Zum Inhalt springen
← Zurück zum Tool

Phishing und gefälschte Rechnungen bei XRechnung und ZUGFeRD

Gefälschte Rechnungen per E-Mail sind kein neues Problem. Neu ist, dass Rechnungen heute zunehmend als strukturierte E-Rechnungen verschickt werden, etwa als XRechnung oder ZUGFeRD. Nach dem aktuellen Stand der Recherche gibt es zwar keine breit dokumentierte offizielle Fallserie speziell zu XRechnung- oder ZUGFeRD-Phishing. Das macht das Thema aber nicht harmlos: Rechnungs-Phishing ist seit Jahren ein etabliertes Angriffsmuster. Strukturierte E-Rechnungen helfen beim Prüfen, weil sich ihre Daten besser mit eigenen Unterlagen abgleichen lassen. Aber ein Format allein beweist nie, dass eine Rechnung echt ist.

So gehen Sie bei einer verdächtigen E-Rechnung vor

Wenn Sie unsicher sind, hilft ein fester Ablauf. So trennen Sie Plausibilität, Dateityp und inhaltliche Prüfung sauber voneinander:

  1. 1. Plausibilität zuerst prüfen. Schauen Sie auf den gesamten Kontext: Passt der Lieferant, passt der Vorgang, passt der Zeitpunkt? Prüfen Sie die Absender-E-Mail genau, besonders die Domain und nicht nur den Anzeigenamen. Wichtig: Auch eine plausible Absenderadresse ist kein Beweis für Echtheit, weil E-Mail-Absender gefälscht werden können.
  2. 2. Wurde die Rechnung erwartet? Wenn nicht, öffnen oder laden Sie den Anhang nicht. Im Zweifel endet die Prüfung hier schon: Kontaktieren Sie den Lieferanten direkt über einen bekannten, unabhängigen Kanal und nicht per Antwort auf dieselbe E-Mail.
  3. 3. Wenn die E-Mail plausibel wirkt: Dateiendung prüfen. Eine .pdf gilt als weitgehend sicher zum Öffnen. Eine .xml können Sie herunterladen, aber nicht per Doppelklick öffnen, weil rohes XML kaum lesbar ist. Laden Sie die Datei stattdessen bei digital-rechnung.de oder einem anderen vertrauenswürdigen Viewer hoch. Wie Sie prüfen, ob ein externer Dienst sorgsam mit Ihren Daten umgeht, steht hier: Rechnungen sicher bei anderen Diensten öffnen. Vorsicht bei .exe, .bat, .zip, .rar und doppelten Endungen wie Rechnung.pdf.exe.
  4. 4. XML-Inhalt mit Ihren bekannten Daten abgleichen. Prüfen Sie, ob die IBAN bei diesem Absender schon bekannt war, ob Rechnungsnummer, Bestellbezug und Betrag zu Ihren Unterlagen passen und ob der Rechnungsempfänger stimmt. Aber: Eine bekannte IBAN allein reicht nicht. Im Randfall könnte ein Angreifer eine echte, bekannte IBAN verwenden – etwa die einer Bank, bei der Sie regelmäßig Rechnungen erhalten – und nur die Referenz so manipulieren, dass die Zahlung seinem Konto zugute kommt. Stimmt die IBAN, aber die Referenz wirkt unbekannt oder unpassend: nachfragen.
  5. 5. Im Zweifel erneut über einen sicheren Kanal nachfragen. Wenn etwas unklar bleibt, kontaktieren Sie den Lieferanten direkt, wieder nicht per Antwort auf die verdächtige Nachricht, sondern über einen bekannten und unabhängigen Kontaktweg.

Breit dokumentierte Fälle speziell mit XRechnung oder ZUGFeRD sind bislang kaum öffentlich aufgearbeitet. Wer die Prüfung solcher Rechnungen schon jetzt sauber trennt, ist auf eine Problemlage vorbereitet, die mit der weiteren Verbreitung von E-Rechnungen eher sichtbarer werden dürfte.

Was ist das eigentliche Problem bei E-Rechnungen?

Das Problem ist nicht XRechnung oder ZUGFeRD an sich. Das Problem ist die Kombination aus E-Mail, sozialem Druck und manipulierten Zahlungsdaten. Eine Rechnung kann formal sauber wirken und trotzdem auf eine falsche IBAN, einen unpassenden Bestellbezug oder einen erfundenen Kontext hinauslaufen.

Das BSI weist darauf hin, dass angebliche Rechnungen per E-Mail sowohl als Anhang als auch als Link auftauchen können. SECUSO empfiehlt in den Materialien zu betrügerischen Nachrichten und im NoPhish-Kontext, Absender, Anhänge, Links und den gesamten Nachrichteninhalt auf Plausibilität zu prüfen und sich nicht durch Dringlichkeit unter Druck setzen zu lassen. Ergänzend beschreibt das BSI typische Irrtümer bei E-Mail-Sicherheit.

XML-Felder: Vergleich, kein Beweis

Ein häufiger Denkfehler ist: Wenn die XML-Felder plausibel aussehen, wird die Rechnung schon echt sein. Das stimmt nicht. Wer den Absender einer E-Mail fälscht und die Rechnung erstellt, kontrolliert auch alle XML-Felder. IBAN, Rechnungsnummer, Lieferant, Käuferreferenz oder Bestellbezug lassen sich frei setzen.

