Wieso man unsignierte PDF-Rechnungen als SPAM behandeln sollte.

Für die Verteilung eines Trojaners und des Erstellens einer Basis für einen erfolgreichen Ransomware-Angriff eignen sich insbesondere Daten, welche den Anschein eines „seriösen“ Dokuments machen. Während traditionell vor allem Bewerbungsdaten verschickt wurden, schwenkt die Betrugsmafia zunehmend auf andere, einfachere Ziele um. Bestens geeignet sind dabei PDF-Rechnungen, da sie sich als Träger eines Trojaners oder anderer Malware perfekt eignen.

Bis vor ein paar Jahren, präzise bis zum 31.12.2016 war die Elektronische Signatur in der Schweiz Pflicht. Wider besseres Wissen und „zur Vereinfachung der administrativen Hürden“ wurde das entsprechende Gesetz dann abgeschafft. Was dann kommen würde, war klar. Gegenwärtig werden Rechnungen ohne irgendwelchen Schutz und Sicherheitsmerkmale  verschickt. Ein Schlaraffenland für Hacker! Nebst der Tatsache, dass dadurch auch Betrugsversuche rund um umgeleitete Zahlung sehr einfach möglich sind, häufen sich PDFs, welche Malware enthalten.

Was kann man dagegen tun? Zur Absicherung von E-Rechnungen wird ein mehrstufiges Sicherheitssystem, sowohl auf der Sender- wie auch der Empfängerseite benötigt. Dazu gehören technische Sicherheitsmassnahmen wie die vertrauenswürdige Authentifizierung aber auch der Aufbau eines Kontrollsystems zur inhaltlichen Verifizierung der gestellten Forderung:

Abb_60_01b_DEFENCE_Sicherheitsdispositiv_E-Rechnung

Alles weitere und Details zur Absicherung erfahren Sie im Praxisleitfaden Information Governance, S. 307ff.

Übrigens: Ein PDF, welches wie eine Rechnung aussieht wird erst dann zum Beleg, wenn deren Inhalt (die Forderung) durch den Rechnungsempfänger verifiziert wurde.