Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Automatisierung9 min Lesezeit

Lieferantenrechnung prüfen: Betrug und Fehler erkennen

Leitfaden zur Prüfung von Lieferantenrechnungen in Deutschland: Betrugsarten, Warnsignale, § 14 UStG, E-Rechnungspflicht 2026 und KI-gestützte Automatisierung.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for Lieferantenrechnung prüfen: Betrug und Fehler erkennen — Automatisierung

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Die Prüfung von Lieferantenrechnungen ist der obligatorische Kontrollprozess vor jeder Zahlung: Es muss bestätigt werden, dass die Rechnung einem echten Auftrag entspricht, dass der Lieferant legitim ist und dass alle Finanzdaten korrekt sind. In Deutschland warnte das Bundeskriminalamt (BKA) im Lagebild Wirtschaftskriminalität 2024 vor einer deutlichen Zunahme von CEO-Fraud und Rechnungsbetrug: Unternehmen verloren 2023 durch fingierte Rechnungen und Überweisungsbetrug insgesamt über 2,5 Milliarden Euro.

Eine betrügerische Rechnung zu bezahlen tilgt die Schuld gegenüber dem echten Lieferanten nicht — das Unternehmen zahlt doppelt. Ein strukturierter Prüfprozess, idealerweise automatisiert, ist die einzige zuverlässige Schutzmaßnahme.

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar.

Häufige Arten von Lieferantenrechnungsbetrug

Rechnungsbetrug nutzt vier Hauptschwachstellen: überlastete Kreditorenteams, schwache interne Kontrollen, manuelle Prozesse und unzureichendes Lieferantenmanagement.

Scheinlieferanten sind vollständig fiktive Unternehmen, die im Zahlungssystem angelegt werden — oft von einem internen Mitarbeiter, der gleichzeitig die Zahlungen freigibt. Diese Phantomunternehmen erscheinen in Buchhaltungssystemen mit vollständiger Dokumentation, aber ohne tatsächliche Geschäftstätigkeit.

Doppelte Rechnungen entstehen, wenn dieselbe Rechnung mehrfach mit leicht geänderter Rechnungsnummer eingereicht wird und dabei auf Rückstände in der Rechnungsverarbeitung und mangelnde Übersicht setzt.

Business Email Compromise (BEC) bezeichnet Angriffe, bei denen Cyberkriminelle Geschäfts-E-Mail-Konten hacken oder fälschen, um Zahlungsströme umzuleiten. BEC-Angriffe haben Unternehmen weltweit seit 2016 über 43 Milliarden US-Dollar gekostet (FBI IC3 Annual Report 2024). DATEV warnt ausdrücklich: Cyberkriminelle missbrauchen zunehmend E-Rechnungen im ZUGFeRD-Format, um Rechnungsdaten auf dem E-Mail-Transportweg abzufangen und die Bankverbindung auszutauschen.

Bankdatensubstitution ist die operativ schädlichste Variante: Betrüger fangen eine echte Rechnung ab und ersetzen IBAN und BIC durch betrügerische Konten — oft so unauffällig, dass eine visuelle Sichtprüfung dies nicht aufdeckt.

Betrugsart Mechanismus Wichtigstes Warnsignal
Scheinlieferant Fiktiver Lieferant im System Keine überprüfbare Handelshistorie
Doppelrechnung Leicht geändertes Rechnungsnummer Gleicher Betrag, gleicher Lieferant, ähnliche Daten
BEC / Identitätsübernahme Gehackte oder gefälschte E-Mail Dringende Zahlungsanforderung außerhalb des normalen Prozesses
IBAN-Austausch Geänderte IBAN auf echter Rechnung Plötzliche Änderung der Bankverbindung

Warnsignale: Wie erkennt man eine verdächtige Rechnung?

Jede Rechnung, die eines oder mehrere der folgenden Merkmale aufweist, sollte vor der Zahlungsfreigabe einer eingehenden Prüfung unterzogen werden.

Änderung von IBAN oder Bankdaten: Jede per E-Mail eingehende Aufforderung zur Aktualisierung von Zahlungsdaten ohne unabhängige telefonische Bestätigung über eine bereits hinterlegte Nummer ist ein Hochrisikosignal. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ausdrücklich: Bankdatenänderungen immer über eine bekannte Rufnummer bestätigen — niemals über die im Eingang angegebene.

Ungerechtfertigte Dringlichkeit: Eine Rechnung mit Androhung einer Dienstleistungsunterbrechung, Vertragsstrafen oder der Forderung nach sofortiger Zahlung weicht von normalen Handelsgebräuchen ab. Betrüger erzeugen Dringlichkeit genau deshalb, um Standard-Freigabeworkflows zu umgehen.

