Warum Zahlungsbetrug ein Problem für jedes Unternehmen ist
Stellen Sie sich vor, Ihre Kreditorenbuchhaltung erhält eine E-Mail. Sie sieht exakt so aus wie eine Nachricht eines langjährigen Lieferanten – dasselbe Logo, dieselbe Grußformel, derselbe vertraute Tonfall. In der Nachricht heißt es, dass sich die Bankverbindung des Lieferanten geändert hat, und Sie werden gebeten, die nächste Zahlung auf ein neues Konto zu leisten. Die Zahlung wird ausgeführt. Eine Woche später ruft der echte Lieferant an und fragt, warum die Rechnung überfällig ist. Zu diesem Zeitpunkt ist das Geld bereits weg.
Dies ist kein hypothetisches Szenario. Es passiert jeden Tag Unternehmen auf der ganzen Welt.
Zahlungsbetrug betrifft nicht nur Banken oder Investmentfirmen. Er betrifft jedes Unternehmen, das Lieferanten bezahlt, Rechnungen begleicht oder Zahlungen von Kunden erhält. Und eines der praktischsten verfügbaren Instrumente, um dem entgegenzuwirken, ist der LEI-Code – etwas, von dem die meisten gewöhnlichen Unternehmen noch nie gehört haben.
Das Ausmaß des Zahlungsbetrugs ist erschreckend
Zahlungsbetrug ist kein Randproblem. Laut der Association for Financial Professionals waren im Jahr 2025 76 % der Organisationen von versuchtem oder tatsächlichem Zahlungsbetrug betroffen. Das bedeutet, dass zwei von drei Unternehmen in jedem beliebigen Jahr mit Betrugsversuchen konfrontiert werden.
Die Angriffe zielen genau auf die Personen ab, die alltägliche Rechnungen und Zahlungen bearbeiten: Buchhalter, Finanzmanager und Mitarbeiter im Einkauf. Laut dem 2024 Internet Crime Report des FBI verursachte der Betrug mit geschäftlichen E-Mails (Business Email Compromise) allein in den Vereinigten Staaten im Jahr 2024 Verluste in Höhe von 2,77 Milliarden Dollar bei 21.442 gemeldeten Vorfällen. Und das sind nur die Fälle, die gemeldet wurden.
Wie Zahlungsbetrug funktioniert: Drei gängige Maschen
Allen Formen des Zahlungsbetrugs liegt eine Bedingung zugrunde: Der Betrüger ist erfolgreich, weil das Opfer die Identität des Vertragspartners nicht schnell überprüfen kann.
Rechnungsbetrug und Identitätsdiebstahl von Lieferanten
Der Betrüger identifiziert einen regulären Lieferanten in Ihrem Netzwerk und sendet eine Rechnung, die identisch mit einer echten aussieht. Lediglich die Bankverbindung ist anders. In vielen Fällen ist kein Systemzugriff erforderlich. Öffentlich zugängliche Informationen, eine ähnliche E-Mail-Adresse und etwas Geduld reichen aus. Kleinere Unternehmen sind besonders gefährdet, da sie tendenziell über weniger formale Verifizierungsschritte verfügen.
Business Email Compromise (BEC)
Der Betrug über kompromittierte geschäftliche E-Mails ist raffinierter und schädlicher. Der Betrüger verschafft sich Zugriff auf das E-Mail-Konto Ihres Lieferanten, überwacht die Korrespondenz über Wochen und schaltet sich genau im richtigen Moment ein, kurz bevor eine große Rechnung fällig wird. Nur die Zahlungsdetails werden geändert, und das Geld geht auf das falsche Konto.
Was diese Masche so schwer erkennbar macht, ist die Tatsache, dass die Nachricht von einer echten E-Mail-Adresse kommt, einem realen Gesprächsverlauf folgt und keine technischen Anzeichen für Betrug enthält. Standard-E-Mail-Sicherheitsfilter halten sie nicht auf.
Erstellung fiktiver Lieferanten
Der Betrüger gründet ein fiktives Unternehmen, registriert es, erstellt eine Website und reicht ein Angebot ein. Das Unternehmen unterzeichnet einen Vertrag, zahlt einen Vorschuss, und der Lieferant verschwindet. Diese Masche zielt eher auf größere Organisationen mit komplexeren Beschaffungsprozessen ab.
In allen drei Fällen war das Opfer nicht in der Lage, zuverlässig zu überprüfen, mit wem es tatsächlich zu tun hatte. Ein Unternehmensname ist kein eindeutiges Identifikationsmerkmal, und Betrüger nutzen diese Lücke bewusst aus.
