Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Branche11 min Lesezeit

Gefälschte Bankverbindung erkennen: KI-Betrug stoppen

Wie Kreditorenteams KI-gefälschte Bankverbindungen bei Änderungsanträgen erkennen: Warnsignale, Prüfschritte und BaFin-, BSI- und BKA-Hinweise im Überblick.

Das CheckFile-Team
Das CheckFile-Team·
Illustration for Gefälschte Bankverbindung erkennen: KI-Betrug stoppen — Branche

Diesen Artikel zusammenfassen mit

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechts- oder Regulierungsberatung dar.

Eine E-Mail mit der Bitte, die Bankverbindung eines langjährigen Lieferanten zu aktualisieren, ist einer der häufigsten Auslöser für Zahlungsbetrug in deutschen Unternehmen. Nach einer Bitkom-Erhebung waren 2023 bereits 36 Prozent der befragten Unternehmen von Betrugsversuchen mit gefälschten Lieferanten betroffen, Tendenz steigend (Bitkom, zitiert bei IHK Osnabrück). Generative KI verschärft dieses Risiko, weil sie die gefälschten Belege liefert, die eine solche Änderungsanfrage glaubwürdig erscheinen lassen — von der Bankbestätigung bis zum Kontoauszug mit Briefkopf und Stempel.

Dieser Beitrag richtet sich an Finanz- und Kreditorenbuchhaltungsteams, die vor der Auszahlung entscheiden müssen, ob eine geänderte Bankverbindung echt ist. Er beschreibt den typischen Ablauf der Betrugsmasche, konkrete Erkennungsmerkmale bei KI-generierten Bankdokumenten und ein Prüfprotokoll, das sich in bestehende Freigabeprozesse integrieren lässt. Für eine breitere Einordnung von KI-Dokumentenbetrug im Finanzwesen siehe unseren Leitfaden zur branchenspezifischen Verifizierung.

Wie die Betrugsmasche "Änderung der Bankverbindung" abläuft

Der Betrug beginnt fast immer mit kompromittierter oder gefälschter E-Mail-Kommunikation, nicht mit dem gefälschten Dokument selbst. Kriminelle verschaffen sich Zugriff auf ein echtes Postfach — häufig durch Phishing beim Lieferanten oder beim eigenen Unternehmen — oder registrieren eine Domain, die sich nur durch ein einziges Zeichen vom Original unterscheidet. Aus diesem kompromittierten oder gefälschten Konto heraus wird eine Änderung der Zahlungsdaten angekündigt, meist eingebettet in einen plausiblen Anlass: ein Bankwechsel, eine Umstrukturierung oder eine angebliche Insolvenzabwicklung.

Der typische Ablauf kombiniert Social Engineering mit einem gefälschten Beleg

Auf die Ankündigung folgt in der Regel ein zweites Dokument als "Nachweis": eine eingescannte Bankbestätigung, ein IBAN-Zertifikat der Hausbank oder ein Kontoauszug mit dem Logo des vermeintlichen Kreditinstituts. Genau dieses Dokument ist zunehmend KI-generiert oder KI-gestützt manipuliert. Der Vorgang läuft meist parallel zu klassischem CEO-Fraud ab: Eine zweite, dringliche Nachricht — angeblich vom Geschäftsführer oder von der Finanzleitung — fordert die schnelle Bearbeitung, um internen Rückfragen zuvorzukommen. Diese Kombination aus Autoritätsdruck und scheinbar amtlichem Beleg ist der Kern dessen, was in Deutschland als "Chef-Masche" oder "Fake-President-Betrug" bekannt ist.

Das Bundeskriminalamt bezifferte im Bundeslagebild Cybercrime 2024 den durch Cyberangriffe verursachten Gesamtschaden in Deutschland auf 178,6 Milliarden Euro — ein weiterer Anstieg gegenüber dem Vorjahr, wobei Zahlungs- und Rechnungsbetrug einen wesentlichen Anteil ausmachen (BKA Bundeslagebild Cybercrime 2024). Die Industrie- und Handelskammer Schwaben dokumentiert zusätzlich, dass rund 250 deutsche Unternehmen seit 2013 durch CEO-Fraud einen Gesamtschaden von etwa 110 Millionen Euro erlitten haben.

