Bad Segeberg. Gefälschte Rechnungen, manipulierte Bankverbindungen und täuschend echte E-Mails treffen längst nicht nur Großunternehmen. Gerade mittelständische Betriebe sollten ihre Zahlungsprozesse rechtlich und organisatorisch absichern.
Eine Rechnung trifft per E-Mail ein. Der Lieferant ist bekannt, der Betrag plausibel, die Leistung wurde tatsächlich erbracht. Nur die Bankverbindung ist neu. In vielen Unternehmen reicht ein solcher Hinweis aus, damit Zahlungen umgeleitet werden – und genau darauf setzen Täter beim sogenannten Lieferantenbetrug.
Die Masche ist so einfach wie gefährlich: Kriminelle geben sich als bestehender Lieferant, Dienstleister oder Geschäftspartner aus. Sie versenden gefälschte Rechnungen, manipulieren Zahlungsanweisungen oder teilen angeblich geänderte Kontodaten mit. Häufig sehen die E-Mails professionell aus, verwenden echte Namen, echte Projektdaten oder sogar bisherige Korrespondenz. Für die Buchhaltung entsteht dadurch der Eindruck, es handele sich um einen normalen Geschäftsvorgang.
Gerade diese Nähe zur Realität macht Lieferantenbetrug so riskant. Anders als bei plumpen Phishing-Mails geht es nicht um offensichtlich fehlerhafte Nachrichten, sondern um gezielte Täuschungen im laufenden Geschäftsverkehr. Täter nutzen öffentlich zugängliche Unternehmensdaten, Handelsregisterinformationen, Webseiten, Social-Media-Profile und mitunter kompromittierte E-Mail-Postfächer. Wenn ein Unternehmen tatsächlich mit einem bestimmten Lieferanten arbeitet, kann eine gefälschte Zahlungsaufforderung erstaunlich glaubwürdig wirken.
Rechtlich steht in vielen Fällen der Betrug nach § 263 StGB im Mittelpunkt. Strafbar macht sich, wer durch Vorspiegelung falscher Tatsachen einen Irrtum erregt, dadurch eine Vermögensverfügung auslöst und einen Vermögensschaden verursacht, um sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen. Bei gefälschten Rechnungen oder angeblich geänderten Bankverbindungen liegt der Täuschungskern regelmäßig darin, dass der Empfänger glauben soll, die Zahlung sei berechtigt oder an ein neues Konto des Vertragspartners zu leisten.
Je nach Ausgestaltung können weitere Straftatbestände hinzukommen. Werden Rechnungen, Bestellbestätigungen oder Schreiben verfälscht, kann eine Urkundenfälschung nach § 267 StGB in Betracht kommen. Werden beweiserhebliche elektronische Daten manipuliert, kann § 269 StGB relevant werden. Fließen Gelder über Konten von Finanzagenten oder Strohleuten, können zudem Geldwäschefragen nach § 261 StGB berührt sein.
Für Unternehmen ist aber nicht nur die Strafbarkeit der Täter entscheidend. Praktisch stellt sich vor allem die Frage: Wer trägt den Schaden, wenn das Geld bereits überwiesen wurde? Hier kommt es auf die konkreten Abläufe an. Wurde eine Rechnung täuschend echt gefälscht, aber intern ohne ausreichende Prüfung freigegeben, kann der Schaden zunächst beim zahlenden Unternehmen liegen. Gegen die Täter bestehen zwar Rückzahlungs- und Schadensersatzansprüche, diese sind in der Praxis aber oft schwer durchsetzbar, weil Konten schnell geleert und Gelder weitergeleitet werden.
Umso wichtiger ist die sofortige Reaktion. Sobald ein Betrug auffällt, sollte unverzüglich die eigene Bank kontaktiert werden. In manchen Fällen lässt sich eine Überweisung noch stoppen oder eine Rückholung anstoßen. Parallel sollte der echte Lieferant informiert und der gesamte E-Mail-Verkehr gesichert werden. Auch eine Strafanzeige ist regelmäßig sinnvoll, weil nur so Ermittlungen zu Konten, IP-Adressen, Kommunikationswegen und möglichen Täterstrukturen eingeleitet werden können.
