Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Branche8 min Lesezeit

Bankverbindung und IBAN-Verifizierung: Kontodaten korrekt pruefen

Wie eine Bankverbindung und IBAN in Deutschland geprueft wird: Struktur des Codes, Kontrollalgorithmus, Bankleitzahl (BLZ), Deutsche Bundesbank, SEPA-Regulierung, Ueberweisungsbetrug und automatisierte Verifizierungsloesungen.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for Bankverbindung und IBAN-Verifizierung: Kontodaten korrekt pruefen — Branche

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Die Verifizierung von Bankverbindungsdaten ist ein zentraler Bestandteil jedes Know-Your-Customer-Prozesses (KYC), jeder Lieferantenzahlung und jeder SEPA-Lastschriftermaechtigung. In Deutschland stellt der Betrug mit manipulierten Bankverbindungen ein wachsendes Risiko dar: Die Deutsche Bundesbank berichtet in ihren Zahlungsverkehrsstatistiken ueber einen Anstieg betruegerischer Ueberweisungen, und die BaFin hat ihre Anforderungen an die Betrugspreventionskontrollen bei Zahlungsdienstleistern verschaerft. Dieser Leitfaden beschreibt die Struktur der deutschen IBAN, die verfuegbaren Verifizierungsmethoden und die bewhrten Verfahren zum Schutz Ihrer Finanzstroeme.

Dieser Artikel dient ausschliesslich der Information und stellt keine Rechtsberatung dar. Fuer situationsspezifische Fragen wenden Sie sich an einen Rechtsberater.

Struktur der deutschen IBAN und das Erbe der Bankleitzahl

Vor der SEPA-Migration verwendete Deutschland die Bankleitzahl (BLZ) als Identifikator fuer Kreditinstitute in Kombination mit der Kontonummer. Die BLZ ist eine achtstellige Nummer, die von der Deutschen Bundesbank vergeben wird und jedes Kreditinstitut eindeutig identifiziert. Mit der SEPA-Einfuehrung wurde die IBAN zum obligatorischen Format, wobei die BLZ als integraler Bestandteil erhalten blieb.

Aufbau einer deutschen IBAN

Die deutsche IBAN umfasst 22 Zeichen und folgt der Norm ISO 13616.

Element Position Laenge Beispiel
Laendercode 1-2 2 Buchstaben DE
Pruefziffern 3-4 2 Ziffern 89
Bankleitzahl (BLZ) 5-12 8 Ziffern 37040044
Kontonummer 13-22 10 Ziffern 0532013000

Die BLZ identifiziert das Kreditinstitut (z. B. 37040044 steht fuer die Commerzbank Koeln, 10070000 fuer die Deutsche Bank Berlin). Die Kontonummer wird bei Bedarf mit fuehrenden Nullen auf 10 Stellen aufgefuellt.

Vergleich der IBAN-Strukturen in Europa

Land Praefix Laenge Struktur nach Pruefziffern Frueheres Format
Deutschland DE 22 8 (BLZ) + 10 (Kontonummer) BLZ + Kontonummer
Frankreich FR 27 5 (Bank) + 5 (Filiale) + 11 (Konto) + 2 (Schluessel) RIB
Niederlande NL 18 4 (Bank Buchstaben) + 10 (Kontonummer) Rekeningnummer
Spanien ES 24 4 (Bank) + 4 (Filiale) + 2 (Kontrolle) + 10 (Konto) CCC
Portugal PT 25 4 (Bank) + 4 (Filiale) + 11 (Konto) + 2 (Kontrolle) NIB
Vereinigtes Koenigreich GB 22 4 (Bank Buchstaben) + 6 (Sort Code) + 8 (Konto) Sort Code + Account

Der IBAN-Pruefziffern-Algorithmus (MOD 97-1)

Die Pruefziffern der IBAN (Positionen 3-4) werden mit dem MOD-97-1-Algorithmus berechnet, der in der Norm ISO 7064 definiert ist. Diese Validierung erkennt ueber 98 % der Uebertragungsfehler, einschliesslich Transpositionen benachbarter Ziffern und Zeichensubstitutionen.

Das Verfahren umfasst vier Schritte. Zuerst die ersten vier Zeichen (Laendercode und Pruefziffern) ans Ende der Zeichenkette verschieben. Dann alle Buchstaben in Zahlen umwandeln gemaess der Tabelle A=10, B=11 usw. Anschliessend den Rest der Division des resultierenden Wertes durch 97 berechnen. Ist das Ergebnis gleich 1, ist die IBAN syntaktisch korrekt.

Diese mathematische Pruefung erkennt Tippfehler, bestaetigt aber weder die Existenz des Kontos noch die Identitaet des Inhabers oder den Aktivstatus des Kontos.

Die Rolle der Deutschen Bundesbank

Die Deutsche Bundesbank fuehrt das offizielle Verzeichnis der Bankleitzahlen. Dieses Verzeichnis wird vierteljaehrlich aktualisiert und ist oeffentlich zugaenglich. Es ermoeglicht die Pruefung, ob eine BLZ einem aktiven Kreditinstitut zugeordnet ist, welcher Bezeichnung dieses Institut traegt und ueber welchen BIC es erreichbar ist.

Fuer die IBAN-Verifizierung ist die Abfrage des BLZ-Verzeichnisses ein erster Validierungsschritt: Ist die in der IBAN enthaltene BLZ nicht im Verzeichnis vorhanden, kann die IBAN keinem existierenden Institut zugeordnet werden.

Kontopruefziffernverfahren

Ueber die IBAN-Pruefziffern hinaus verwenden deutsche Banken institutsindividuelle Pruefziffernverfahren fuer die Kontonummer selbst. Die Bundesbank dokumentiert ueber 140 verschiedene Pruefziffernverfahren (Methoden 00 bis D9). Jeder BLZ ist ein bestimmtes Verfahren zugeordnet. Diese zusaetzliche Pruefung erhoet die Erkennungsrate von Eingabefehlern, erfordert aber die Implementierung des jeweils zutreffenden Verfahrens.

Regulatorischer Rahmen in Deutschland

Die Verifizierung von Bankverbindungsdaten in Deutschland unterliegt mehreren regulatorischen Anforderungen. Das Geldwaeschegesetz (GwG), insbesondere die Paragraphen 10 bis 17, verpflichtet Verpflichtete zur Identifizierung und Verifizierung ihrer Kunden, wozu auch die Feststellung der Kontoverbindung gehoeren kann. Die BaFin ueberwacht die Einhaltung dieser Verpflichtungen.

Die europaeische Verordnung ueber Sofortzahlungen, die 2025-2026 vollstaendig in Kraft tritt, verpflichtet alle Zahlungsdienstleister im SEPA-Raum zur Verification of Payee (VoP): die Ueberpruefung der Uebereinstimmung zwischen IBAN und dem Namen des Zahlungsempfaengers vor der Ausfuehrung einer Ueberweisung. Diese Verpflichtung gilt auch fuer deutsche Banken und Zahlungsinstitute.

Das Zahlungsdiensteaufsichtsgesetz (ZAG) regelt die Aufsicht ueber Zahlungsdienstleister und setzt die europaeische Zahlungsdiensterichtlinie (PSD2) in deutsches Recht um. Es verpflichtet Zahlungsdienstleister zu angemessenen Sicherheitsmassnahmen bei der Zahlungsausfuehrung.

Haeufige Betrugsformen in Deutschland

Rechnungsbetrug (IBAN-Aenderung)

Der Betrueger gibt sich als bestehender Lieferant aus und sendet eine E-Mail oder einen Brief mit der Bitte um Aktualisierung der Bankverbindung. Ohne Verifizierung des Kontoinhabers werden nachfolgende Zahlungen auf das Konto des Betruegers ueberwiesen. Das Bundeskriminalamt (BKA) warnt regelmaessig vor dieser Betrugsform, die besonders KMU betrifft.

CEO-Betrug (Chef-Masche)

Der Kriminelle gibt sich als Geschaeftsfuehrer oder Vorstand aus und ordnet eine dringende Ueberweisung auf ein externes Konto an. Die wahrgenommene Autoritaet und Dringlichkeit umgehen die ueblichen internen Kontrollen.

Phishing und Finanzagenten

Phishing-Kampagnen in Deutschland zielen darauf ab, Bankzugangsdaten zu erlangen, die ein Netzwerk von Finanzagenten (Geldkuriere) speisen. Diese Konten werden genutzt, um betruegerische Gelder zu empfangen und weiterzuleiten. Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) veroeffentlicht regelmaessig Warnungen zu diesen Praktiken.

Verifizierungsmethoden in der Praxis

Stufe 1: Formatvalidierung

Pruefen, ob die IBAN dem 22-Zeichen-Format fuer Deutschland entspricht, ob die BLZ im Verzeichnis der Bundesbank enthalten ist und ob die MOD-97-1-Pruefziffern korrekt sind. Optional: Kontonummern-Pruefziffernverfahren anwenden. Diese Stufe erkennt Eingabefehler.

Stufe 2: Verifizierung der Kontoexistenz

Feststellen, ob das Konto existiert und aktiv ist. IBAN-Verifizierungs-APIs pruefen die Existenz des Kontos durch Abfrage des Bankennetzwerks. Diese Stufe erkennt erfundene IBAN oder IBAN aufgeloester Konten.

Stufe 3: Verifizierung der Uebereinstimmung Kontoinhaber-IBAN

Die umfassendste Kontrolle prueft, ob der Kontoinhaber mit der angegebenen Person oder Firma uebereinstimmt. Mit der Einfuehrung von VoP werden deutsche Banken diese Kontrolle systematisch implementieren. Diese Verifizierung wird ergaenzt durch Identitaetspruefung und KYC-Verfahren.

Grenzen der syntaktischen Validierung

Eine IBAN kann alle Format- und Pruefziffernvalidierungen bestehen und dennoch betruegerisch sein. Drei Szenarien verdeutlichen diese Einschraenkung.

Das erste Szenario ist die Rechnungsmanipulation: Ein Betrueger faengt eine legitime Rechnung ab und ersetzt die IBAN des Lieferanten durch seine eigene. Die IBAN des Betruegers ist technisch korrekt, mit gueltigen Pruefziffern. Das zweite Szenario betrifft aufgeloeste Konten: Eine gueltige IBAN kann zu einem geschlossenen Konto gehoeren, was zur Ablehnung der Ueberweisung mit entsprechenden Verzoegerungen und Kosten fuehrt. Das dritte Szenario ist Identitaetsdiebstahl: Ein Krimineller eroeffnet ein Konto unter einer falschen Identitaet und teilt eine syntaktisch einwandfreie IBAN mit.

Diese Szenarien verdeutlichen, warum syntaktische Validierung stets durch Pruefungen der Uebereinstimmung zwischen Kontoinhaber und angegebener Person oder Firma ergaenzt werden muss.

Automatisierung der Bankverbindungspruefung

Die manuelle Verifizierung von IBAN ist nicht skalierbar. Eine Buchhaltungsabteilung, die Hunderte von Rechnungen monatlich verarbeitet, kann nicht telefonisch den Kontoinhaber jeder Bankverbindung ueberpruefen. Automatisierte Dokumentenvalidierungsloesungen ermoeglichen die Integration der IBAN-Verifizierung direkt in den Workflow der Rechnungsverarbeitung und Vertragsbearbeitung.

Das System extrahiert die IBAN aus dem Dokument, validiert das Format, prueft die Existenz des Kontos ueber eine API und verifiziert die Uebereinstimmung mit dem Namen des angegebenen Zahlungsempfaengers. Jede Aenderung der Bankverbindung bei einem bestehenden Lieferanten loest eine Warnung und einen sekundaeren Bestaetigungsworkflow aus.

Dieser automatisierte Ansatz integriert sich in eine umfassendere Strategie der Sorgfaltspflichten und Adressnachweis-Verifizierung, bei der jedes Dokument geprueft wird, bevor es im System akzeptiert wird.

Bewaehrte Verfahren fuer Unternehmen

Der Schutz vor Betrug mit Bankverbindungsdaten erfordert eine Kombination aus Prozessen und Technologie. Erstens das Vier-Augen-Prinzip anwenden: Jede Aenderung der Bankverbindung eines Lieferanten muss von zwei Personen genehmigt werden, wobei eine den Lieferanten ueber einen unabhaengigen Kanal kontaktiert. Zweitens ein Aenderungsprotokoll der Bankverbindungen fuehren mit Datum, Begruendung und Nachweis jeder Aenderung. Drittens automatische Warnungen bei IBAN-Aenderungen bestehender Lieferanten einrichten. Viertens die Buchhaltungs- und Treasury-Mitarbeiter in gaengigen Betrugsmustern und Warnsignalen schulen (ungewoehnliche Dringlichkeit, IBAN-Aenderung unmittelbar vor einer wichtigen Zahlung, E-Mail von einer leicht abweichenden Domain).