Warum KI-generierte Bankdokumente heute so überzeugend wirken

Bis vor wenigen Jahren verrieten sich gefälschte Bankbestätigungen durch unscharfe Logos, falsche Schriftarten oder erkennbare Bildbearbeitung. Diffusionsmodelle und PDF-Klontechniken haben diese Schwachstellen weitgehend beseitigt. Ein Betrüger kann heute mit wenigen Eingaben ein Dokument erzeugen, das Layout, Wasserzeichen und Stempel einer bekannten deutschen Bank optisch reproduziert — komplett mit plausibler IBAN-Formatierung und BIC. Ergänzend dient eine legitim beschaffte Bankbestätigung als Vorlage, in der nur IBAN und Kontoinhaber ausgetauscht werden, während Layout und Bildqualität unangetastet bleiben.

Die visuelle Prüfung, auf die sich Kreditorenteams historisch verlassen haben, verliert dadurch ihre Aussagekraft: Laut ACFE Report to the Nations 2024 werden nur 37 Prozent der Dokumentenfälschungen durch manuelle Kontrollen erkannt, bei einer durchschnittlichen Verzögerung von 87 Tagen bis zur Entdeckung (ACFE Report to the Nations 2024). Bei einer Änderung der Bankverbindung bedeutet diese Verzögerung meist, dass mehrere Zahlungen bereits auf dem betrügerischen Konto gelandet sind, bevor der Fehler auffällt.

Warnsignale, die vor der Zahlung geprüft werden müssen

Ein gefälschtes Bankdokument verrät sich selten durch offensichtliche optische Fehler, sondern durch die Umstände der Anfrage und durch technische Merkmale, die eine Sichtprüfung nicht erfasst. Die folgende Übersicht ordnet die wichtigsten Signale nach Risikoniveau.

Signal Risikoniveau Wie es geprüft wird
Änderungsanfrage per E-Mail ohne vorherige Ankündigung Sehr hoch Rückruf über hinterlegte Nummer aus dem Lieferantenstamm
Neue IBAN verweist auf andere Bank oder anderes Land als bisher Sehr hoch Abgleich mit Zahlungshistorie, Kontoinhaberprüfung
Dringlichkeit oder Drohung mit Lieferstopp bei Verzögerung Hoch Standardisierte Wartezeit vor Freigabe erzwingen
Bankbestätigung als Bilddatei statt strukturiertes PDF Hoch Metadatenprüfung, Formatvergleich mit früheren Belegen
PDF-Metadaten verweisen auf Bildbearbeitungssoftware statt Bankensystem Hoch Automatisierte Metadatenextraktion
Absenderadresse mit minimal abweichender Domain Hoch Domainabgleich, technische E-Mail-Header-Prüfung
Anfrage kurz vor einer bereits terminierten Großzahlung Mittel bis hoch Kalenderabgleich, Vier-Augen-Freigabe
Kontoinhabername auf der Bankbestätigung weicht leicht vom Lieferantennamen ab Mittel Namensabgleich mit Handelsregistereintrag

Eine Änderung der Bankverbindung unmittelbar vor einer terminierten Großzahlung ist statistisch das zuverlässigste Einzelsignal, weil sie dem Betrüger das engste Zeitfenster für den größten Ertrag bietet — ein Muster, das das Bundesamt für Sicherheit in der Informationstechnik in seinen CEO-Fraud-Hinweisen ausdrücklich beschreibt (BSI zu CEO-Fraud). Weiterführende Hinweise zur technischen IBAN-Prüfung — Aufbau, Prüfziffernalgorithmus und Grenzen der syntaktischen Validierung — finden sich in unserem Beitrag zur Verifizierung von Bankverbindung und IBAN.

Was tun, wenn das gefälschte Dokument mit einer echten Rechnung kombiniert wird

Häufig verschicken Betrüger nicht nur eine isolierte Bankänderung, sondern eine vollständig manipulierte Rechnung, bei der ausschließlich das IBAN-Feld ausgetauscht wurde. Die Rechnung selbst — Leistungsbeschreibung, Beträge, Steuerangaben — bleibt korrekt, weil sie auf einem echten Dokument basiert. Diese Kombination ist besonders schwer zu erkennen, weil die inhaltliche Plausibilitätsprüfung keinen Anlass zum Zweifel liefert. Details zu den technischen Erkennungsmerkmalen manipulierter Rechnungen — Metadatenabweichungen, USt-IdNr.-Prüfung, IBAN-Kontoinhaberabgleich — beschreibt unser Leitfaden zur KI-Erkennung gefälschter Rechnungen.

