Phishing-Angriff auf die Buchhaltung: Wie ein gefälschtes E-Mail Tausende kostet

Das Szenario

Karoline Jäger arbeitet seit zwölf Jahren in der Buchhaltung der Müller & Söhne Handelsgesellschaft mbH. Sie kennt ihre Arbeit, sie kennt ihre Kollegen und sie kennt die Abläufe. An einem Dienstagmorgen im Februar findet sie eine E-Mail in ihrem Posteingang, die scheinbar von der Geschäftsführung stammt.

Der Absender: "Dr. Thomas Müller, Geschäftsführer". Die E-Mail-Adresse sieht auf den ersten Blick korrekt aus — t.mueller@mueller-soehne.com — doch bei genauerer Betrachtung würde man sehen, dass statt des regulären "ü" ein Unicode-Zeichen verwendet wurde, das optisch identisch aussieht. Die Domain ist eine perfekte Fälschung.

Die Nachricht lautet: "Liebe Frau Jäger, unser Wirtschaftsprüfer benötigt dringend die Lohn- und Gehaltsübersichten aller Mitarbeiter für das vergangene Geschäftsjahr. Die Prüfung wurde kurzfristig vorgezogen. Bitte senden Sie die Unterlagen direkt an die angehängte E-Mail-Adresse unseres Prüfers. Es eilt — die Frist ist morgen. Vertraulich behandeln, bitte informieren Sie vorerst niemanden. Beste Grüße, Dr. Thomas Müller."

Karoline zögert kurz. Aber die E-Mail sieht authentisch aus, der Tonfall stimmt, und der Verweis auf den bekannten Wirtschaftsprüfer erscheint plausibel. Sie öffnet die Gehaltsdatenbank, exportiert die Übersichten und sendet sie an die angegebene Adresse. In den exportierten Dateien befinden sich: vollständige Namen und Adressen von 89 Mitarbeitern, Steuer-IDs und Sozialversicherungsnummern, monatliche Bruttogehälter, Bonuszahlungen und Provisionen, Bankverbindungen für die Gehaltsüberweisung sowie Angaben zu Kirchensteuerpflicht und Steuerklassen.

Erst als sie am Nachmittag Dr. Müller zufällig im Flur trifft und beiläufig erwähnt, dass sie die Unterlagen verschickt hat, wird klar: Er hat diese E-Mail nie geschrieben. Die Daten von 89 Mitarbeitern sind in den Händen von Cyberkriminellen.

Die Risiken

Identitätsdiebstahl aller Mitarbeiter: Die gestohlenen Daten ermöglichen systematischen Identitätsbetrug bei 89 Personen. Kriminelle können mit Steuer-IDs und Bankdaten Konten eröffnen, Kredite beantragen und Waren bestellen — alles auf den Namen ahnungsloser Mitarbeiter.

Gezielter Folgebetrug: Mit dem Wissen über interne Gehaltsstrukturen und Mitarbeiterdaten können die Angreifer weitere, noch überzeugendere Phishing-Angriffe starten. Sie kennen nun die Namen aller Mitarbeiter, ihre Positionen und ihre finanzielle Situation — ideale Grundlagen für maßgeschneiderte Betrugsversuche.

Erpressung des Unternehmens: Die Angreifer könnten drohen, die Gehaltsdaten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Die Veröffentlichung von Gehaltsunterschieden zwischen Mitarbeitern kann zu erheblichen internen Konflikten und Kündigungen führen.

Betriebsklima-Zerstörung: Wenn die Gehälter aller Kollegen bekannt werden, entstehen Neid, Misstrauen und Frustration. Besonders in Unternehmen ohne transparente Gehaltsstrukturen kann dies zu einer Kündigungswelle führen.

Vertrauensverlust gegenüber der Geschäftsführung: Die Mitarbeiter werden sich fragen, warum das Unternehmen ihre sensiblen Daten nicht besser geschützt hat. Das Vertrauen in die IT-Sicherheit und das Management ist nachhaltig beschädigt.

Rechtliche Konsequenzen

Auch wenn der Angriff durch eine externe Partei initiiert wurde, bleibt das Unternehmen nach der DSGVO in der Verantwortung für den Schutz der Mitarbeiterdaten.

Art. 32 DSGVO — Sicherheit der Verarbeitung: Das Unternehmen muss technische und organisatorische Maßnahmen implementieren, die dem Risiko angemessen sind. Dazu gehört die Schulung von Mitarbeitern im Erkennen von Phishing-Angriffen ebenso wie die Einführung sicherer Kommunikationskanäle für sensible Daten. Wenn die Buchhaltung Gehaltsdaten per einfacher E-Mail versenden kann, fehlt es an grundlegenden Schutzmaßnahmen.

Art. 33 DSGVO — Meldepflicht: Der Phishing-Angriff und der daraus resultierende Datenabfluss müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Die Meldung muss die Art der Verletzung, die betroffenen Daten und die ergriffenen Gegenmaßnahmen umfassen.

Art. 34 DSGVO — Benachrichtigung der Betroffenen: Alle 89 Mitarbeiter müssen über den Vorfall informiert werden, einschließlich einer Beschreibung der betroffenen Daten und Empfehlungen zu Schutzmaßnahmen, die sie selbst ergreifen können.

Art. 5 Abs. 1 lit. f DSGVO — Grundsatz der Vertraulichkeit: Die Übermittlung von Gehaltsdaten per unverschlüsselter E-Mail — auch intern — verstößt gegen den Grundsatz, dass personenbezogene Daten mit angemessener Sicherheit verarbeitet werden müssen.