Warum Identitätsprüfung so schwierig ist
Registernummern sind länderspezifisch. Eine estnische Handelsregisternummer sagt einer deutschen Bank oder einem Partner in Singapur nichts. Jedes Land verwendet sein eigenes Format, sein eigenes Register und seine eigene Sprache. Im grenzüberschreitenden Geschäft bedeutet dies, dass die Überprüfung der Identität eines Vertragspartners langsame, manuelle Arbeit erfordert.
Unternehmensnamen sind nicht eindeutig. Viele Rechtsordnungen erlauben ähnliche oder sogar identische Namen in verschiedenen Ländern. Betrüger registrieren Unternehmen, deren Namen bekannten Organisationen stark ähneln, und verlassen sich darauf, dass vielbeschäftigte Finanzteams den Unterschied möglicherweise nicht bemerken.
Was der LEI-Code tatsächlich zeigt
Der LEI-Code (Legal Entity Identifier) ist eine 20-stellige, eindeutige Kennung, die jede Rechtseinheit weltweit erhalten kann. Die GLEIF (Global Legal Entity Identifier Foundation) führt eine öffentliche Datenbank mit verifizierten und aktuellen Informationen für jede registrierte Einheit.
Eine LEI-Suche liefert folgende Ergebnisse:
Level-1-Daten („Wer ist wer“): offizieller Name, eingetragene Adresse, Land und Rechtsraum, Handelsregisternummer und Register, Art der Einheit, LEI-Status (Aktiv oder Erloschen) sowie eine Historie der Datensatzänderungen.
Level-2-Daten („Wer gehört zu wem“): direkte Muttergesellschaft und oberste Muttergesellschaft innerhalb einer Unternehmensstruktur.
Was eine LEI-Suche nicht zeigt: Bankverbindungen, Kontaktnummern oder natürliche Personen. Es ist wichtig, dies zu verstehen, um das Tool korrekt einzusetzen.
Die LEI-Datenbank ist kostenlos, offen und erfordert keine Registrierung. Sie ist unter GLEIF LEI Search verfügbar.
Wie der LEI in der Praxis gegen Betrug hilft
Manuelle Verifizierung in drei Schritten
Schritt 1 — Fordern Sie den LEI-Code von jedem neuen Lieferanten an. Fügen Sie Ihrem Onboarding-Prozess für Lieferanten ein einziges Feld hinzu: LEI-Code. Dies ist ein Standardbestandteil der Due-Diligence-Prüfung von Vertragspartnern, den immer mehr Unternehmen mittlerweile routinemäßig anwenden.
Schritt 2 — Überprüfen Sie den Code in der GLEIF-Datenbank. Geben Sie den LEI-Code bei der GLEIF LEI Search ein oder nutzen Sie das LEI-Suchtool auf unserer Website. Sie sehen sofort den offiziellen Namen, die eingetragene Adresse und die Handelsregisternummer. Vergleichen Sie diese Angaben mit denen auf der Rechnung oder im Vertrag. Wenn alles übereinstimmt, ist die Identität bestätigt. Wenn nicht, ist dies ein klares Warnsignal.
Achten Sie auch auf den LEI-Status. „Aktiv“ bedeutet, dass die Daten aktuell und verifiziert sind. „Erloschen“ (Lapsed) bedeutet, dass die Einheit ihren LEI nicht verlängert hat und die Richtigkeit der Daten ungewiss ist. Ein erloschener LEI ist an sich schon ein Risikosignal, das nicht ignoriert werden sollte.
Schritt 3 — Behandeln Sie jede Änderung der Bankverbindung als zweistufigen Prozess. Der LEI zeigt keine Bankkontoinformationen an, daher kann er eine manuelle Prüfung in dieser Situation nicht vollständig ersetzen. Aber er hilft dennoch. Wenn Sie eine Anfrage zur Änderung der Zahlungsdaten erhalten, verifizieren Sie zunächst über den LEI, ob der Absender derjenige ist, für den er sich ausgibt. Rufen Sie dann den Lieferanten direkt unter einer Kontaktnummer an, die bereits in Ihren Unterlagen gespeichert ist – nicht unter einer, die in der neuen Nachricht angegeben wurde. Diese beiden Schritte zusammen decken die gängigsten Szenarien für Rechnungsbetrug ab.
Automatisierte Verifizierung für größere Organisationen
Für größere Organisationen, die hunderte von Lieferanten verwalten und hohe Zahlungsvolumina verarbeiten, sind manuelle Prüfungen zu langsam. Hier wird der LEI besonders wertvoll, da er ein strukturiertes, maschinenlesbares Datenformat ist.