Fünf-Schritte-Prüfprotokoll vor jeder Zahlung an eine geänderte Bankverbindung

Ein wirksames Protokoll unterbricht den Zahlungsprozess systematisch, sobald eine Bankverbindung neu ist oder sich geändert hat — unabhängig davon, wie dringlich oder glaubwürdig die Anfrage wirkt.

Schritt 1: Zahlung automatisch sperren, sobald sich eine Bankverbindung ändert

Jedes ERP- oder Kreditorensystem sollte eine Änderung der hinterlegten IBAN eines bestehenden Lieferanten automatisch erkennen und die betroffene Zahlung bis zur Freigabe durch eine zweite Person blockieren. Diese Regel gilt unabhängig vom Betrag, weil Betrüger ihre erste Testzahlung häufig bewusst niedrig ansetzen.

Schritt 2: Rückruf über eine unabhängig verifizierte Telefonnummer

Der Lieferant wird ausschließlich über eine Nummer kontaktiert, die bereits vor der verdächtigen Anfrage im Stammdatensatz hinterlegt war — niemals über eine Nummer aus der E-Mail oder dem übermittelten Dokument selbst. Diese einzelne Maßnahme gilt in Fachkreisen als wirksamste Einzelkontrolle gegen Bankverbindungsbetrug, weil sie den Angreifer aus dem Kommunikationskanal ausschließt.

Schritt 3: Das Bankdokument technisch prüfen, nicht nur visuell

Eine automatisierte Prüfung analysiert Metadaten (Erstellungssoftware, Zeitstempel, Bearbeitungshistorie), gleicht Schriftbild und Layout mit zuvor archivierten echten Belegen desselben Instituts ab und markiert strukturelle Auffälligkeiten, die für KI-generierte oder nachbearbeitete Dokumente typisch sind. Unser Ansatz kombiniert mehrschichtige Analyse — Struktur, Metadaten, dokumentenübergreifende Konsistenz —, um Anzeichen manipulierter Bankdokumente aufzudecken, ergänzend zu den bereits bestehenden manuellen Kontrollen im Team.

Schritt 4: Kontoinhaberschaft unabhängig vom eingereichten Dokument verifizieren

Wo verfügbar, wird die Übereinstimmung zwischen IBAN und Kontoinhabername über eine externe Prüfung bestätigt, statt sich auf die im Dokument angegebenen Daten zu verlassen. Diese Kontrolle deckt Fälle ab, in denen ein technisch einwandfreies, aber auf ein fremdes Konto lautendes Dokument eingereicht wird.

Schritt 5: Vier-Augen-Freigabe und lückenlose Dokumentation

Jede Änderung wird von einer zweiten, von der Antragsprüfung unabhängigen Person freigegeben und mit Zeitstempel, Prüfmethode und Ergebnis im Prüfpfad dokumentiert. Diese Dokumentation ist im Verdachtsfall die Grundlage für eine Meldung an die Zentralstelle für Finanztransaktionsuntersuchungen (FIU) nach § 43 Geldwäschegesetz, sofern das Unternehmen zu den Verpflichteten zählt (GwG, gesetze-im-internet.de).

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Kostenloses Pilotprojekt anfragen

Rechtliche Konsequenzen einer Zahlung an die falsche Bankverbindung

Eine Zahlung, die auf ein betrügerisches Konto fließt, befreit das zahlende Unternehmen nicht automatisch von seiner Schuld gegenüber dem echten Lieferanten. Das Oberlandesgericht Karlsruhe hat entschieden, dass eine Überweisung auf ein falsches, durch Betrug untergeschobenes Konto keine schuldbefreiende Erfüllung darstellt, wenn der Zahlende die gebotene Sorgfalt bei der Prüfung der Kontoverbindung verletzt hat (OLG Karlsruhe, zusammengefasst bei anwalt.de). In der Praxis bedeutet das: Das betroffene Unternehmen zahlt möglicherweise zweimal — einmal an den Betrüger, einmal an den tatsächlichen Lieferanten.