Dokumentarische Unstimmigkeiten: ungültige Umsatzsteuer-Identifikationsnummer, Adresse weicht vom registrierten Eintrag ab, ungewöhnliches Format oder Betrag ohne zugehörige Bestellung.

Unbekannter oder kürzlich gegründeter Lieferant: In Deutschland ist jedes Unternehmen kostenfrei im Handelsregister und auf unternehmensregister.de verifizierbar. Ein Lieferant, der weniger als sechs Monate existiert und eine hochwertige Rechnung einreicht, erfordert verstärkte Sorgfaltspflichten.

Rechenfehler: Ein Nettobetrag plus Umsatzsteuer, der nicht mit dem ausgewiesenen Bruttobetrag übereinstimmt, weist auf Dokumentenmanipulation hin — und möglicherweise auf Umsatzsteuerbetrug. Nach § 14c UStG haftet der Rechnungsempfänger für unberechtigt ausgewiesene Steuerbeträge, wenn er wusste oder hätte wissen müssen, dass er an einer Steuerhinterziehung beteiligt ist (Bundesfinanzhof, BFH-Urteil V R 57/23).

Der dreistufige Prüfprozess

Die effektive Prüfung von Lieferantenrechnungen folgt drei aufeinanderfolgenden Kontrollen: formell, sachlich und rechnerisch.

Formelle Prüfung: Pflichtangaben nach § 14 UStG

Jede Rechnung über 250 Euro brutto muss gemäß § 14 Abs. 4 UStG folgende Pflichtangaben enthalten (Umsatzsteuergesetz — § 14 UStG): vollständiger Name und Anschrift des leistenden Unternehmers und des Leistungsempfängers, Steuernummer oder Umsatzsteuer-Identifikationsnummer, Ausstellungsdatum, fortlaufende Rechnungsnummer, Menge und handelsübliche Bezeichnung der gelieferten Gegenstände bzw. Art und Umfang der sonstigen Leistung, Zeitpunkt der Lieferung oder Leistung, Entgelt, Steuersatz und Steuerbetrag sowie Gesamtbetrag. Fehlt eine Pflichtangabe, ist der Vorsteuerabzug gefährdet.

Ab 2027 sind deutsche Unternehmen verpflichtet, E-Rechnungen im Format XRechnung oder ZUGFeRD zu versenden (B2B-Pflicht gemäß Wachstumschancengesetz 2024). Ab 2026 müssen alle Unternehmen E-Rechnungen empfangen können.

Dreiseitige Abstimmung (Three-Way Matching)

Die dreiseitige Abstimmung vergleicht systematisch:

  1. Die Bestellung (PO) — was wurde bestellt
  2. Den Lieferschein oder Wareneingangsbeleg — was wurde empfangen
  3. Die Rechnung — was wird in Rechnung gestellt

Jede Abweichung zwischen diesen drei Dokumenten blockiert die Zahlung bis zur Klärung. Standard-ERP-Systeme (SAP, Oracle, Microsoft Dynamics, DATEV) automatisieren diesen Abgleich und erkennen Duplikate, Mengenabweichungen und Rechnungen ohne zugehörige Bestellung. Laut edoc.de ist die manuelle Rechnungsprüfung fehleranfällig und zeitaufwendig — besonders bei hohem Belegvolumen.

Unabhängige Bankdatenverifikation

Vor jeder Erstbuchung oder nach einem Antrag auf Änderung der Bankverbindung: IBAN und BIC direkt beim Lieferanten über eine bereits im System hinterlegte Telefonnummer bestätigen — niemals über die im Änderungsantrag angegebene Nummer. Das Vier-Augen-Prinzip verlangt, dass Bankdatenänderungen stets von einer zweiten autorisierten Person gegengezeichnet werden.

Die automatisierte Dokumentenprüfung von CheckFile integriert diese Kontrolle in den Zahlungsworkflow und gleicht jede neue IBAN in Echtzeit mit SEPA-Registern und Lieferantenstammdaten ab.

Lieferantenrechnungsprüfung automatisieren

Automatisierung beseitigt das menschliche Engpassrisiko: Überlastete Kreditorenteams, die hunderte Rechnungen pro Woche bearbeiten, können keine manuelle dreiseitige Abstimmung für jedes Dokument durchführen.

Moderne Rechnungsprüfungsplattformen wenden mehrere gleichzeitige Kontrollen an:

  • OCR-Extraktion und Strukturierung: Rechnungsdaten (Beträge, IBAN, USt-ID, Rechnungsnummer) werden automatisch extrahiert und mit Lieferantenstammdaten verglichen.
  • KI-gestützte Anomalieerkennung: Algorithmen identifizieren ungewöhnliche Muster — unbekannter Lieferant, Beträge außerhalb des normalen Bereichs, PDF-Metadaten, die auf eine Änderung nach dem Ausstellungsdatum hinweisen.
  • Automatisierter Kreuzabgleich: Jede Rechnung wird in Echtzeit gegen offene Bestellungen und Wareneingänge im ERP geprüft, bevor sie die Genehmigungswarteschlange erreicht.
  • Echtzeit-Warnungen: Jede Abweichung löst eine Sperrung und Eskalation vor der Zahlung aus, mit manueller Genehmigungsanforderung für Hochrisikofälle.

CheckFile integriert die Dokumentenprüfung direkt in Ihren bestehenden Genehmigungsworkflow ohne ERP-Ersatz. Für einen umfassenden Überblick zur Verifikationsautomatisierung, lesen Sie den Leitfaden zur Automatisierung der Verifikation. Einen spezifischen Überblick zur Kreditorenbuchhaltung liefert der Leitfaden zur Automatisierung der Rechnungsverarbeitung.

Sanktionen bei nicht erkanntem Betrug

In Deutschland kann die Verwendung gefälschter Rechnungen nach § 267 StGB (Urkundenfälschung) mit bis zu fünf Jahren Freiheitsstrafe oder Geldstrafe bestraft werden (Strafgesetzbuch — § 267 StGB). Steuerstrafrechtlich drohen nach § 370 AO Freiheitsstrafen bis zu zehn Jahren bei besonders schwerem Fall. Unternehmen, die keine angemessenen Kontrollprozesse eingerichtet haben, riskieren eine Mithaftung für nicht abgeführte Umsatzsteuer.

Eine Kultur dokumentarischer Sorgfalt aufbauen

Nutzer auf deutschen Buchhaltungs- und Compliance-Foren (DATEV-Community, Haufe Forum) benennen zwei wiederkehrende Praxisprobleme: Druck zur schnellen Freigabe von Rechnungen und das Fehlen formalisierter Verfahren für Bankdatenänderungen. Beide sind die meistgenutzten Schwachstellen.

Wirksame Gegenmaßnahmen erfordern drei organisatorische Kontrollen:

Schriftliche, verbindliche Verfahren: Jede Änderung von Bankdaten muss einen formalisierten Prozess durchlaufen — schriftliche Bestätigung plus Telefonverifikation über eine historische Nummer plus Genehmigung durch eine andere verantwortliche Person als diejenige, die den Antrag erhält.

Funktionentrennung: Wer einen Lieferanten im System anlegt, darf nicht dieselbe Person sein, die dessen Rechnungen freigibt. Dieses Grundprinzip der internen Kontrolle ist prüfungsrelevant gemäß IDW PS 320 (Institut der Wirtschaftsprüfer) (IDW — Prüfungsstandards).

Regelmäßige Schulungen: Betrugsmaschen entwickeln sich schnell. Halbjährliche Schulungen der Kreditorenteams zu aktuellen BEC-Taktiken, KI-generierten Rechnungen und synthetischer Identitätsfälschung sind heute unverzichtbar.

Weitere Maßnahmen finden Sie in den Best Practices zur Betrugsabwehr in der Dokumentenverarbeitung.

Lieferanten-Onboarding: Dokumentenprüfung vor der ersten Rechnung

Ein robuster Prüfprozess beginnt nicht bei der ersten Rechnung, sondern beim Onboarding neuer Lieferanten. Jeder neue Lieferant sollte vor der Aufnahme in das Zahlungssystem einer standardisierten Dokumentenprüfung unterzogen werden.

Dokumentarische Anforderungen beim Lieferanten-Onboarding:

Dokument Zweck Prüfquelle
Handelsregisterauszug Rechtspersönlichkeit und Unternehmensstatus Handelsregister
Umsatzsteuer-ID Steuerlicher Status und Gültigkeit EU VIES-Portal
Kontoverbindungsnachweis IBAN und Kontoinhaber Direkte Bestätigung beim Lieferanten
Ausgefülltes Lieferantenformular Kontaktdaten und Zahlungsbedingungen Intern genehmigtes Formular
Transparenzregister-Auszug Wirtschaftlich Berechtigte Transparenzregister

Die Abfrage des Transparenzregisters ist für Lieferanten relevant, die unter das Geldwäschegesetz (GwG) fallen. Nach § 11 GwG sind Verpflichtete — darunter Kreditinstitute, Finanzdienstleister, Steuerberater und Wirtschaftsprüfer — verpflichtet, Sorgfaltspflichten gegenüber Vertragspartnern zu erfüllen, die ein erhöhtes Geldwäscherisiko darstellen. Dies schließt die Identifizierung der wirtschaftlich Berechtigten ein.