Bußgelder: Aufsichtsbehörden berücksichtigen bei der Bemessung von Bußgeldern, ob das Unternehmen angemessene Schutzmaßnahmen implementiert hatte. Fehlende Phishing-Schulungen und das Fehlen sicherer Kommunikationskanäle für sensible Daten können als Fahrlässigkeit gewertet werden. Bußgelder zwischen 10.000 und 100.000 Euro sind bei vergleichbaren Vorfällen keine Seltenheit.

So hätten Sie es verhindern können

Phishing-Angriffe zielen auf den schwächsten Punkt in der Sicherheitskette: den Menschen. Technische Maßnahmen müssen dafür sorgen, dass ein einzelner Klick nicht zum Totalverlust führt.

1. Sichere Kanäle statt E-Mail: Sensible Daten wie Gehaltslisten sollten niemals per E-Mail versendet werden — auch nicht intern. Mit SendMeSafe Share-Links werden Dokumente über verschlüsselte, passwortgeschützte Links geteilt. Selbst wenn ein Phishing-Angriff eine Mitarbeiterin dazu bringt, einen Link zu erstellen, schützen Passwort und Ablaufdatum vor unbefugtem Zugriff.

2. Upload-Links für externe Anfragen: Wenn ein Wirtschaftsprüfer tatsächlich Unterlagen benötigt, soll er einen Upload-Link erhalten, über den das Unternehmen die Dokumente sicher bereitstellt — nicht umgekehrt. So wird die Kontrolle über den Datenfluss nicht aus der Hand gegeben.

3. Vier-Augen-Prinzip bei sensiblen Daten: Implementieren Sie die Regel, dass Gehaltsdaten, Personalakten und andere hochsensible Informationen nur nach schriftlicher Bestätigung durch eine zweite Person weitergegeben werden dürfen. Ein telefonischer Rückruf beim vermeintlichen Absender hätte den Betrug in diesem Fall sofort aufgedeckt.

4. Vollständiger Audit-Trail: Mit SendMeSafe wird jeder Zugriff auf Dokumente protokolliert. Ungewöhnliche Zugriffsmuster — etwa der Export einer gesamten Gehaltsdatenbank — können erkannt und hinterfragt werden, bevor die Daten das Unternehmen verlassen.

5. Phishing-Awareness-Training: Technische Maßnahmen allein reichen nicht. Regelmäßige Schulungen und simulierte Phishing-Angriffe sensibilisieren Mitarbeiter für die Tricks der Angreifer. In Kombination mit sicheren Kommunikationskanälen entsteht ein wirksamer Schutz.

Fazit

Phishing-Angriffe werden immer raffinierter. Mit KI-generierten Texten, perfekt kopierten Absenderadressen und detailliertem Insiderwissen sind sie selbst für erfahrene Mitarbeiter kaum noch zu erkennen. Die einzig wirksame Verteidigung besteht darin, Systeme zu schaffen, in denen ein einzelner Fehler nicht zur Katastrophe führt.

Wenn sensible Daten wie Gehaltslisten nicht per E-Mail verschickt werden können, wird Phishing zum stumpfen Schwert. SendMeSafe bietet sichere Kommunikationskanäle, die den Datenabfluss verhindern, selbst wenn ein Mitarbeiter auf einen Betrug hereinfällt. Jetzt kostenlos registrieren und die Buchhaltung vor Phishing-Angriffen schützen.

Häufig gestellte Fragen

Wie erkenne ich einen Phishing-Angriff auf die Buchhaltung?

Typische Warnsignale sind ungewöhnliche Dringlichkeit ("Es eilt, Frist ist morgen"), die Bitte um Vertraulichkeit ("Informieren Sie vorerst niemanden"), Anfragen nach Massendaten (alle Gehälter statt einer einzelnen Abrechnung) und leicht veränderte E-Mail-Adressen. Grundsätzlich gilt: Jede ungewöhnliche Anfrage nach sensiblen Daten sollte durch einen Rückruf über die bekannte Telefonnummer — nicht die in der E-Mail angegebene — verifiziert werden.

Haftet die Mitarbeiterin persönlich, wenn sie auf einen Phishing-Angriff hereinfällt?

In der Regel nein, sofern kein vorsätzliches oder grob fahrlässiges Handeln vorliegt. Die Hauptverantwortung liegt beim Unternehmen, das angemessene Schutzmaßnahmen hätte implementieren müssen. Wenn das Unternehmen keine Phishing-Schulungen durchgeführt und keine sicheren Kommunikationskanäle für sensible Daten bereitgestellt hat, trifft die Mitarbeiterin in der Regel keine persönliche Haftung.

Kann eine Cyber-Versicherung die Kosten eines Phishing-Angriffs abdecken?

Viele Cyber-Versicherungen decken Schäden durch Phishing-Angriffe ab, allerdings oft mit Einschränkungen. Versicherer prüfen, ob das Unternehmen angemessene Sicherheitsmaßnahmen implementiert hatte. Fehlende Mitarbeiterschulungen oder das Fehlen technischer Schutzmaßnahmen können zur Leistungskürzung oder -verweigerung führen. Die DSGVO-Bußgelder sind zudem in vielen Policen nicht versicherbar.

Welche Sofortmaßnahmen sollte ich nach einem Phishing-Angriff ergreifen?

Erstens: Alle betroffenen Passwörter und Zugangsdaten sofort ändern. Zweitens: Den Vorfall dem IT-Sicherheitsteam und dem Datenschutzbeauftragten melden. Drittens: Die E-Mail-Adresse des Angreifers blockieren. Viertens: Die Aufsichtsbehörde innerhalb von 72 Stunden informieren. Fünftens: Alle betroffenen Mitarbeiter benachrichtigen und ihnen empfehlen, ihre Bankkonten und Kreditauskünfte zu überwachen.