Warum Zahlungsbetrug jedes Unternehmen betrifft
Stellen Sie sich vor, Ihr Kreditorenbuchhaltungsteam erhält eine E-Mail. Sie sieht genau aus wie eine Nachricht von einem langjährigen Lieferanten – dasselbe Logo, dieselbe Abschlussformel, derselbe vertraute Ton. Die Nachricht besagt, dass sich die Bankverbindung des Lieferanten geändert hat, und fordert Sie auf, die nächste Zahlung auf ein neues Konto zu überweisen. Die Zahlung wird getätigt. Eine Woche später ruft der echte Lieferant an und fragt, warum die Rechnung überfällig ist. Zu diesem Zeitpunkt ist das Geld bereits weg.
Dies ist kein hypothetisches Szenario. Es passiert Unternehmen weltweit jeden Tag.
Zahlungsbetrug betrifft nicht nur Banken oder Investmentfirmen. Er betrifft jedes Unternehmen, das Lieferanten bezahlt, Rechnungen begleicht oder Zahlungen von Kunden erhält. Und eines der praktischsten verfügbaren Werkzeuge, um ihm entgegenzuwirken, ist der LEI-Code, von dem die meisten gewöhnlichen Unternehmen noch nie gehört haben.
Das Ausmaß des Zahlungsbetrugs ist frappierend
Zahlungsbetrug ist kein Randproblem. Laut der Association for Financial Professionals erlebten 76 % der Organisationen im Jahr 2025 versuchten oder tatsächlichen Zahlungsbetrug. Das bedeutet, dass zwei von drei Unternehmen in jedem Jahr Betrugsversuchen ausgesetzt sind.
Die Angriffe richten sich präzise an die Personen, die alltägliche Rechnungen und Zahlungen bearbeiten: Buchhalter, Finanzmanager und Beschaffungsmitarbeiter. Laut dem Internet Crime Report 2024 des FBI verursachte Business E-Mail Compromise (BEC) im Jahr 2024 allein in den Vereinigten Staaten Verluste von 2,77 Milliarden Dollar bei 21.442 gemeldeten Vorfällen. Und das sind nur die gemeldeten Fälle.
Wie Zahlungsbetrug funktioniert: Drei gängige Schemata
Alle Formen des Zahlungsbetrugs haben eine grundlegende Gemeinsamkeit: Der Betrüger ist erfolgreich, weil das Opfer die Identität des Vertragspartners nicht schnell überprüfen kann.
Rechnungsbetrug und Lieferantenidentitätsdiebstahl
Der Betrüger identifiziert einen regulären Lieferanten in Ihrem Netzwerk und sendet eine Rechnung, die einer echten Rechnung zum Verwechseln ähnlich sieht. Nur die Bankverbindung ist anders. In vielen Fällen ist kein Systemzugriff erforderlich. Öffentlich verfügbare Informationen, eine ähnliche E-Mail-Adresse und etwas Geduld genügen. Kleinere Unternehmen sind besonders gefährdet, da sie tendenziell weniger formale Verifizierungsschritte implementiert haben.
Business E-Mail Compromise (BEC)
Business E-Mail Compromise, oder BEC, ist raffinierter und schädlicher. Der Betrüger verschafft sich Zugang zum E-Mail-Konto Ihres Lieferanten, überwacht die Korrespondenz wochenlang und greift genau im richtigen Moment ein, kurz bevor eine große Rechnung fällig wird. Nur die Zahlungsdetails werden geändert, und das Geld geht auf das falsche Konto.
Was dies schwer zu erkennen macht, ist, dass die Nachricht von einer echten E-Mail-Adresse stammt, einem realen Konversationsverlauf folgt und keine technischen Anzeichen von Betrug enthält. Standard-E-Mail-Sicherheitsfilter halten sie nicht auf.
Erstellung gefälschter Lieferanten
Der Betrüger gründet ein fiktives Unternehmen, registriert es, erstellt eine Website und unterbreitet ein Angebot. Das Unternehmen unterzeichnet einen Vertrag, zahlt einen Vorschuss, und der Lieferant verschwindet. Dieses Schema zielt tendenziell auf größere Organisationen mit komplexeren Beschaffungsprozessen ab.
In allen drei Fällen konnte das Opfer nicht zuverlässig überprüfen, mit wem es tatsächlich zu tun hatte. Ein Firmenname ist kein eindeutiger Identifikator, und Betrüger nutzen diese Lücke bewusst aus.