Haeufig gestellte Fragen

Reicht die Validierung der IBAN-Pruefziffern aus, um die Sicherheit einer Ueberweisung zu gewaehrleisten?

Nein. Der MOD-97-1-Algorithmus prueft ausschliesslich die mathematische Konsistenz der IBAN. Er bestaetigt weder die Existenz des Kontos noch die Identitaet des Inhabers oder den Aktivstatus. Eine syntaktisch korrekte IBAN kann einem Betrueger gehoeren.

Was ist die Bankleitzahl und welche Rolle spielt sie bei der IBAN-Verifizierung?

Die Bankleitzahl (BLZ) ist eine achtstellige Nummer, die jedes Kreditinstitut in Deutschland eindeutig identifiziert. Sie wird von der Deutschen Bundesbank vergeben und ist in der IBAN an den Positionen 5-12 enthalten. Die Pruefung der BLZ gegen das aktuelle Verzeichnis der Bundesbank stellt sicher, dass die IBAN einem existierenden Institut zugeordnet werden kann.

Was ist Verification of Payee und wann wird sie in Deutschland verpflichtend?

Verification of Payee (VoP) ist ein Dienst, der die Uebereinstimmung zwischen der IBAN und dem Namen des Zahlungsempfaengers vor der Ausfuehrung einer Ueberweisung prueft. Die europaeische Verordnung ueber Sofortzahlungen macht diese Pruefung fuer alle Zahlungsdienstleister im SEPA-Raum verpflichtend. Die vollstaendige Umsetzung ist zwischen 2025 und 2026 vorgesehen.

Was sollte ein Unternehmen tun, wenn ein Lieferant eine Aenderung der Bankverbindung anfordert?

Bankverbindungsdaten niemals allein auf Grundlage einer E-Mail oder eines Briefes aktualisieren. Den Lieferanten ueber eine zuvor verifizierte Telefonnummer kontaktieren. Die neue IBAN ueber eine Verifizierungs-API oder den VoP-Dienst pruefen. Doppelte Autorisierung fuer jede Aenderung von Bankverbindungsdaten im Kreditorensystem verlangen. Die Verifizierung im Pruefprotokoll dokumentieren.

Wie erkennt man eine gefaelschte IBAN in einer Rechnung?

Die Analyse der Dokumentmetadaten (Erstellungsdatum, Bearbeitungssoftware, Aenderungsverlauf) kann Manipulationen aufdecken. Der Vergleich mit zuvor gespeicherten Bankverbindungsdaten ermoeglicht die Erkennung verdaechtiger Aenderungen. Automatisierte Dokumentenvalidierungsloesungen kombinieren beide Ansaetze und ergaenzen die Verifizierung des Kontoinhabers ueber eine API.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Branche9 min

Notar Identitaetspruefung: digitale Transformation

Pflichten der Identitaetspruefung fuer Notare in Deutschland: rechtlicher Rahmen, digitale Werkzeuge, GwG-Compliance und digitale Transformation von Notariaten.

Lesen
Branche10 min

Dokumentenprüfung nach Branche: Sektorleitfaden 2026

Dokumentenprüfung nach Branche: Versicherung, Immobilien, Kanzleien, Steuerberater, Leasing, öffentlicher Sektor. Anforderungen und Lösungen pro Sektor.

Lesen
Branche9 min

Autohandel Dokumenten-Compliance: Kfz-Zulassung und Identitätsprüfung des Käufers

Vollständiger Leitfaden zur Dokumenten-Compliance im Autohandel in Deutschland: Kfz-Zulassung, Zulassungsbescheinigung Teil I und II, HU/TÜV, Halterwechsel beim KBA, Identitätsprüfung des Käufers und Dokumente je Transaktionstyp.

Lesen