Die Richtlinie (EU) 2018/843 (5. Geldwäscherichtlinie), umgesetzt durch die GwG-Novelle 2020, hat die Transparenzregisterpflichten erweitert. Seit Januar 2024 ist das deutsche Transparenzregister ein Vollregister — alle eintragungspflichtigen Unternehmen müssen ihre wirtschaftlich Berechtigten aktiv eintragen. Die BaFin überwacht die Einhaltung und kann bei Verstößen Bußgelder von bis zu 1 Million Euro verhängen.

CheckFile automatisiert die Lieferantenprüfung durch Echtzeit-Abgleich von Handelsregisterdaten, USt-IDs und Transparenzregistereinträgen — ohne manuellen Recherche-Aufwand für das Kreditorenteam.

Häufig gestellte Fragen

Wie prüfe ich, ob eine Lieferantenrechnung echt ist?

Gleichen Sie die Rechnung mit der Bestellung und dem Wareneingangsbeleg ab (Three-Way Matching). Prüfen Sie die Umsatzsteuer-Identifikationsnummer des Lieferanten im EU-VIES-Portal und den Handelsregistereintrag unter handelsregister.de. Bei geänderten Bankdaten: rufen Sie den Lieferanten über eine bereits im System hinterlegte Nummer an — niemals über die Nummer aus dem Änderungsantrag.

Welche Pflichtangaben muss eine Rechnung in Deutschland enthalten?

Nach § 14 Abs. 4 UStG sind erforderlich: vollständiger Name und Anschrift beider Vertragsparteien, Steuernummer oder USt-ID des Ausstellers, Ausstellungsdatum, fortlaufende Rechnungsnummer, Leistungsbeschreibung, Liefer- oder Leistungszeitpunkt, Entgelt (netto), Steuersatz und Steuerbetrag sowie Bruttosumme. Fehlt ein Pflichtmerkmal, ist der Vorsteuerabzug des Empfängers gefährdet.

Was ist dreiseitige Abstimmung und warum ist sie wichtig?

Die dreiseitige Abstimmung vergleicht Bestellung (was bestellt wurde), Wareneingangsbeleg (was empfangen wurde) und Rechnung (was berechnet wird) vor der Zahlungsfreigabe. Jede Abweichung blockiert die Rechnung. Sie ist die zuverlässigste operative Kontrolle gegen Doppelrechnungen, Scheinlieferanten und Überfakturierung — und am effektivsten, wenn sie im ERP automatisiert ist.

Was tue ich, wenn ein Lieferant eine neue Bankverbindung mitteilt?

Aktualisieren Sie Bankdaten nie auf Basis einer einzigen E-Mail oder eines einzelnen Anrufs. Rufen Sie den Lieferanten über die bereits im Lieferantenstamm hinterlegte Nummer an. Dokumentieren Sie die mündliche Bestätigung und holen Sie die schriftliche Freigabe einer zweiten autorisierten Person ein. Verdächtige Versuche sollten der Bundesnetzagentur und der zuständigen Landespolizei gemeldet werden.

Reduziert die E-Rechnungspflicht das Betrugsrisiko?

Die ab 2026 geltende Empfangspflicht und die ab 2027 stufenweise eingeführte Sendepflicht für E-Rechnungen (XRechnung/ZUGFeRD) reduzieren bestimmte Manipulationsrisiken: Strukturierte XML-Daten lassen diskrete IBAN-Änderungen schwerer vornehmen. Allerdings warnt DATEV ausdrücklich, dass auch E-Rechnungen auf dem Transportweg abgefangen und verändert werden können. Secure-Übertragungsnetzwerke wie PEPPOL und TRAFFIQX sowie interne Prüfkontrollen bleiben unverzichtbar.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Automatisierung7 min

KI-Dokumentenklassifizierung: automatische Sortierung und Routing

Wie KI Dokumente in Unternehmen automatisch klassifiziert, sortiert und weiterleitet. ROI-Daten, BaFin-Konformität und GoBD-Anforderungen für Deutschland erklärt.

Lesen
Automatisierung7 min

Dokumenten-Workflow-Automatisierung: vom manuellen Prozess zur automatisierten Pipeline

Wie Sie manuelle Dokumentenprozesse in vollautomatisierte Pipelines umwandeln: Schritte, Tools, ROI und BaFin-Anforderungen für Unternehmen in Deutschland.

Lesen
Automatisierung7 min

Legal Document Automation: Verträge und Rechts-Workflows automatisieren

Praxisleitfaden zur Legal Document Automation in Deutschland: 60% Zeitersparnis bei Vertragserstellung, BaFin-konforme Workflows und KI-gestützte Dokumentenprüfung nach GwG.

Lesen