Warum die Identitätsprüfung so schwierig ist
Registrierungsnummern sind jurisdiktionsspezifisch. Eine estnische Handelsregisternummer bedeutet einer deutschen Bank oder einem Partner in Singapur nichts. Jedes Land verwendet sein eigenes Format, sein eigenes Register und seine eigene Sprache. Im grenzüberschreitenden Geschäft bedeutet dies, dass die Überprüfung der Identität eines Vertragspartners langsame, manuelle Arbeit erfordert.
Firmennamen sind nicht eindeutig. Viele Jurisdiktionen erlauben ähnliche oder sogar identische Namen in verschiedenen Ländern. Betrüger registrieren Unternehmen, deren Namen bekannten Organisationen sehr ähneln, und verlassen sich darauf, dass vielbeschäftigte Finanzteams den Unterschied möglicherweise nicht bemerken.
Was der LEI-Code tatsächlich zeigt
Der LEI-Code, oder Legal Entity Identifier, ist ein 20-stelliger eindeutiger Identifikator, den jede juristische Person weltweit erhalten kann. GLEIF, die Global Legal Entity Identifier Foundation, unterhält eine öffentliche Datenbank, die verifizierte und aktuelle Informationen für jede registrierte Entität enthält.
Eine LEI-Abfrage liefert Folgendes:
Level-1-Daten („Wer ist wer“): rechtlicher Name, eingetragene Adresse, Land und Jurisdiktion, Handelsregisternummer und Register, Entitätstyp, LEI-Status (Aktiv oder Abgelaufen) und eine Historie der Änderungen am Datensatz.
Level-2-Daten („Wer gehört wem“): direkte Muttergesellschaft und ultimative Muttergesellschaft innerhalb einer Unternehmensstruktur.
Was eine LEI-Abfrage nicht zeigt: Bankkontodaten, Kontaktnummern oder natürliche Personen. Dies zu verstehen ist wichtig für die korrekte Nutzung des Tools.
Die LEI-Datenbank ist kostenlos, offen und erfordert keine Registrierung. Sie ist unter GLEIF LEI Search verfügbar.
Wie der LEI in der Praxis gegen Betrug wirkt
Manuelle Verifizierung in drei Schritten
Schritt 1 – Fordern Sie den LEI-Code von jedem neuen Lieferanten an. Fügen Sie Ihrem Lieferanten-Onboarding-Prozess ein einziges Feld hinzu: den LEI-Code. Dies ist ein Standardbestandteil der Due Diligence von Vertragspartnern, den immer mehr Unternehmen routinemäßig anwenden.
Schritt 2 – Verifizieren Sie den Code in der GLEIF-Datenbank. Geben Sie den LEI-Code unter GLEIF LEI Search ein oder nutzen Sie das LEI-Suchtool auf unserer Website. Sie sehen sofort den rechtlichen Namen, die eingetragene Adresse und die Handelsregisternummer. Vergleichen Sie diese mit den Angaben auf der Rechnung oder dem Vertrag. Wenn alles übereinstimmt, ist die Identität bestätigt. Wenn nicht, ist dies ein klares Warnsignal.
Achten Sie auch auf den LEI-Status. „Aktiv“ bedeutet, dass die Daten aktuell und verifiziert sind. „Abgelaufen“ bedeutet, dass die Entität ihren LEI nicht erneuert hat und die Genauigkeit der Daten unsicher ist. Ein abgelaufener LEI ist selbst ein Risikosignal, das nicht übersehen werden sollte.
Schritt 3 – Behandeln Sie jede Änderung der Bankverbindung als zweistufigen Prozess. Der LEI zeigt keine Bankkontoinformationen an, kann also eine manuelle Überprüfung in dieser Situation nicht vollständig ersetzen. Aber er hilft trotzdem. Wenn Sie eine Anfrage zur Änderung der Zahlungsdetails erhalten, überprüfen Sie zunächst über den LEI, ob der Absender derjenige ist, für den er sich ausgibt. Rufen Sie dann den Lieferanten direkt unter einer bereits in Ihren Unterlagen vorhandenen Kontaktnummer an, nicht unter einer in der neuen Nachricht angegebenen. Diese beiden Schritte decken die häufigsten Szenarien des Rechnungsbetrugs ab.
Automatisierte Verifizierung für größere Organisationen
Für größere Organisationen, die Hunderte von Lieferanten verwalten und hohe Zahlungsvolumen verarbeiten, sind manuelle Überprüfungen zu langsam. Hier wird der LEI besonders wertvoll, da er ein strukturiertes, maschinenlesbares Datenformat ist.