Die GLEIF stellt eine öffentliche API zur Verfügung, mit der LEI-Daten direkt in Unternehmenssoftware integriert werden können. Eine Kreditorenbuchhaltungs-Plattform oder ein Lieferantenmanagementsystem kann die GLEIF-Datenbank für jeden neuen Vertragspartner automatisch abfragen, die Ergebnisse mit bestehenden Datensätzen vergleichen und etwaige Unstimmigkeiten zur menschlichen Überprüfung markieren. Die Identitätsprüfung erfolgt im Hintergrund, ohne dass jemand manuell suchen muss.
Der LEI im regulatorischen Rahmen
Der LEI-Code ist nicht nur ein freiwilliges Instrument. Regulierungsbehörden weltweit haben begonnen, ihn direkt mit Zahlungssicherheit und Betrugsprävention zu verknüpfen.
Die EU-Verordnung über Sofortzahlungen verpflichtet alle Zahlungsdienstleister im Euroraum seit Oktober 2025 dazu, den Namen des Zahlungsempfängers vor der Verarbeitung von Echtzeitüberweisungen zu überprüfen. Die Verordnung erkennt den LEI als Instrument zur Automatisierung des Abgleichs einer IBAN mit dem Namen des Kontoinhabers an. Dies reduziert direkt das Risiko von Betrug bei autorisierten Zahlungen (Authorized Push Payment Fraud), bei dem Gelder auf ein von einem Betrüger kontrolliertes Konto gesendet werden. Weitere Details hierzu finden Sie in unserem Artikel über LEI und die Verifizierung des Zahlungsempfängers.
Die Financial Action Task Force (FATF) hat im Juni 2025 ihren internationalen Standard für Transparenz im Zahlungsverkehr, die Empfehlung 16, aktualisiert. Nach dem überarbeiteten Standard müssen grenzüberschreitende Zahlungen über 1.000 Euro oder Dollar verifizierte Informationen sowohl über den Auftraggeber als auch über den Begünstigten enthalten. Wenn es sich bei der Partei um eine juristische Person handelt, ist der LEI eine der akzeptierten Kennungen. Der Standard tritt 2030 vollständig in Kraft.
Was Ihr Unternehmen heute tun kann
Beantragen Sie einen LEI-Code für Ihr Unternehmen. Mit einem LEI können Sie Partnern eine verifizierte Kennung mitteilen, diese auf Rechnungen und Verträgen angeben und sie als Beweis dafür nutzen, dass Ihr Unternehmen das ist, was es vorgibt zu sein. Dies ist besonders bei grenzüberschreitenden Transaktionen wichtig, bei denen Ihr Vertragspartner möglicherweise nicht mit Ihrem lokalen Handelsregister vertraut ist. Die Registrierung dauert nur wenige Minuten und der LEI wird fast sofort ausgestellt: Registrieren Sie Ihren LEI-Code.
Verlangen Sie einen LEI von Ihren Lieferanten. Fügen Sie Ihrem Onboarding-Prozess für Lieferanten ein Feld hinzu. Die Verifizierung ist kostenlos und dauert Sekunden. Wenn die Daten übereinstimmen, haben Sie Gewissheit. Wenn nicht, haben Sie Grund, Fragen zu stellen, bevor Sie eine Zahlung leisten.
Führen Sie eine Regel für die Änderung von Bankverbindungen ein. Jede Anfrage zur Änderung von Zahlungsdaten sollte zwei Bestätigungen erfordern: eine LEI-Prüfung und einen Telefonanruf bei einer Kontaktnummer, die bereits in Ihren Unterlagen hinterlegt ist. Diese einzige Regel hätte die Mehrheit der klassischen Fälle von Rechnungsbetrug verhindert.
Geben Sie Ihren LEI auf Ihren Rechnungen an. Dies hilft Ihren Partnern, Ihre Identität zu überprüfen, und signalisiert, dass Ihr Unternehmen Transparenz ernst nimmt.
Zusammenfassung
Der meiste Zahlungsbetrug gelingt, weil die Identität des Vertragspartners schwer schnell und zuverlässig zu überprüfen ist. Der LEI-Code adressiert eine spezifische und sehr häufige Schwachstelle: Eine einzige, weltweit eindeutige und öffentlich verifizierbare Kennung macht es deutlich schwieriger, Betrug zu begehen. Kleinere Unternehmen können die Prüfung manuell in Sekunden durchführen. Größere Organisationen können den Prozess vollständig automatisieren.
Wenn Ihr Unternehmen noch keinen LEI-Code hat, ist die Beantragung der einfachste Schritt, den Sie heute unternehmen können, um die Sicherheit Ihrer Zahlungen zu verbessern: Registrieren Sie Ihren LEI-Code.
Wenn Ihr LEI-Code erneuert werden muss, können Sie das hier tun: Erneuern Sie Ihren LEI-Code.