通过电子邮件发送发票会给公司带来重大风险

fabiha01

许多 B2C 公司现在以数字方式发送发票。然而，石勒苏益格高等地区法院 (OLG) 于 2024 年 12 月 18 日做出的判决（案件编号 12 U 9/24）表明，这种做法也可能适得其反，在最坏的情况下，公司将面临未付的索赔。

事实
一位私人客户将一张金额超过 15,000 欧元的发票没有转入合同商人的账户，而是转入了一个未知的第三方的账户。此事发生在公司通过电子邮件发送的发票被未经授权篡改，原始银行详细信息被更改之后。令人震惊的是，伪造的发票与之前收到的临时发票相比，存在外观差异和缺失元素。

一段时间后，商人要求（重新）支付发票金额。客户拒绝了，辩称他已经支付了发票金额，并且电子邮件保护不力是公司的错。该公司随后提起诉讼，要求偿还未偿债务。

高等地区法院现在必须决定向第三方的付款是否无效，以及手工艺品企业是否仍有权获得超过 15,000 欧元的款项。还需要澄清公司使用的电子邮件传输加密是否足以确保发票中包含的个人数据的安全。

高等地区法院的判决
将发票金额转入未知第三方的账户并不履行对手工艺企业的付款义务。但是，客户有权根据《第 14 条》要求赔偿。 82 GDPR 中向第三方账户转账的金额，他可以用这笔钱来反驳公司的索赔。法院认为，手工艺品生意违反了 Artt 的原则。 5、24 和 32 GDPR。

传输加密不足！
法院认为，该公司在企业家和客户之间发送包含个人数据的商业电子邮件时所使用的传输加密是不够的，至少考虑到原告所附发票的伪造给客户造成的高财务风险，并且不能构成GDPR意义内的适当保护。据法院称，端到端加密是目前的首选方法。公司应该认识到通过电子邮件发送发票的固有风险，并将其纳入保护措施计划中。

端到端加密并非不合理
法院意识到端到端加密可能涉及超出标准电子邮件程序中简单激活的技术努力。在许多情况下，使用特殊程序和技术建议也是必要的。但这并不会改变数据安全要求。由于当前的威胁形势（黑客攻击增加、攻击技术公开），中型手工艺企业可以了解必要的 IT 安全措施并使用合适的软件来确保客户数据的安全。

下面我们介绍端到端加密的各种选项及其优缺点。

电子邮件端到端加密选项
电子邮件在传输过程中通常会被加密，前提是双方的电子邮件服务器都进行了相应的配置（所谓的传输加密）。然而，设备和电子邮件服务器之间的路径仍然不受保护，这意味着管理员或有权访问参与帐户的人员可以阅读或伪造消息。有多种方法可以弥补这一安全漏洞。我们在下面介绍最常用的方法：

1. PGP（Pretty Good Privacy）/ OpenPGP
PGP / OpenPGP 背后的理念是只有实际接收者才能解密消息。这背后就是非对称密码学的原理（更多信息，推荐这篇博客文章）。

每个用户都有一对密钥——一个公钥和一个私钥。公钥是分发的，用于加密消息。私钥保持保密，德国商业传真列表 在任何情况下不得泄露。这可用于解密收到的电子邮件。要使用 PGP，您必须首先创建一个公钥/私钥对。可以使用 GnuPG 或 Kleopatra 等程序来实现此目的。然后将公钥传递给通信伙伴。例如，它可以发布在网站上。

发送者使用接收者的公钥加密他的消息。只有收件人可以使用自己的私钥解密电子邮件。但是，只有电子邮件内容是加密的。元数据（即主题、发件人和收件人）仍未加密。

收件人的电子邮件程序识别到收到的消息已加密，请求私钥，并在收件人输入私钥密码时解密文本。



2. S/MIME（安全/多用途互联网邮件扩展）
S/MIME 还需要一个公钥来加密消息，以及一个私钥来解密消息。 S/MIME 的特殊之处在于密钥与证书（数字签名）相链接。证书由认证机构（CA）颁发（有关更多信息，我们推荐这篇博客文章）。这可确保电子邮件确实来自指定的发件人并且未被篡改。

发送和接收加密电子邮件与上面描述的 PGP 程序相同。数字签名提高了安全性。发件人使用其私钥对电子邮件进行签名，收件人可以使用证书中的公钥来验证消息的真实性。


3. ProtonMail / Tutanota（带有 E2EE 的 Webmail）
与传统的电子邮件服务不同，ProtonMail 和 Tutanota 会对发件人设备上的每封电子邮件进行加密。加密自动发生。用户不必担心密钥管理或进行任何特定设置。 ProtonMail 使用 OpenPGP。 Tutanota 使用自己的加密技术，该技术也保护主题行。

如果同一服务的两个用户互相发送电子邮件，则该消息在整个传输和存储过程中都保持加密。发送给外部收件人的消息有两种选择：要么以未加密的方式发送电子邮件，要么使用密码保护（必须为每封电子邮件手动激活）。

这代表对称加密。密码=密钥的保护对于保密性至关重要；因此必须通过另一个渠道进行交换。否则，拦截加密电子邮件的犯罪者也有可能拦截密码。使用 ProtonMail，您可以选择发送密码提示。

然后，收件人会收到一条带有加密消息链接的通知。他只能使用指定的密码才能打开它。