Conto pro Diabolo (CPD) oder auch „Konto des Teufels“

Als Nachtrag auf das Blogthema zur Nutzung von CPD Konten, haben wir von einem unserer treuen Leser zwei reale Szenarien aus der Prüferpraxis erhalten, die wir Ihnen natürlich nicht vorenthalten wollen. Einerseits handelt es sich dabei um ein sehr aktuelles Thema: Akzeptanz von E-Rechnung und andererseits um eine Gefahr, die ihren Ursprung im Bereich der Security hat: Der fiese „Man-in-the-Middle“ Angriff.

Reaktion auf die Serie der Nutzung von CPD Konten

Die Rechnung im Zeitalter des Neulands (Internets)

Seit Anfang Juli 2011 sind in Deutschland mit der Umsetzung der EU-Richtlinie 2010/45/EU elektronische Rechnungen (auch E-Rechnungen genannt) und klassische Papierrechnungen durch eine Änderung des §14 Umsatzsteuergesetz gleichgestellt. Das Ziel des Vorhabens war es Geschäftsprozesse einfacher und effizienter zu gestalten.

Lediglich die folgenden Voraussetzungen müssen bei der Nutzung von E-Rechnungen erfüllt sein (von Wikipedia):

  1. der Rechnungsempfänger muss der elektronischen Rechnung zustimmen
  2. sie muss in einem elektronischen Format (z.B. .pdf) ausgestellt, gesendet, empfangen und verarbeitet werden
  3. menschliche Lesbarkeit muss gegeben sein
  4. es muss die Echtheit der Herkunft garantiert sein (z.B. digitale Signatur oder internes Kontrollverfahren)
  5. es muss die Unversehrtheit der Rechnung garantiert sein
  6. alle weiteren Rechnungsmerkmale/Pflichtangaben für den Umsatzsteuerabzug müssen vorhanden sein

Das erste Szenario für die Nutzung von CPD adressiert exakt Punkt eins:

Der Rechnungsempfänger muss der elektronischen Rechnung zustimmen

Die Zustimmung für die E-Rechnung ist an keine bestimmte Form gebunden. So ist die „stillschweigende Billigung durch tatsächliche Übung“ oder „konkludente Zustimmung“ bereits ausreichend für die Akzeptanz von E-Rechnungen.

Genau dieser Punkt kann in SAP im Zusammenhang mit der Nutzung von CPD Konten bei folgendem Szenario unglücklich sein:

Ein Lieferant schickt eine E-Rechnung per E-Mail. Bei dem Debitorenkonto handelt es sich um ein CPD Konto. Der Rechnungsempfänger erhält die E-Rechnung und zahlt diese. Somit handelt es sich in diesem Fall um eine konkludente Akzeptanz der E-Rechnung. Es entsteht eine Zahlungsverpflichtung und der Lieferant geht davon aus, dass E-Rechnungen offensichtlich akzeptiert werden. Diese Information kann in SAP leider, mangels fehlendem Debitorenkonto, nicht hinterlegt werden. Bei der nächsten Rechnung (dieses Mal handelt es sich um eine hohe Rechnung) wird erneut per CPD Debitor gebucht – Kunde zahlt allerdings wochenlang nicht und verlangt eine Papierrechnung. In der Folge nutzt er das Zahlungsziel voll aus. Resultat: Liquiditätsprobleme und ggf. Zinsverlust (derzeit eher nicht). Eine kurze Auswertung über die Akzeptanz der E-Rechnung hätte an dieser Stelle bereits geholfen, war aufgrund der Nutzung von CPD Konten allerdings nicht möglich.

Der Angriff des doppelgesichtigen Janus, oder auch Man-in-the-Middle

Während sich das Risiko des ersten Szenarios noch in Grenzen hält, kann ein sogenannter Man-in-the-Middle Angriff zu erheblichen Schäden führen. Doch dazu nach einer kurzen Begriffserklärung mehr.

Wie bereits erwähnt stammt die Begrifflichkeit „Man-in-the-Middle“ aus dem Bereich der Computersicherheit (IT-Security). Dabei versucht ein Angreifer sich zwischen die Kommunikation von zwei Parteien zu schalten und sich als eine der beiden Parteien auszugeben. Gelingt diese Art von Angriff, dann kann der Angreifer z.B. Rechnungen abfangen, sie verändern und die gefälschten Rechnungen an den eigentlichen Empfänger senden. Der Empfänger bemerkt die Veränderungen im schlimmsten Falle gar nicht, da die Anwesenheit des Angreifers unentdeckt bleibt. Damit macht die Rechnung den Anschein von dem richtigen Absender zu stammen. Im Prinzip ist damit schon alles zum Man-in-the-Middle Angriff gesagt. Technisch ist diese Art von Angriff sehr aufwendig und nicht so leicht zu bewerkstelligen, wie sie erklärt werden kann. Ist solch ein Angriff allerdings erfolgreich, kann er erheblichen Schaden anrichten.

Genau das ist auch Bestandteil des zweiten Szenarios:

Ein Lieferant verschickt eine E-Rechnung an seinen Kunden. Diese wird von einem Angreifer (in diesen Tagen NICHT ganz unüblich) abgefangen. Erfolgreich manipuliert dieser die E-Rechnung und ändert die Bankverbindung ab. Anschließend sendet der Angreifer die veränderte E-Rechnung an den ursprünglichen Empfänger weiter. Weil der Kunde ausschließlich CPD Kreditoren führt, findet keine Prüfung der Rechnungsdaten gegen die Kreditorenstammdaten statt. In der Folge stellt der Kunde keine Unregelmäßigkeiten bezüglich der Bankverbindung fest und begleicht die Rechnung unter Verwendung der veränderten Bankverbindung. Die Zahlung geht ins Nirwana, bzw. zum Teufel. Nahezu kein Internes Kontrollsystem hätte diesen Vorgang entdecken können, sodass lediglich die strikte Eingrenzung von CPD Nutzungen das Risiko minimiert.

Haben Sie bereits gruselige Erfahrungen oder Geschichten von Kollegen mit CPD Konten gemacht/gehört? Schreiben Sie uns hier und wir veröffentlichen die besten Geschichten anonymisiert und nach Rücksprache mit Ihnen.

Artikel teilen

Facebook
Twitter
XING
LinkedIn