Unternehmen sollten zudem prüfen, ob interne Pflichten verletzt wurden. In größeren Betrieben kann sich die Frage stellen, ob Zahlungsfreigaben, Vier-Augen-Prinzip, Kontrollmechanismen und Vertretungsregelungen ausreichend organisiert waren. Geschäftsleiter trifft keine Pflicht, jeden Betrugsversuch im Einzelnen vorherzusehen. Sie müssen aber angemessene organisatorische Vorkehrungen treffen, um typische und bekannte Risiken im Zahlungsverkehr zu begrenzen. Lieferantenbetrug gehört inzwischen eindeutig zu diesen Risiken.
Besonders kritisch sind Änderungsmitteilungen zu Bankverbindungen. Eine neue IBAN sollte niemals allein aufgrund einer E-Mail übernommen werden. Sinnvoll ist ein verbindlicher Rückruf über eine bereits bekannte Telefonnummer, nicht über Kontaktdaten aus der verdächtigen Nachricht. Auch Lieferantenstammdaten sollten nur durch besonders berechtigte Personen geändert werden. Jede Änderung sollte dokumentiert und durch eine zweite Person freigegeben werden.
Weitere Warnsignale sind ungewöhnlicher Zeitdruck, abweichende E-Mail-Adressen, minimale Schreibvarianten bei Domains, plötzliche Vertraulichkeit, neue Auslandskonten, abweichende Zahlungsempfänger oder Nachrichten, die sich auf angebliche technische Umstellungen berufen. Auch wenn Tonfall, Signatur und Logo stimmen, sollte die Buchhaltung bei Kontodatenänderungen misstrauisch bleiben.
Die Industrie- und Handelskammern weisen seit Jahren auf falsche Rechnungen und irreführende Zahlungsaufforderungen hin. Das Bundeskriminalamt warnt ebenfalls vor Rechnungsbetrug und betrügerischen E-Mails im Unternehmensumfeld. Die Fälle zeigen: Es handelt sich nicht um ein Randproblem, sondern um ein reales Geschäftsrisiko.
Rechtlich und organisatorisch empfiehlt sich ein einfacher Grundsatz: Jede Zahlung braucht eine nachvollziehbare Grundlage, jede Änderung der Zahlungsdaten braucht eine unabhängige Bestätigung. Unternehmen sollten ihre Mitarbeiter regelmäßig schulen, klare Zuständigkeiten festlegen und technische Schutzmaßnahmen wie Mehr-Faktor-Authentifizierung, sichere E-Mail-Systeme und Domain-Prüfungen nutzen. Entscheidend ist jedoch nicht nur Technik, sondern Prozessdisziplin.
Wer bereits Opfer eines Lieferantenbetrugs geworden ist, sollte keine Zeit verlieren. Bank, echter Vertragspartner, IT-Verantwortliche und gegebenenfalls Strafverfolgungsbehörden sollten frühzeitig eingeschaltet werden. Zusätzlich sollte geprüft werden, ob zivilrechtliche Ansprüche, versicherungsrechtliche Meldepflichten oder arbeits- und gesellschaftsrechtliche Fragen betroffen sind.
Lieferantenbetrug ist damit mehr als ein IT-Problem. Er betrifft Vertragsmanagement, Buchhaltung, Compliance und Geschäftsleitung. Unternehmen, die Zahlungsprozesse nur nach Gewohnheit organisieren, machen es Tätern leicht. Wer dagegen klare Prüfwege, dokumentierte Freigaben und geschulte Mitarbeiter etabliert, senkt das Risiko erheblich – und kann im Ernstfall schneller und rechtssicherer reagieren.
Hinweis: Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Er wurde redaktionell erstellt und mit Hilfe von KI sprachlich bearbeitet.