Der Nutzen der XML liegt deshalb woanders: Sie können strukturierte Daten gegen Ihre eigenen Unterlagen prüfen. Stimmen IBAN, Betrag, Rechnungsnummer, Ansprechpartner oder bekannte Bestellnummern mit Ihren Vorgängen überein? Genau dafür ist XML stark. Aber die Felder sind nur ein Vergleichsinstrument, kein Echtheitsnachweis.

Bei ZUGFeRD sollten außerdem sichtbare PDF und eingebettete XML inhaltlich zusammenpassen. Wenn beide unterschiedliche Angaben enthalten, ist das ein klares Warnsignal. Für öffentliche Auftraggeber ist die Leitweg-ID ein wichtiges Prüffeld, aber ebenfalls nur als Plausibilitätsmerkmal.

Was digital-rechnung.de hilft

digital-rechnung.de macht den Inhalt einer XRechnung oder ZUGFeRD-Datei direkt im Browser sichtbar. Das beglaubigt keinen E-Mail-Absender, aber es macht die Rechnungsdaten schnell lesbar: etwa IBAN, Rechnungssteller, Empfänger, Rechnungsnummer, Beträge, Zahlungsziel und Referenzen.

Gerade bei Verdachtsfällen hilft das, weil Sie strukturierte Angaben zügig mit bekannten Stammdaten, Bestellungen oder früheren Rechnungen abgleichen können.

Wenn doch etwas passiert ist

Wenn Ihnen bereits etwas passiert ist: Solche Angriffe sind oft sehr professionell gemacht. Sie wirken glaubwürdig, kommen im richtigen Moment und treffen auch Menschen, die normalerweise sehr vorsichtig sind. Wirklich jeder kann darauf hereinfallen, unabhängig von Erfahrung oder technischem Hintergrund. Das ist kein persönliches Versagen.

Was dann zählt, ist schnelles Handeln und keine Scham. Sprechen Sie Ihren IT-Administrator oder IT-Dienstleister direkt an und sagen Sie einfach, was passiert ist. Diese Menschen sind für genau solche Situationen da. Wenn Geld an eine falsche IBAN überwiesen wurde, rufen Sie sofort Ihre Bank an, denn das Zeitfenster für eine mögliche Rückholung ist kurz. Wer aus Scham zu lange schweigt, macht die Lage oft nur schwerer und teurer.

Häufige Fragen

Gibt es schon belegte Phishing-Fälle speziell mit XRechnung oder ZUGFeRD?

Nach dem Recherche-Stand vom 12. März 2026 ist in offiziellen und standardnahen Quellen keine breit dokumentierte Fallserie speziell zu XRechnung- oder ZUGFeRD-Phishing zu finden. Das ist eine Einordnung auf Grundlage der Recherche, kein Beweis dafür, dass es solche Fälle nicht geben kann. Allgemeines Rechnungs-Phishing per E-Mail ist dagegen klar belegt.

Kann ich eine gefälschte Rechnung am XML erkennen?

Nicht zuverlässig. Wer Ihnen eine gefälschte Rechnung schickt, kontrolliert auch alle XML-Felder und kann sie mit plausiblen Werten befüllen. XML ist deshalb vor allem zum Abgleich mit Ihren eigenen Daten nützlich, nicht als Echtheitsbeweis.

Ist eine XML-Datei sicher zum Öffnen?

Im Vergleich zu ausführbaren Dateien ist eine .xml meist unkritischer. Trotzdem sollten Sie sie nicht per Doppelklick öffnen, sondern in einem vertrauenswürdigen Viewer prüfen. Wenn die Rechnung gar nicht erwartet wurde, ist schon das Herunterladen nicht der erste Schritt.

Was ist bei öffentlichen Auftraggebern ein wichtiges Prüffeld?

Die Käuferreferenz beziehungsweise Leitweg-ID. Offizielle Informationen des Bundes nennen sie als zentrales Feld für die Zuordnung der Rechnung. Fehlt sie oder passt sie nicht, ist die Rechnung unplausibel. Eine passende Leitweg-ID beweist aber ebenfalls keine Echtheit.

Was prüfe ich bei ZUGFeRD zusätzlich?

Ob sichtbare PDF und eingebettete XML inhaltlich zusammenpassen. ZUGFeRD ist ein Hybridformat. Weichen beide Teile voneinander ab, etwa bei IBAN, Beträgen oder Rechnungsnummern, sollte die Rechnung nicht freigegeben werden, bevor der Widerspruch geklärt ist.

Reicht der Blick auf die IBAN im XML?

Eine bekannte IBAN im XML mit Ihren Stammdaten abzugleichen, ist ein guter erster Schritt und erhöht die Plausibilität deutlich. Sie ist aber keine Garantie. Im Randfall könnte ein Angreifer eine echte, bekannte IBAN verwenden und nur die Referenz oder den Verwendungszweck so manipulieren, dass die Zahlung falsch zugeordnet wird. Prüfen Sie deshalb IBAN, Betrag und Referenz zusammen. Passt Referenz oder Verwendungszweck nicht zu Ihrem bekannten Vorgang, lieber einmal mehr nachfragen.

Ist eine PDF immer unbedenklich?

Eine PDF gilt im Vergleich zu ausführbaren Dateien als weitgehend sicher zum Öffnen. Das beantwortet aber nur die Frage nach dem Dateityp, nicht nach der Echtheit der Rechnung. Auch eine PDF kann falsche Bankdaten oder einen manipulierten Kontext enthalten.

E-Rechnung prüfen → digital-rechnung.de

Jetzt XRechnung oder ZUGFeRD prüfen →