GLEIF bietet eine öffentliche API an, die es ermöglicht, LEI-Daten direkt in Unternehmenssoftware zu integrieren. Eine Kreditorenbuchhaltungsplattform oder ein Lieferantenmanagementsystem kann die GLEIF-Datenbank für jeden neuen Vertragspartner automatisch abfragen, die Ergebnisse mit bestehenden Datensätzen vergleichen und Abweichungen zur menschlichen Überprüfung kennzeichnen. Die Identitätsprüfung erfolgt im Hintergrund, ohne dass jemand manuell suchen muss.
Der LEI im regulatorischen Rahmen
Der LEI-Code ist nicht nur ein freiwilliges Instrument. Regulierungsbehörden auf der ganzen Welt haben begonnen, ihn direkt mit Zahlungssicherheit und Betrugsprävention zu verknüpfen.
Die EU-Verordnung über Sofortzahlungen schreibt seit Oktober 2025 vor, dass alle Zahlungsdienstleister im Euroraum den Namen des Zahlungsempfängers überprüfen müssen, bevor sie Sofortüberweisungen bearbeiten. Die Verordnung erkennt den LEI als Instrument zur Automatisierung des Abgleichs einer IBAN mit dem Namen des Kontoinhabers an. Dies reduziert direkt das Risiko von „Authorised Push Payment Fraud“, bei dem Gelder auf ein von einem Betrüger kontrolliertes Konto gesendet werden. Weitere Details dazu finden Sie in unserem Artikel über LEI und die Verifizierung des Zahlungsempfängers.
Die Financial Action Task Force (FATF) hat ihren internationalen Standard für Zahlungstransparenz, Empfehlung 16, im Juni 2025 aktualisiert. Nach dem überarbeiteten Standard müssen grenzüberschreitende Zahlungen über 1.000 Euro oder Dollar verifizierte Informationen sowohl über den Auftraggeber als auch über den Begünstigten enthalten. Wenn es sich bei der Partei um eine juristische Person handelt, ist der LEI einer der akzeptierten Identifikatoren. Der Standard tritt 2030 vollständig in Kraft.
Was Ihr Unternehmen heute tun kann
Beantragen Sie einen LEI-Code für Ihr Unternehmen. Mit einem LEI können Sie einen verifizierten Identifikator mit Partnern teilen, ihn auf Rechnungen und Verträgen angeben und ihn als Nachweis verwenden, dass Ihr Unternehmen das ist, was es vorgibt zu sein. Dies ist besonders wichtig bei grenzüberschreitenden Transaktionen, bei denen Ihr Vertragspartner möglicherweise keine Kenntnis von Ihrem lokalen Handelsregister hat. Die Registrierung dauert nur wenige Minuten und der LEI wird fast sofort ausgestellt: Registrieren Sie Ihren LEI-Code.
Fordern Sie einen LEI von Ihren Lieferanten an. Fügen Sie Ihrem Lieferanten-Onboarding-Prozess ein Feld hinzu. Die Verifizierung ist kostenlos und dauert Sekunden. Wenn die Daten übereinstimmen, haben Sie eine Bestätigung. Wenn nicht, haben Sie Grund, Fragen zu stellen, bevor Sie eine Zahlung tätigen.
Wenden Sie eine Regel für die Änderung von Bankdaten an. Jede Anfrage zur Änderung von Zahlungsdetails sollte zwei Bestätigungen erfordern: eine LEI-Prüfung und einen Anruf bei einer bereits in Ihren Unterlagen vorhandenen Kontaktnummer. Diese einzige Regel hätte die Mehrheit der klassischen Rechnungsbetrugsfälle verhindert.
Fügen Sie Ihren LEI auf Ihren Rechnungen hinzu. Dies hilft Ihren Partnern, Ihre Identität zu überprüfen und signalisiert, dass Ihr Unternehmen Transparenz ernst nimmt.
Zusammenfassung
Die meisten Zahlungsbetrugsfälle sind erfolgreich, weil die Identität des Vertragspartners nur schwer schnell und zuverlässig überprüft werden kann. Der LEI-Code behebt einen spezifischen und sehr häufigen Schwachpunkt: Ein einziger, global eindeutiger, öffentlich verifizierbarer Identifikator erschwert Betrug erheblich. Kleinere Unternehmen können die Überprüfung manuell in Sekunden durchführen. Größere Organisationen können den Prozess vollständig automatisieren.
Wenn Ihr Unternehmen noch keinen LEI-Code besitzt, ist die Beantragung der einfachste Schritt, den Sie heute unternehmen können, um die Sicherheit Ihrer Zahlungen zu verbessern: Registrieren Sie Ihren LEI-Code.
Wenn Ihr LEI-Code erneuert werden muss, können Sie dies hier tun: Erneuern Sie Ihren LEI-Code.