Vorsicht vor manipulierten Rechnungen: Neue Masche mit geänderten Bankdaten

Wenn plötzlich eine andere Bankverbindung auftaucht

Stellen Sie sich vor, Sie erhalten wie gewohnt eine Rechnung von einem Dienstleister – doch am unteren Rand ist in roter Schrift vermerkt, dass sich die Bankverbindung geändert habe. Überweist man in diesem Fall an das „neue Konto“, geht das Geld nicht an den eigentlichen Anbieter, sondern direkt an Betrüger.

Genau so sah eine Rechnung aus, die ich kürzlich von Domainfactory erhalten habe. Da ich dort meine Rechnungen per PayPal begleiche, war es für mich nicht relevant – aber viele Unternehmen zahlen klassisch per Überweisung. Für sie könnte ein solcher Hinweis fatale Folgen haben.

Bei Domainfactory habe ich nachgefragt und bekam bestätigt, dass in diesem Fall die Bankverbindung tatsächlich geändert wurde, aber mir sind Fälle bekannt, wo das nicht der Fall war.

Wie entstehen solche Manipulationen?

In der Regel werden Rechnungen nicht beim Versender selbst manipuliert, sondern unterwegs oder im E-Mail-Postfach des Empfängers. Cyberkriminelle verschaffen sich Zugang zu einem E-Mail-Account, fangen die Originalrechnung ab, ändern die Bankverbindung und leiten sie anschließend weiter. Das Ergebnis: Auf den ersten Blick wirkt das Dokument authentisch, lediglich die Zahlungsdaten wurden ausgetauscht.

Welche Schutzmaßnahmen helfen?

Damit Sie nicht Opfer einer solchen Betrugsmasche werden, sind folgende Schritte sinnvoll:

• Misstrauisch bleiben: Prüfen Sie jede Änderung von Bankverbindungen kritisch.
• Verifizierung einholen: Rufen Sie beim bekannten Ansprechpartner an und fragen Sie nach, ob die neuen Daten korrekt sind.
• Zwei-Faktor-Authentifizierung nutzen: So sichern Sie Ihre eigenen E-Mail-Postfächer besser ab.
• Dokumentenversand überdenken: Über Portale oder verschlüsselte Wege lassen sich Rechnungen deutlich schwerer manipulieren.
• Interne Abläufe festlegen: Legen Sie Regeln fest, wie mit Bankdatenänderungen umzugehen ist, bevor Zahlungen freigegeben werden.

Neue gesetzliche Pflicht: Abgleich von IBAN und Empfängername

Ab Oktober 2025 tritt in der EU eine neue Vorschrift in Kraft: Banken müssen bei Überweisungen prüfen, ob IBAN und Empfängername zusammenpassen. Weicht der Name deutlich von dem registrierten Kontoinhaber ab, erhalten Zahlende einen Warnhinweis.

Das bedeutet: Wenn ein Betrüger eine Rechnung mit einer gefälschten IBAN versendet, die nicht zum angegebenen Namen passt, wird die Bank in Zukunft warnen. Damit wird eine der häufigsten Betrugsmaschen deutlich schwerer durchzuführen.

Wie weit reicht dieser Schutz?

• Hoher Schutz bei einfachen Manipulationen: Weicht der Empfängername von der echten Firma ab, fällt das künftig auf.
• Einschränkungen:
  • Stimmen IBAN und ein existierender Name überein (z. B. bei einem echten, aber missbrauchten Konto), wird keine Abweichung erkannt.
  • Kleinere Abweichungen im Namen („Muster GmbH“ statt „Musterfirma GmbH“) können je nach Banksoftware als „nahezu passend“ durchgehen.
  • Der Zahlungspflichtige entscheidet am Ende selbst, ob er trotz Warnung überweist.

Was Rechnungsempfänger trotzdem beachten sollten

Auch mit der neuen Regelung gilt: Vorsicht und gesunder Menschenverstand bleiben unverzichtbar.

• Nehmen Sie Warnungen Ihrer Bank ernst und prüfen Sie Rechnungen besonders gründlich.
• Führen Sie interne Prozesse ein, die bei jeder Änderung von Bankdaten eine zweite Bestätigung erfordern.
• Vertrauen Sie nicht allein auf die Systeme der Banken – sie sind ein wichtiges Sicherheitsnetz, ersetzen aber nicht Ihre eigene Sorgfaltspflicht.

Sind XRechnungen die Lösung?

Eine weitere Möglichkeit, Manipulationen zu erschweren, sind XRechnungen. Sie werden in einem strukturierten Datenformat (XML) erstellt und über standardisierte Wege übermittelt. Dadurch sind Änderungen deutlich schwieriger als bei klassischen PDF-Anhängen.
Ganz ausschließen lässt sich Betrug auch hier nicht, aber XRechnungen sind ein zusätzlicher Baustein für mehr Sicherheit.

Fazit: Mehr Schutz – aber keine Entwarnung

Mit der neuen Pflicht zum Abgleich von IBAN und Empfängername wird es für Betrüger schwerer, manipulierte Rechnungen erfolgreich einzusetzen. Unternehmen dürfen sich aber nicht in falscher Sicherheit wiegen: Es bleiben Restrisiken, und nur durch eine Kombination aus technischen Sicherheitsmaßnahmen, internen Prozessen und geschultem Personal lässt sich das Risiko wirksam reduzieren.