Mittelstand-Digital Zentrum Magdeburg

IT-SicherheitRechnungs-Hack im Handwerk: Urteil zeigt Handlungsbedarf bei IT-Sicherheit

Ein aktuelles Urteil des Landgerichts Koblenz macht deutlich: Wird eine Rechnung per E-Mail manipuliert, kann dem Handwerksbetrieb ein Mitverschulden angelastet werden – wenn grundlegende IT-Sicherheitsmaßnahmen fehlen.

Für Handwerksbetriebe bedeutet das: IT-Sicherheit ist Teil der unternehmerischen Sorgfaltspflicht.



Warum IT-Sicherheit im Handwerk jetzt Chefsache ist

Cyberangriffe treffen längst nicht mehr nur große Konzerne. Gerade kleine und mittlere Handwerksbetriebe geraten zunehmend ins Visier von Cyberkriminellen. Besonders anfällig: der Rechnungsversand per E-Mail.

Manipulierte Bankdaten führen zu Fehlüberweisungen – und im schlimmsten Fall zu Haftungsfragen. Betriebe sollten daher ihre technischen und organisatorischen Schutzmaßnahmen regelmäßig überprüfen.



Rechnungsmanipulation vermeiden – diese Maßnahmen sollten Betriebe prüfen

1. E-Mail-Kommunikation technisch absichern

Der Versand von Rechnungen per E-Mail ist ein zentrales Einfallstor für Cyberkriminalität. Folgende Mindeststandards sollten umgesetzt sein:

  • Einrichtung von SPF, DKIM und DMARC für die eigene Domain
  • Aktivierung der Zwei-Faktor-Authentifizierung (2FA) für alle E-Mail-Konten
  • Verwendung starker, individueller Passwörter sowie eines Passwortmanagers
  • Regelmäßige Updates von Servern, PCs und mobilen Endgeräten
  • Einsatz professioneller Firewall- und Virenschutzlösungen

Empfehlung: IT-Dienstleister oder Hosting-Anbieter gezielt ansprechen und sich die korrekte Einrichtung schriftlich bestätigen lassen. Eine Dokumentation erhöht im Streitfall die Rechtssicherheit.



2. Handwerkersoftware richtig einsetzen und absichern

Viele Betriebe nutzen professionelle Handwerkersoftware oder cloudbasierte Branchenlösungen. Diese Systeme bieten häufig höhere Sicherheitsstandards als einfache E-Mail-Programme.

Wichtig ist jedoch: Die Software allein schützt nicht automatisch vor Manipulationen.

Betriebe sollten klären:

  • Erfolgt der Rechnungsversand über ein abgesichertes Cloud-System oder über das eigene E-Mail-Konto?
  • Ist für alle Nutzerkonten die Zwei-Faktor-Authentifizierung aktiviert?
  • Werden Rollen und Zugriffsrechte konsequent vergeben?
  • Sind Änderungen an Bankverbindungen nachvollziehbar dokumentiert?

Entscheidend ist die korrekte Konfiguration und Nutzung im Betrieb.



3. Klare organisatorische Regeln festlegen

Technische Maßnahmen entfalten ihre Wirkung nur in Verbindung mit klaren internen Abläufen.

Empfehlenswert sind:

  • Hinweis auf jeder Rechnung, dass sich die Bankverbindung nicht ändert

Beispieltext:

„Zur Vermeidung von Betrugsversuchen weisen wir darauf hin, dass sich unsere Bankverbindung nicht ändert. Sollten Ihnen abweichende Zahlungsdaten oder Unstimmigkeiten auffallen, bitten wir um umgehende telefonische Rücksprache unter den Ihnen bekannten Kontaktdaten.“

  • Festgelegter Prozess für Änderungen von Kontodaten
  • Vier-Augen-Prinzip bei Rechnungsfreigaben (insbesondere bei höheren Beträgen)
  • Dokumentation aller Sicherheitsmaßnahmen und internen Regelungen

Eine strukturierte Organisation reduziert das Risiko erheblich und stärkt die Position im Haftungsfall.



