DSGVO-konform
IBAN-PrüfenRechner & Validator

IBAN-Betrug erkennen: CEO-Fraud, Phishing, Fake-Rechnungen

5 Min. Lesezeit

Die drei häufigsten Betrugsmuster

**CEO-Fraud (Fake President):** Eine E-Mail im Namen des Geschäftsführers fordert eine "dringende vertrauliche Überweisung". Die IBAN gehört dem Betrüger. Erkennungs­merkmale: ungewöhnliche Eile, ausländische IBAN, kein Vier-Augen-Prinzip, abweichende E-Mail-Adresse. Schaden 2024 in DACH: über 230 Mio. € (BKA-Lagebericht).

**Fake-Rechnung mit ausgetauschter IBAN:** Echte Rechnung eines bekannten Lieferanten — aber die IBAN auf dem PDF wurde manipuliert. Der Betrüger fängt entweder die E-Mail ab oder hat Zugang zum Postfach des Lieferanten. Erkennungs­merkmal: IBAN weicht von früheren Rechnungen desselben Lieferanten ab.

**Phishing mit "neuer Bankver­bindung":** Mail vom angeblichen Lieferanten/Geschäfts­partner: "Bitte ab heute auf neues Konto überweisen, IBAN DE…". Häufig perfekt im Corporate Design des Lieferanten. Schutz: keine IBAN-Änderung ohne telefonische Rück­bestätigung über die im Stammsatz hinterlegte Nummer (NICHT über die in der Mail genannte).

Verification of Payee als technische Verteidigung

Seit Oktober 2025 prüft die EU-weite VoP-Pflicht bei jeder SEPA-Überweisung im Euroraum, ob der eingegebene Empfängername zur IBAN passt. Bei "No Match" warnt die Bank — wer trotzdem freigibt, übernimmt die Haftung. Konkret: Eine CEO-Fraud-Mail "überweise an Empfänger Mustermann, IBAN DE…" wird sofort als Mismatch erkannt, weil das Konto auf den Betrüger lautet, nicht auf Mustermann.

VoP allein reicht aber nicht: Wenn der Betrüger ein Konto auf einen ähnlichen Namen führt ("Müstermann" GmbH statt "Mustermann GmbH"), erscheint nur "Close Match" — manche Mitarbeiter genehmigen das aus Zeitdruck. Daher ergänzend: Vier-Augen-Prinzip bei jeder neuen oder geänderten Bankver­bindung.

Workflow-Verteidigung im Unternehmen

Sechs konkrete Maßnahmen, die in mittelständischen Unternehmen die meisten IBAN-Betrugs­fälle verhindern:

  • Vier-Augen-Prinzip im ERP für JEDE Änderung an Lieferanten-Stamm­daten (insbesondere IBAN, BIC, Bankname).
  • Bei Mail "neue Bankver­bindung" — IMMER telefonisch rückbestätigen, über die Telefonnummer aus dem ERP-Stammsatz, NICHT über die Nummer in der Mail.
  • VoP-Antwort als Pflicht­bestandteil der Workflow-Freigabe konfigurieren — kein Mismatch durchwinken.
  • Limit-Schwellen­werte definieren: Überweisungen > 10.000 € benötigen zusätzlich Geschäftsführer-Freigabe.
  • Awareness-Training für Buchhaltung und Assistenz: typische Phrasen ("vertraulich", "dringend", "nur du") als Alarmzeichen erkennen.
  • Cyber-Versicherung mit Social-Engineering-Klausel — ohne diese sind CEO-Fraud-Schäden meist nicht abgedeckt.

Was tun, wenn der Schaden eingetreten ist

Erste 24 Stunden zählen: Sofort die Hausbank kontaktieren und einen Recall einleiten (siehe Ratgeber "Falsche IBAN angegeben"). Parallel: Strafanzeige bei der Polizei, im Idealfall direkt bei der Cybercrime-Dienststelle des Landeskriminalamts. Versicherung melden, falls Cyber-Police vorhanden.

Dokumentation: Original-Mail, IBAN, Betrag, Zeitstempel, beteiligte Personen, Korrespondenz mit Bank — alles archivieren. Forensische E-Mail-Analyse durch IT prüfen lassen, ob ein Mailbox-Hijacking vorliegt.

Zusammenfassung

  • CEO-Fraud, Fake-Rechnung, Phishing-Mail mit "neuer Bankverbindung" sind die drei häufigsten IBAN-Betrugsmuster.
  • VoP fängt die meisten Fälle ab; bei "Close Match" und immer bei Bankverbindungsänderungen telefonisch rückbestätigen.
  • Vier-Augen-Prinzip im ERP für jede IBAN-Änderung ist die wirksamste Workflow-Verteidigung.

Häufig gestellte Fragen

Schützt Verification of Payee allein vor CEO-Fraud?
Stark, aber nicht vollständig. VoP fängt die meisten Fälle ab — solange der Betrüger nicht ein Konto auf einen ähnlichen Namen besitzt ("Close Match"). Daher ergänzend Vier-Augen-Prinzip und telefonische Rück­bestätigung bei Bankver­bindungs­änderungen.
Was ist die häufigste Phishing-Variante mit IBANs?
"Neue Bankver­bindung"-Mails: Eine perfekt nachgemachte Mail eines bekannten Lieferanten teilt eine geänderte IBAN mit. Schutz: telefonische Rück­bestätigung über die Original-Telefonnummer aus dem Stammsatz.
Übernimmt die Bank den Schaden bei CEO-Fraud?
In der Regel nein. Wenn der Zahler die Überweisung freigegeben hat — auch trotz VoP-Warnung — trägt er das Risiko. Cyber-Versicherungen mit Social-Engineering-Klausel decken solche Schäden teilweise ab.
Wie hoch ist das jährliche Schadensvolumen in Deutschland?
BKA-Lagebericht 2024 nennt für Deutschland über 230 Mio. € allein durch CEO-Fraud. Phishing- und Fake-Rechnungs-Schäden kommen zusätzlich. Die Aufklärungs­quote liegt unter 5 %.

Quellen

Im Glossar

Verification of Payee (VoP)IBANBaFinAML (Anti-Money Laundering)KYC (Know Your Customer)PEP (Politically Exposed Person)

Weiterlesen

Verification of Payee (VoP) — Empfängerabgleich seit 2024 erklärt

Wie der EU-weite Empfängerabgleich (VoP) funktioniert, was "Match", "Close Match" und "No Match" bedeuten — und wer im Schadensfall haftet.

Falsche IBAN angegeben — Geld zurückholen Schritt für Schritt

Was tun, wenn Sie eine Überweisung an die falsche IBAN ausgelöst haben. Recall-Verfahren, Bankpflichten, Erfolgsquote und Fristen.

Fake-IBAN erkennen: 5 Merkmale echter Betrugsmuster

Wie Sie erfundene oder manipulierte IBANs in Rechnungen, Überweisungsaufträgen und Verträgen zuverlässig erkennen.