Strafrechtlich erfüllt die Verwendung eines gefälschten Bankdokuments regelmäßig den Tatbestand der Urkundenfälschung nach § 267 StGB sowie des Betrugs nach § 263 StGB (Strafgesetzbuch, gesetze-im-internet.de). Für GwG-verpflichtete Unternehmen — Banken, Zahlungsdienstleister, aber auch bestimmte Berufsgruppen — kommt bei Verdacht auf Geldwäschebezug die Meldepflicht nach § 43 GwG hinzu, verbunden mit dem Tipping-off-Verbot nach § 47 GwG, das eine Information des mutmaßlichen Täters ausdrücklich untersagt. Die BaFin erwartet im Rahmen ihrer MaRisk-Vorgaben, dass beaufsichtigte Unternehmen wirksame interne Kontrollen gegen genau diese Betrugsform vorhalten.

Was Kreditorenteams in Fachforen tatsächlich fragen

In Fachforen und Buchhaltungscommunities wiederholen sich bestimmte Fragestellungen rund um Bankverbindungsbetrug auffällig oft. Anwender fragen häufig, ob ein Rückruf beim Lieferanten überhaupt praktikabel ist, wenn täglich Dutzende Rechnungen mit unterschiedlichen Lieferanten bearbeitet werden — die Antwort der Praxis ist eine risikobasierte Priorisierung, bei der jede Bankverbindungsänderung unabhängig vom Rechnungsvolumen die Kontrolle auslöst, während Routinezahlungen an unveränderte Konten schneller durchlaufen. Eine zweite wiederkehrende Frage betrifft die Haftung: Wer trägt den Schaden, wenn die Bankverbindung intern geprüft, aber trotzdem gefälscht war? Hier verweist die einschlägige Rechtsprechung — etwa die oben genannte OLG-Karlsruhe-Entscheidung — auf den Sorgfaltsmaßstab der Zahlungsprüfung, nicht auf einen absoluten Schutz. Eine dritte Frage betrifft die Abgrenzung zu klassischem Rechnungsbetrug: Anwender möchten wissen, ob "Änderung der Bankverbindung" und "gefälschte Rechnung" getrennt behandelt werden müssen. In der Praxis überschneiden sich beide Muster meist, weshalb Prüfprozesse beide Signalquellen — Dokumenteninhalt und Bankdaten — gemeinsam abdecken sollten. Diese Überschneidung ist der Grund, warum ein wirksames Prüfprotokoll Bankdaten und Rechnungsinhalt stets gemeinsam betrachtet, statt beide Signalquellen getrennten Teams oder Prozessschritten zuzuordnen.

Automatisierte Erkennung als Ergänzung zu bestehenden Kontrollen

Manuelle Prozesse — Rückruf, Vier-Augen-Prinzip, Stammdatenabgleich — bleiben die Grundlage jeder wirksamen Betrugsprävention und lassen sich nicht vollständig ersetzen. Sie stoßen jedoch an Grenzen, sobald ein Kreditorenteam hunderte Änderungsanfragen pro Monat bearbeitet oder wenn ein gefälschtes Dokument technisch so überzeugend ist, dass eine Sichtprüfung keinen Verdacht auslöst. Genau an dieser Stelle setzt automatisierte Dokumentenanalyse an: Sie ersetzt nicht den Rückruf beim Lieferanten, sondern liefert dem Kreditorenteam vor der Freigabe zusätzliche technische Signale, die ein menschlicher Prüfer allein nicht erfassen kann.

Die Erkennung KI-generierter Inhalte läuft dabei als zusätzliche forensische Analyseschicht neben den bestehenden strukturellen Kontrollen, abgestimmt auf das Risikoprofil des jeweiligen Zahlungsprozesses. CheckFile analysiert Ihre Unterlagen und weist auf Anzeichen KI-generierter Inhalte hin — als Ergänzung zu Ihren bestehenden Kontrollen, nicht als deren Ersatz. Eine vollständige Erkennung jeder denkbaren Fälschung kann keine Lösung garantieren; entscheidend ist die Kombination aus automatisierter Voranalyse und dem etablierten Vier-Augen-Prinzip. Mehr zu diesem Ansatz zeigt die Erkennung von KI-generierten und gefälschten Dokumenten.