4. Mitarbeitende sensibilisieren

Viele Cyberangriffe beginnen mit Phishing-Mails oder manipulierten Kommunikationsverläufen.

Betriebe sollten daher:

  • regelmäßig kurze Schulungen zur Erkennung verdächtiger E-Mails durchführen
  • klare Meldewege für Sicherheitsvorfälle definieren
  • Mitarbeitende im Zahlungsverkehr besonders sensibilisieren

IT-Sicherheit ist Führungsaufgabe und Bestandteil moderner Betriebsführung.



5. Kunden aktiv einbinden

Auch Kunden können zur Risikominimierung beitragen:

  • Kontodatenänderungen ausschließlich nach telefonischer Bestätigung
    Aktive Aufforderung zur Rückfrage bei Unstimmigkeiten
    Klare Kommunikation sicherer Kontaktwege

Transparenz stärkt das Vertrauen und reduziert Fehlüberweisungen.



6. Versicherungsschutz prüfen

Eine Cyberversicherung kann Vermögensschäden durch Rechnungsmanipulation abdecken. Wichtig sind:

  • Absicherung von Zahlungsverkehrs- und Betrugsschäden
  • Unterstützung bei IT-Forensik und Krisenkommunikation
  • Klare Regelungen zu Mitwirkungspflichten im Schadensfall


Fazit: IT-Sicherheit schützt vor finanziellen und rechtlichen Risiken

Cyberrisiken gehören inzwischen zum betrieblichen Alltag. Wer technische, organisatorische und personelle Schutzmaßnahmen kombiniert, reduziert nicht nur das Schadensrisiko – sondern stärkt auch die eigene Rechtsposition.

Handwerksbetriebe sollten ihre digitalen Prozesse regelmäßig überprüfen, Verantwortlichkeiten klar definieren und bei Bedarf externe fachliche Unterstützung hinzuziehen.



Jetzt handeln: Beratung und Praxiswissen nutzen

  • Individuelle Beratung zur IT-Sicherheit im Handwerk
  • Informationsveranstaltungen und Fachseminare
  • Unterstützung bei der Umsetzung konkreter Maßnahmen

Sie möchten wissen, wo Ihr Betrieb steht und welche Schritte sinnvoll sind?

Kontaktieren Sie uns für eine individuelle Beratung.



Praxisveranstaltung: Ein Klick zu viel: Wie Unternehmen gehackt werden und was hilft

Ein einziger Klick, eine täuschend echte E-Mail oder ein vermeintlich harmloser Anruf – Cyberangriffe beginnen oft unscheinbar, können jedoch gravierende Folgen haben. Von Datenverlust bis hin zum vollständigen Stillstand des Betriebs reicht die Bandbreite möglicher Schäden.

In der Veranstaltung erfahren Betriebe praxisnah:

  • wie Cyberangriffe entstehen
  • welche typischen Schwachstellen es gibt
  • welche konkreten Schutzmaßnahmen wirklich helfen

Wann? 10. März 2026
Uhrzeit? 11:00 bis 16:00 Uhr
Wo? Tagungszentrum der IHK Magdeburg, Alter Markt 8, 39104 Magdeburg

Zur Anmeldung



IT-Sicherheit ist Führungsaufgabe

Cyberrisiken gehören zum betrieblichen Alltag. Wer technische, organisatorische und personelle Schutzmaßnahmen kombiniert, reduziert nicht nur das Schadensrisiko – sondern stärkt auch die eigene Rechtsposition. Digitale Prozesse sollten regelmäßig überprüft und angepasst werden.

IT-Sicherheit ist kein einmaliges Projekt – sondern ein kontinuierlicher Prozess. Nutzen Sie unsere Informationsangebote und Beratungsleistungen, um Ihren Betrieb technisch, organisatorisch und rechtlich zukunftssicher aufzustellen.

Sprechen Sie uns an.



Ansprechperson:

Karsten Gäde

Berater für Innovation und Technologie (BIT)
IT-Sicherheitsbotschafter im Handwerk
CSR-Manager

Tel. 0391 6268-212

Fax 0391 6268-110

kgaede--at--hwk-magdeburg.de