn ZUGFeRD primär in Deutschland und Frankreich verbreitet ist, können die meisten ERP-Systeme weltweit CII-basierte Rechnungen verarbeiten.

Wann PEPPOL sinnvoll ist:

  • Viele Geschäftspartner sind bereits PEPPOL-angebunden
  • Öffentliche Auftraggeber verlangen PEPPOL
  • Hoher internationaler Rechnungsverkehr in PEPPOL-Netzwerken

Wann EDI sinnvoll ist:

  • Großunternehmen mit globalen Lieferketten
  • Sehr hohe Transaktionsvolumen (tausende Rechnungen pro Monat)
  • Branche mit etablierter EDI-Infrastruktur (Automotive, Einzelhandel)
Fazit

Die Sicherheit bei der elektronischen Rechnungsstellung ist kein Hexenwerk, erfordert jedoch eine durchdachte Strategie. Während PEPPOL und EDI in bestimmten Szenarien ihre Berechtigung haben, bietet ZUGFeRD für die meisten Unternehmen die beste Balance aus Sicherheit, Kosten und Praktikabilität.

Mit Blick auf ViDA und die kommenden EU-weiten Regelungen ist ZUGFeRD aufgrund seiner Standardkonformität (CII / EN16931) gut positioniert. Investitionen in dieses Format sind damit auch langfristig sinnvoll.

In unserer Beratungspraxis kommen wir immer wieder zu dem Schluss: Für die meisten deutschen und europäischen Unternehmen ist ZUGFeRD mit digitaler Signatur und E-Mail-Versand die optimale Lösung.

Sichere E-Rechnungen mit RechnungsAPI

Erstellen Sie manipulationssichere ZUGFeRD-Rechnungen mit unserer API. Inklusive digitaler Signatur und GoBD-konformer Archivierung.

Zurück zum Blog