Rechnungsbetrug verhindern: drei Checks, bevor du eine neue IBAN bezahlst
Rechnungsbetrug ist banal, simpel und sauteuer. Mit drei schnellen Checks und einer Anruf-Regel zahlst du nie wieder auf die falsche IBAN.
Du bittest einen neuen Lieferanten um ein Angebot. Ein paar Tage später kommt eine Mail mit der IBAN und der Bitte, die Anzahlung zu überweisen. Klingt normal. Aber woher weißt du, dass diese IBAN stimmt – und nicht irgendwo unterwegs von jemandem geändert wurde, der deine Mails mitliest?
Rechnungsbetrug ist eine der langweiligsten, aber auch teuersten Formen der Cyberkriminalität für KMU. Kein spektakulärer Hack, kein Ransomware-Bildschirm. Einfach ein Betrag, der auf das falsche Konto geht – und danach weg ist. In diesem Beitrag zeigen wir, wie du das in wenigen Minuten verhinderst – ohne dass du irgendetwas Kompliziertes installieren musst.
Wie Rechnungsbetrug in der Praxis funktioniert
Die häufigste Variante heißt CEO-Fraud oder BEC (Business Email Compromise). Der Trick ist fast immer derselbe:
- Jemand verschafft sich Zugang zum Postfach eines Lieferanten (oder gibt sich mit einer Lookalike-Domain als dieser Lieferant aus, z. B.
lieferan-t.destattlieferant.de). - Eine echte Rechnung wird abgefangen oder gefälscht.
- Nur die IBAN wird geändert. Ansonsten sieht die Rechnung identisch aus: Logo, Layout, Steuernummer – alles stimmt.
- Du zahlst. Ein paar Tage später ruft der echte Lieferant an und fragt, wo das Geld bleibt.
Das Geld wurde dann meistens schon über ein Strohmänner-Konto ins Ausland weitergeleitet. Eine Rückbuchung gelingt selten.
Drei Kontrollen, die du immer durchführen solltest
Dafür brauchst du keine eigene Finanzabteilung. Bei jeder Zahlung über einen Betrag, den du für relevant hältst (wir sagen oft: 500 €), führst du diese drei Checks durch.
1. Ist die IBAN technisch korrekt?
Eine IBAN enthält eine eingebaute Prüfzifferberechnung. Wenn jemand in der Eile eine Ziffer falsch eingibt, fällt das auf. Aber wenn ein Betrüger absichtlich eine gültige IBAN verwendet, kommt sie problemlos durch. Der technische Check fängt also Tippfehler ab – keine böswilligen Änderungen.
Trotzdem nützlich: An einer IBAN erkennst du, bei welcher Bank und in welchem Land das Konto geführt wird. Wenn dein Lieferant seit Jahren bei der Deutschen Bank ist und du plötzlich eine litauische IBAN erhältst, die mit LT beginnt, stimmt etwas nicht. Mit unserem IBAN-Check bringst du das in zwei Sekunden ans Licht.
2. Passt die Steuernummer zum Firmennamen?
Bei neuen Lieferanten oder größeren Beträgen möchtest du wissen, ob die Umsatzsteuer-ID wirklich zu dem Unternehmen gehört, das auf der Rechnung steht. Die europäische VIES-Datenbank gibt darüber Auskunft. Unser VAT-Check führt diese Kontrolle für dich durch und zeigt, welcher Firmenname und welche Adresse laut Steuerbehörde hinterlegt sind. Weicht das von der Rechnung ab? Dann anrufen – nicht mailen.
3. Passt die Adresse zur Postleitzahl?
Klingt trivial, ist aber eine überraschend gute Kontrolle gegen Lookalike-Rechnungen. Mit dem Postleitzahlen-Check siehst du sofort, ob die angegebene Adresse existiert und wo sie liegt. Eine Rechnung, bei der die Postleitzahl nicht zur Straßenadresse passt, wirft Fragen auf, die du gar nicht erst stellen musst.
Änderungen immer über einen zweiten Kanal verifizieren
Die goldene Regel: Ändert ein Lieferant seine Bankverbindung, rufst du die bekannte Telefonnummer an, die du bereits in deinen Unterlagen hast. Nicht die Nummer am Ende der Mail (auch die kann geändert worden sein). Nicht WhatsApp (leicht zu fälschen). Anrufen, beim eigenen Ansprechpartner, und fragen: „Stimmt es, dass ihr eine neue IBAN habt?"
Dieser eine zwei Minuten lange Anruf hat schon vielen KMU Millionen gespart. Macht daraus eine interne Regel und stellt sicher, dass alle, die Zahlungen veranlassen, diese Regel kennen.
Vier-Augen-Prinzip bei Zahlungen
Die zweite Regel: Lass Zahlungen über einem Schwellenwert immer von jemand anderem genehmigen. In nahezu jedem modernen Banking-System – ob Sparkasse, Volksbank, Deutsche Bank, N26 oder ähnliche – lässt sich dies als zweiter Freigebendem einrichten. Die Person, die die Zahlung vorbereitet, kann sie nicht selbst freigeben. Eine zweite Person schaut sich die IBAN noch einmal an, bevor auf „Senden" gedrückt wird.
Das ist besonders hilfreich, weil das System selbst zu einer kurzen Pause zwingt. Und in dieser Pause fliegen 90 % aller Betrugsfälle auf – denn Zeitdruck ist die wichtigste Waffe des Betrügers („Kann das noch heute überwiesen werden?").
E-Mail-Sicherheit verhindert, dass du zum schwachen Glied wirst
Bisher haben wir darüber gesprochen, wie du verhinderst, dass du an einen Betrüger zahlst. Aber es kann auch andersherum laufen: Ein Krimineller kapert deine E-Mails oder gibt sich als du aus – und deine Kunden zahlen auf eine falsche Bankverbindung. Das kostet dich deine Geschäftsbeziehung und deinen Ruf.
Die technischen Maßnahmen, die das verhindern, heißen SPF, DKIM und DMARC. Mit diesen drei zusammen kann ein empfangender Mailserver feststellen, ob eine E-Mail wirklich von deiner Domain stammt. Wir richten das regelmäßig für KMU-Kunden im Rahmen unseres E-Mail-Sicherheits-Dienstes ein. Oft dauert das weniger als einen Tag.
Kurze Checkliste für Montag
- Legt einen Schwellenbetrag fest, ab dem immer eine zusätzliche Prüfung erfolgt.
- Aktiviert den zweiten Freigebenden in eurer Banking-Umgebung.
- Stellt die Regel auf: IBAN-Änderung? Anrufen über eine bekannte Nummer – niemals nur per E-Mail.
- Prüft neue Lieferanten immer mit IBAN-, VAT- und Postleitzahlen-Check vor der ersten Zahlung.
- Kontrolliert, ob SPF, DKIM und DMARC für eure eigene Domain korrekt eingerichtet sind.
Möchtest du jetzt sofort eine neue Rechnung prüfen? Fang bei unserem IBAN-Check und VAT-Check an. Zwei Minuten Aufwand – und du weißt sicher, dass das Geld an der richtigen Stelle ankommt.
Volledige gids: Facturación para pymes de la oferta al cobro: la guía completa
Dit artikel is onderdeel van onze uitgebreide Boekhouding & facturatie-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →