Ab 2027 wird die E-Rechnung für Unternehmen in Deutschland verpflichtend. Die Management-Expertin Jane Enny van Lambalgen warnt: Die Umstellung auf digital verarbeitbare Rechnungsformate öffnet Cyberkriminellen Tür und Tor. Besonders ERP-Systeme im Mittelstand geraten dadurch ins Fadenkreuz. Die Expertin fordert dringende Gegenmaßnahmen und eine engere Verzahnung von ERP- und Cybersicherheit.
Mit der verpflichtenden Einführung digital verarbeitbarer Rechnungen steht eine tiefgreifende Veränderung im betrieblichen Zahlungsverkehr bevor. Ab Januar 2027 dürfen Unternehmen ihre Rechnungen nur noch in strukturierten Formaten wie XRechnung oder ZUGFeRD versenden. Diese Umstellung soll die digitale Effizienz erhöhen – doch sie bringt auch erhebliche Sicherheitsrisiken mit sich.
Die Management-Expertin Jane Enny van Lambalgen schlägt Alarm: „Das öffnet ein Scheunentor für eine neue Cyber-Angriffswelle.“
Als CEO der Beratungsfirma Planet Industrial Excellence beschäftigt sie sich intensiv mit der Schnittstelle zwischen Digitalisierung und Sicherheit – und sieht in der E-Rechnung eine bisher unterschätzte Bedrohung.
Malware per Rechnung: Die unterschätzte Gefahr
„Der Übergang von PDF-Rechnungen zu den verarbeitbaren neuen Formaten birgt erhebliche Risiken, auf die weder die Cybersicherheitsfirmen noch die ERP-Hersteller ausreichend vorbereitet sind“, erklärt van Lambalgen. Sie rechnet mit einer „Flut digitaler Todes-Rechnungen“, die Malware, Ransomware oder Trojaner in ERP-Systeme einschleusen könnten.
Besonders problematisch: Diese Systeme bilden das digitale Rückgrat vieler Unternehmen. Laut einer Studie des ERP-Herstellers Planat betrachten über 90 Prozent der mittelständischen Industrieunternehmen ihre ERP-Lösung als zentrales Element der Digitalisierungsstrategie.
„Cyberkriminelle, die Eingang ins ERP-System finden, stoßen damit in das Herzstück der Digitalisierung vor“, warnt van Lambalgen.
Die verbleibende Vorbereitungszeit sei knapp, deshalb müssten Unternehmen und Systemanbieter jetzt handeln.
Mittelstand beginnt mit der Umstellung – unter hohem Druck
Bisher setzen laut Bitkom rund 78 Prozent der Unternehmen – insbesondere im Mittelstand – auf das PDF-Format. Doch der gesetzliche Druck zeigt Wirkung: Bereits ab Herbst 2025 beginnen viele Betriebe mit der Anpassung ihrer ERP-Systeme. Laut IHK-Umfragen wollen über 60 Prozent der Unternehmen ihre Systeme bis Ende 2026 umrüsten, um die Frist einzuhalten.
Van Lambalgen warnt jedoch: „Die neue gesetzliche Regelung vergrößert die Angriffsfläche der Wirtschaft für Cyberkriminelle dramatisch.“ Die Verantwortung bleibe bei den Unternehmen – trotz wachsender Anforderungen. „Die Politik macht es sich sehr einfach, indem sie die Wirtschaft einerseits zur Umstellung zwingt, und andererseits die Cyberabwehr den Unternehmen überlässt, und das sogar mit steigenden Sicherheitsauflagen. Das ist im Grunde eine Wasch-mich-aber-mach-mich-nicht-nass-Politik auf Kosten der Wirtschaft.“
ERP meets Cybersecurity – aber nicht auf Augenhöhe
Ein zentrales Problem sieht die Expertin in der mangelnden Kommunikation zwischen ERP- und Cybersicherheitsanbietern. „ERP-Hersteller und Cybersecurity-Anbieter sprechen oft unterschiedliche Sprachen“, stellt van Lambalgen fest. Eine aktuelle PwC-Studie zeigt: Nur 29 Prozent der mittelständischen Unternehmen verfügen über eine integrierte Sicherheitsstrategie für ihre ERP-Systeme.
„Die ERP-Welt ist für die Cybersecurity-Branche oft ein Buch mit sieben Siegeln“, so van Lambalgen.
Gleichzeitig fehle ERP-Herstellern vielfach das tiefere Verständnis für IT-Bedrohungen. Daraus entstehe eine gefährliche Lücke – gerade im Hinblick auf die verpflichtende E-Rechnung.
Handlungsempfehlungen für Unternehmen
Um sich vor den kommenden Bedrohungen zu schützen, empfiehlt Jane Enny van Lambalgen vier zentrale Maßnahmen:
- Mitarbeiterschulungen: Regelmäßige Trainings helfen, Phishing-Versuche und manipulierte Rechnungen zu erkennen.
- Sichere ERP-Integration: Echtzeit-Tools mit KI-basierter Anomalie-Erkennung sollten den Rechnungseingang überwachen.
- Zusammenarbeit stärken: ERP- und Cybersecurity-Anbieter sollten gemeinsame Schnittstellen definieren und absichern.
- Zero-Trust-Ansatz: Jede eingehende Rechnung muss validiert werden, bevor sie verarbeitet wird.
„Unternehmen müssen jetzt handeln, um eine Flut digitaler Todes-Rechnungen ab 2027 zu verhindern“, warnt van Lambalgen. Zwar sei die Umstellung auf E-Rechnungen unausweichlich, doch ohne begleitende Sicherheitskonzepte drohten erhebliche Schäden. „Sie wird sonst zur Achillesferse der Unternehmenssicherheit.“
Alarmierende Zahlen aus der IT-Sicherheitslage
Die Warnung der Expertin ist nicht unbegründet. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) stieg die Zahl der Cyberangriffe auf deutsche Unternehmen im Jahr 2024 um 28 Prozent gegenüber dem Vorjahr. Besonders betroffen ist der Mittelstand: Laut Bitkom haben 53 Prozent der Firmen mit weniger als 250 Beschäftigten unzureichende Schutzmaßnahmen.
Hinzu kommt: Eine Analyse des Sicherheitsanbieters Kaspersky zeigt, dass 43 Prozent der Cyberangriffe über infizierte E-Mail-Anhänge erfolgen. Digitale Rechnungen könnten diesen Anteil weiter erhöhen.
„ Die Chance, in die ERP-Systeme der deutschen Wirtschaft einzudringen, dürfte die Motivation der Cyberkriminellen deutlich anstacheln“, sagt van Lambalgen.
Ausblick: Weckruf für ERP-Hersteller
Die Zeit bis zur gesetzlichen Umstellung ist knapp. Viele Unternehmen stehen vor der Herausforderung, ihre Systeme nicht nur technisch, sondern auch sicherheitstechnisch zu modernisieren. Die Management-Expertin ruft die Branche deshalb zur Zusammenarbeit auf – nicht zuletzt im Interesse der digitalen Resilienz.
Ein Zeichen dafür will sie auch mit der bevorstehenden Buchveröffentlichung setzen. Am 28. Oktober stellt sie im Presseclub München ihr neues Werk „Wirtschaftswende jetzt!“ vor. Weitere Informationen finden Sie hier.
Jane Enny van Lambalgen ist Founding Partner und Geschäftsführerin der Firma Planet Industrial Excellence.
Quelle: Claduia BauJane Enny van Lambalgen, CEO von Planet Industrial Excellence
Weitere Informationen zu Planet Industrial Excellence finden Sie hier.