Für Kreditinstitute und Zahlungsdienstleister, die Bankverbindungsprüfung im größeren Maßstab in ihren KYC-Workflow integrieren möchten, bietet CheckFiles Lösung für Banken und KYC eine API-basierte Prüfung von Dokumentenmetadaten, Struktur und Konsistenz. Details zu den technischen und organisatorischen Sicherheitsmaßnahmen finden Sie auf unserer Sicherheitsseite, Informationen zu Preismodellen und Volumenstaffeln auf unserer Preisseite.

Häufig gestellte Fragen

Wie erkenne ich, ob eine Bankbestätigung KI-generiert oder gefälscht ist?

Die zuverlässigsten Hinweise liegen in den technischen Metadaten des Dokuments, nicht im sichtbaren Layout: eine Erstellungssoftware, die auf einen Bildeditor statt auf ein Bankensystem verweist, ein Erstellungsdatum, das nicht zum angegebenen Ausstellungsdatum passt, oder fehlende kryptografische Signaturen, die authentische Bankdokumente üblicherweise tragen. Ergänzend sollte die angegebene IBAN unabhängig vom Dokument über einen Rückruf oder eine Kontoinhaberprüfung bestätigt werden.

Was ist der Unterschied zwischen CEO-Fraud und dem Betrug durch Änderung der Bankverbindung?

CEO-Fraud beschreibt die Autoritätsmasche, bei der sich Betrüger als Geschäftsführung ausgeben, um eine dringende Zahlung zu erzwingen. Der Betrug durch Änderung der Bankverbindung zielt spezifisch auf bestehende Lieferantenbeziehungen und tauscht die Zahlungsdaten aus. Beide Muster werden in der Praxis häufig kombiniert: Ein gefälschter Bankbeleg liefert die scheinbare Legitimität, eine dringliche Nachricht der vermeintlichen Führungsebene erzeugt den Handlungsdruck.

Reicht ein Rückruf beim Lieferanten aus, um Bankverbindungsbetrug zu verhindern?

Ein Rückruf über eine zuvor verifizierte, im Stammdatensatz hinterlegte Telefonnummer ist die wirksamste Einzelmaßnahme, aber kein alleiniger Schutz. Er versagt, wenn die im System hinterlegte Nummer selbst bereits durch einen früheren Betrugsversuch manipuliert wurde. Deshalb sollte der Rückruf mit technischer Dokumentenprüfung, Kontoinhaberabgleich und Vier-Augen-Freigabe kombiniert werden.

Welche Meldepflichten bestehen in Deutschland bei erkanntem Bankverbindungsbetrug?

Unternehmen, die dem Geldwäschegesetz als Verpflichtete unterliegen, müssen bei Anhaltspunkten für Geldwäsche unverzüglich eine Verdachtsmeldung bei der FIU Deutschland über das goAML-Portal erstatten (§ 43 GwG). Unabhängig davon kann jedes Unternehmen Strafanzeige wegen Betrugs (§ 263 StGB) und Urkundenfälschung (§ 267 StGB) bei der örtlichen Kriminalpolizei stellen. Das Tipping-off-Verbot nach § 47 GwG untersagt es, den mutmaßlichen Täter vor einer FIU-Meldung zu informieren.

Was passiert, wenn ein Unternehmen versehentlich an eine gefälschte Bankverbindung gezahlt hat?

Die Zahlung sollte unverzüglich der eigenen Bank gemeldet werden, um einen Rückruf der Überweisung (SEPA-Recall) zu versuchen — die Erfolgschancen sinken jedoch mit jeder verstrichenen Stunde erheblich. Parallel ist Strafanzeige zu erstatten und der tatsächliche Lieferant zu informieren, da die fehlgeleitete Zahlung die ursprüngliche Schuld gegenüber diesem Lieferanten in der Regel nicht tilgt. Eine vollständige forensische Dokumentation des gefälschten Belegs unterstützt sowohl die Strafverfolgung als auch eine mögliche Regressforderung.

Bleiben Sie informiert

Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.