Achtung Betrugsmasche: Manipulierte Rechnungen per E-Mail – es droht eine doppelte Zahlung!
Digitale Kommunikation ist auch im geschäftlichen Alltag allgegenwärtig und bietet Betrügern immer neue Angriffsflächen für cyber-kriminelle Betrugsmaschen. Eine relativ neue Betrugsmasche ist die Manipulation einer per E-Mail versendeten Rechnung.
Bei dieser Betrugsmasche hacken sich die Täter in den E-Mail-Server des Verkäufers oder des Käufers oder fangen die E-Mail auf anderem Weg ab und greifen dabei Zahlungsdetails ab. Im Anschluss versenden die Täter eine E-Mail, die scheinbar von dem Verkäufer stammt, ändern hingegen die Bankverbindung, an die die offene Kaufpreiszahlung gezahlt werden soll. Da die Rechnung ansonsten täuschend echt aussieht, überweist der Käufer an die falsche Bankverbindung. Erst wenn dann der Käufer vom Verkäufer eine Mahnung wegen fehlender Zahlung erhält, fällt der Betrug auf. Doch dann ist es meist schon zu spät und der Kontoinhaber des lediglich vermeintlich richtigen Kontos nicht mehr greifbar.
Doch wer trägt hier das Risiko für die Zahlung auf eine falsche Kontoverbindung?
Das OLG Karlsruhe hatte im letzten Jahr entschieden, dass die Zahlung des Käufers auf das falsche Bankkonto keine Erfüllungswirkung habe, d.h., der Käufer wurde verurteilt, den Kaufpreis noch einmal an den Verkäufer zu zahlen (OLG Karlsruhe, Urteil v. 27.07.2023 - 19 U 83/22). In dem vom Gericht entschiedenen Fall hatte ein Unternehmer ein gebrauchtes Fahrzeug von einem Händler gekauft. Die Rechnung wurde auf Wunsch des Kunden per E-Mail an diesen geschickt. Zwei Minuten nach Erhalt der ersten E-Mail erhielt der Käufer eine zweite E-Mail, die scheinbar ebenfalls vom Händler stammte. In dieser E-Mail war eine Rechnung über denselben Betrag angehangen, allerdings mit einer anderen Bankverbindung. Der Käufer zahlte den Kaufpreis schließlich auf das in der zweiten E-Mail genannte Konto.
Das Gericht hatte festgestellt, dass für den Fall, dass der Versender der Rechnung keine ausreichenden Sicherheitsmaßnahmen gegen Hacking-Angriffe ergriffen hat, dem Käufer zwar grundsätzlich ein Schadensersatzanspruch gegen den Verkäufer zustehen könnte, der dem Erfüllungsanspruch dann entgegengehalten werden könnte. Im vorliegenden Fall hatte das Gericht einen solchen Schadensersatzanspruch des Verkäufers jedenfalls verneint, weil letztlich unklar geblieben sei, wie genau die zweite Mail mit den geänderten Kontenverbindungsdaten von der E-Mail-Adresse des Verkäufers versendet werden konnte, jedenfalls eine Sorgfaltspflichtverletzung in diesem Zusammenhang nicht erkennbar sei.
Das OLG Karlsruhe stellt fest, dass keine gesetzlichen Vorgaben zur Verschlüsselung von E-Mails im Geschäftsverkehr existieren. Daher "bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit". Mit Blick auf den E-Mail-Versand sieht das Gericht – jedenfalls im Rahmen von sog. B2B-Geschäften (beide Parteien sind Unternehmer) – grundsätzlich keine Pflicht zu besonderen Sicherheitsvorkehrungen. Auch ist beispielsweise keine Ende-zu-Ende-Verschlüsselung verpflichtend.
Unter Umständen kann dem Käufer sogar ein Mitverschulden zur Last gelegt werden, wenn Umstände vorliegen, die den Käufer hätten stutzig machen müssen. Doch hier entscheiden die Umstände des jeweiligen Einzelfalls.
Praxishinweis: Um zu verhindern, Opfer dieser Betrugsmasche zu werden, wird insbesondere auch mit Blick auf dieses Urteil empfohlen, vor der Zahlung auf eine per E-Mail erhaltene Rechnung die angegebene Kontoverbindung dahingehend zu überprüfen, ob die E-Mail tatsächlich von dem Verkäufer stammt, ob Rechtschreibfehler oder Ähnliches in der Mail vorhanden sind und vor allem, ob die angegebene Kontoverbindung tatsächlich zum Verkäufer gehört. Dies kann z.B. durch einen Anruf beim Verkäufer oder durch einen Blick in weitere Vertragsunterlagen schnell überprüft werden.