Lieferantenscam
Lieferantenscam
Lieferantenscam bezeichnet einen Betrug, bei dem Täter sich als bestehender Lieferant ausgeben und über manipulierte Mails einen Wechsel der hinterlegten Bankverbindung bewirken, sodass die nächste fällige Zahlung auf ein Tätertkonto fließt. Das Bundesamt für Sicherheit in der Informationstechnik dokumentiert diese Masche seit 2018 mit jährlich steigenden Fallzahlen, das Bundeskriminalamt führt sie unter den Top-5-Modi der Wirtschaftskriminalität.
Detaillierte Erklärung
Lieferantenscam unterscheidet sich von BEC und CEO-Fraud durch den Angriffspunkt: Nicht der Geldfluss selbst, sondern der Lieferantenstammdatensatz wird manipuliert. Angreifer recherchieren über Bonitätsauskünfte, Handelsregister und LinkedIn, welche Bestandslieferanten regelmäßig sechs- oder siebenstellige Rechnungen stellen. Anschließend imitieren sie deren Mail-Domain mit Tippfehlern wie ı statt i oder einem zusätzlichen Bindestrich und schicken eine offiziell aussehende Bestätigung über einen Bankwechsel, häufig versehen mit gefälschtem Briefkopf, Steuernummer und Vertragsreferenz. Strafrechtlich relevant sind §263 StGB (Betrug), §269 StGB (Fälschung beweiserheblicher Daten) und bei elektronischer Manipulation §303a StGB (Datenveränderung). Der BSI-Standard 200-3 verlangt für solche Risiken eine spezifische Risikoanalyse, die Eintrittswahrscheinlichkeit und Schadenshöhe je Geschäftsprozess bewertet; die Bundessteuerberaterkammer empfiehlt seit 2022 IBAN-Plausibilitätsprüfungen über IBAN-Name-Check-Services nach EU Verordnung 2024/886.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Sondermaschinenbauer mit 145 Beschäftigten erhält eine Mail vom langjährigen Aluminiumlieferanten mit Sitz in Italien. Die Mail bittet um Aktualisierung der IBAN, weil die alte Hausbank im Zuge einer Konzernumstrukturierung geschlossen worden sei. Mitgesendet wird ein PDF auf Briefkopf des Lieferanten, mit allen Kontaktdaten und einer Unterschrift, die aus einem öffentlich zugänglichen Geschäftsbericht kopiert wurde. Die Sachbearbeiterin im Einkauf erkennt die Domain als geringfügig abweichend (-srl.eu statt .it), prüft das ISO 9001 zertifizierte Stammdatenverfahren und erkennt: Lieferanten-IBAN-Wechsel werden nur akzeptiert, wenn der Lieferant über die im Vertrag hinterlegte Telefonnummer aktiv anruft, und die neue IBAN über einen zertifizierten IBAN-Name-Check verifiziert wurde. Der Versuch wird intern und beim Kompetenzzentrum der IHK gemeldet, der Schaden bleibt aus.
Typische Fehler & Verhandlungskontext
Der häufigste Fehler ist die Vermengung von Stammdatenpflege und Zahlungsfreigabe: Wer den Lieferantenstamm ändern darf, darf nicht zugleich Zahlungen freigeben, sonst wird der Vier-Augen-Grundsatz formal eingehalten, materiell aber umgangen. Ebenso kritisch ist es, IBAN-Wechsel ohne Rückkanalverifikation per Telefon, Brief oder Lieferantenportal zuzulassen. In Verhandlungen mit Neulieferanten gehört seit 2024 eine vertragliche Klausel dazu, dass Bankverbindungswechsel nur mit Schreiben auf Briefpapier mit qualifizierter elektronischer Signatur nach eIDAS-Verordnung gültig sind. Auf Bankseite gibt es seit Inkrafttreten der EU-Verordnung 2024/886 einen verpflichtenden IBAN-Name-Check für SEPA-Sofortüberweisungen über 1.000 EUR, der den Empfängernamen mit der hinterlegten Bankregistrierung abgleicht. Ohne diese drei Schichten ist auch der reifste Compliance-Officer-Ansatz schutzlos.
Verwandte Begriffe
[[bec-business-email-compromise]], [[ceo-fraud]], [[phishing-beschaffung]], [[cyber-security-einkauf]], [[compliance-officer-einkauf]], [[audit-trail-einkauf]], [[forensik-einkauf]], [[internal-audit-einkauf]], [[iso-37301-compliance]], [[tone-at-the-top]], [[whistleblower-schutz]], [[antitrust-compliance]], [[tax-compliance-einkauf]], [[datenschutzaudit]]