🚨 Im Notfall: Polizei: 110 Bank/Karten-Sperre: 116 116 → Was jetzt zu tun ist
Unternehmen

Rechnungsbetrug

Gefälschte Rechnungen, geänderte IBANs, doppelte Forderungen - der Klassiker im B2B-Bereich.

Wie Rechnungsbetrug funktioniert

Rechnungsbetrug ist eine der häufigsten und unterschätzten Betrugsformen gegen Unternehmen. Im Gegensatz zu BEC oft kleinere Einzelschäden, aber hohe Frequenz.

Die typischen Varianten

1. Geänderte IBAN auf echter Rechnung

Täter haben E-Mail-Konto eines Lieferanten kompromittiert. Echte Rechnung wird abgefangen, IBAN geändert, neu versendet. Aussehen identisch zur echten Rechnung.

2. Komplett gefälschte Rechnungen

Rechnung von einem Unternehmen, das nicht existiert oder mit dem nie Geschäfts-Beziehung bestand. Oft mit großer Ähnlichkeit zu bekannten Lieferanten („Telekom Deutschland AG“ vs. „Telekom Deutsche AG“).

3. Doppelte Forderungen

Echte Rechnung wird mehrfach versendet - mit Hoffnung, dass eine im Wust der Buchhaltung untergeht und zweimal bezahlt wird.

4. Brieftasche / Adressbuch-Einträge

Briefe mit angeblichen „Eintragsverlängerungen“ in Branchenbüchern - die nie bestellt wurden. Optisch wie Rechnungen aufgemacht, oft mit Zahlungsfrist und Mahnandrohung.

5. Schutzmarken-Anbieter

Briefe mit Hinweis auf „Markenanmeldung muss verlängert werden“ für Marken, die das Unternehmen tatsächlich hat. Verlangen vierstellige Beträge für Leistung, die das echte Patentamt deutlich günstiger erledigt.

6. Phantom-Lieferung

Rechnung für angeblich gelieferte Büro-Artikel, Werbe-Anzeigen, Software-Lizenzen. Mit Hinweis auf „telefonische Bestellung von Mitarbeiter X“.

Wie Täter an Daten kommen

  • Handelsregister-Daten (öffentlich)
  • Webseiten-Impressum (öffentlich)
  • LinkedIn-Profile von Buchhaltern und Geschäftsführern
  • Datenpannen-Listen aus dem Darknet
  • Eingangs-Rechnungen aus kompromittierten Mail-Konten

Warn-Signale

  • Lieferant, mit dem nie zusammengearbeitet wurde
  • IBAN-Änderung ohne separate Bestätigung
  • Ausländisches Bankkonto bei Lieferant in DE
  • Hohe Zahlungs-Eile („fällig in 3 Tagen“)
  • Drohung mit Inkasso bei Erstkontakt
  • Schlechtes Briefpapier, unprofessionelles Design
  • Prüfziffer-Fehler bei USt-ID oder Steuernummer
  • Doppelte Rechnung mit gleichem Betrag
  • Verlangter Betrag weicht von Vertrag/Bestellung ab

Schutz-Maßnahmen

1. Saubere Stammdaten

  • Lieferanten-Stammdaten zentral pflegen
  • IBAN-Änderungen nur nach schriftlicher Bestätigung auf Briefpapier + telefonischer Rückbestätigung
  • Prüf-Workflow bei neuen Lieferanten (Handelsregister, USt-ID, Adresse)

2. Rechnungs-Eingangs-Prüfung

  • Prüfung auf Bestellung: gibt es einen Auftrag?
  • Prüfung auf Wareneingang: ist die Leistung erbracht?
  • Prüfung auf IBAN-Übereinstimmung mit Stammdaten
  • Prüfung der Pflicht-Angaben (Paragraph 14 UStG)
  • Prüfung der Prüfziffern (USt-ID, Steuernummer)

3. Vier-Augen-Prinzip

Bei Rechnungen über Schwellenwert: zwei Mitarbeiter prüfen unabhängig. Mehr in Vier-Augen-Prinzip.

4. Mitarbeiter-Sensibilisierung

  • „Brieftaschen-Betrug“ kennen
  • Bei vermeintlichen Routinen („wir bezahlen jedes Jahr“) genau prüfen
  • Schulung der Buchhaltung speziell zu typischen Maschen

USt-ID und Steuernummer prüfen

USt-ID-Prüfung: evatr.bff-online.de (Bestätigungs-Verfahren des Bundeszentralamts für Steuern). Steuernummer ist anhand der Prüfziffer prüfbar.

Bei klar fehlerhaften IDs: Rechnung ist meist gefälscht.

Pflicht-Angaben einer echten Rechnung

Nach Paragraph 14 UStG muss eine Rechnung enthalten:

  • Vollständiger Name und Anschrift des leistenden Unternehmens
  • Vollständiger Name und Anschrift des Empfängers
  • Steuernummer oder USt-ID des Leistenden
  • Ausstellungsdatum
  • Fortlaufende Rechnungs-Nummer
  • Menge und Art der Leistung
  • Zeitpunkt der Leistung
  • Nettobetrag, Steuersatz, Steuerbetrag

Wer Pflicht-Angaben weglässt: kann oft nicht steuerlich geltend gemacht werden - aber das ist nicht der einzige Grund, vorsichtig zu sein.

Falls schon bezahlt wurde

  1. Bank kontaktieren - SEPA-Recall versuchen (24-48 h Fenster)
  2. Anzeige bei Polizei
  3. Bei IBAN-Änderungs-Betrug: Lieferant informieren, Auslaufzeit für Rückkehrer-Forderungen klären
  4. Bei wiederkehrender Forderung: schriftlich widersprechen, in Akte hinterlegen
  5. Bei Inkasso-Druck: nicht zahlen, juristisch widersprechen lassen
  6. Cyber-Versicherung prüfen

Prävention bei Adressbuch-/Verlängerungs-Maschen

  • Eindeutige Markierung in Akte: „wir bestellen keine Einträge in Branchenbüchern“
  • Bei Mitarbeitern, die Anrufe entgegennehmen: keine telefonischen Zustimmungen, auch nicht versehentlich
  • Schreibens-Erkennungs-Liste der typischen Anbieter (Liste der IHK, Bundesnetzagentur, Wettbewerbszentrale)
  • Bei Streit: keine Zahlung, schriftlicher Widerspruch, Verbraucher-/Wettbewerbszentrale einschalten

IT-Sicherheit für dein Unternehmen?

SEO NW arbeitet seit 2012 als Agentur für technische Prävention, Mitarbeiter-Sensibilisierung und IT-Sicherheit.

SEO NW Agentur