Zum Inhalt springen
Procari Lexikon Lieferantenbankdatenprüfung
Einkaufslexikon

Lieferantenbankdatenprüfung

Lieferantenbankdatenprüfung

Die Lieferantenbankdatenprüfung ist der strukturierte Prozess, mit dem ein Unternehmen Änderungen oder Neuanlagen von Bankverbindungsdaten eines Lieferanten auf Echtheit und Berechtigung prüft — bevor eine Zahlung ausgelöst wird. Sie ist eine Kernkontrolle gegen Zahlungsumleitung und Fake-Supplier-Fraud.

Detaillierte Erklärung

Bankdatenbetrug ist eine der häufigsten Angriffsformen gegen Einkaufs- und Finanzabteilungen. Das Muster ist einfach: Ein Angreifer gibt sich per E-Mail als bekannter Lieferant aus und bittet um Änderung der Bankverbindung — kurz vor einer geplanten Zahlung. Ohne belastbare Prüfprozesse landet das Geld auf einem Fremdkonto, oft unwiederbringlich. Für DACH-Mittelstandsunternehmen mit EUR-Überweisungsvolumina im zweistelligen Millionenbereich pro Jahr ist das ein materielles Risiko.

Rechtlicher Rahmen:

  • GwG §25h verpflichtet Verpflichtete im Sinne des Geldwäschegesetzes zur Identitätsprüfung von Vertragspartnern und zur Überwachung von Transaktionen. Während das GwG primär auf Finanzinstitute zielt, leiten viele DACH-Compliance-Abteilungen daraus analoge Kontrollpflichten für Einkaufsorganisationen ab — insbesondere bei Neulieferanten und Bankdatenänderungen.
  • DSGVO Art. 6 Abs. 1b erlaubt die Verarbeitung von Bankdaten zur Vertragserfüllung, setzt aber Datensparsamkeit und Zweckbindung voraus. Die Bankdaten dürfen nur für Zahlungsabwicklung und Prüfzwecke gespeichert werden.
  • Der BME-Compliance-Leitfaden Zahlungsverkehrssicherheit 2024 empfiehlt explizit das Vier-Augen-Prinzip für jede Neuanlage oder Änderung einer Bankverbindung sowie eine Rückrufverifikation über eine unabhängig verifizierte Telefonnummer.

Technische Prüfschritte:

  • IBAN-Validierung: Prüfsummenalgorithmus (ISO 13616) stellt sicher, dass die IBAN strukturell korrekt ist. Ein IBAN-Checker prüft Länderpräfix, Prüfziffern und Kontonummerformat. Das schließt Tippfehler aus, schützt aber nicht vor bewusster Manipulation.
  • BIC/ISO 9362: Der Business Identifier Code identifiziert das Kreditinstitut eindeutig. Weicht die BIC von der im Stammdatensystem hinterlegten Bank ab (z. B. plötzlich eine Auslandsbank für einen bekannten deutschen Lieferanten), ist das ein Warnsignal.
  • Kontoinhaber-Abgleich: Über SEPA-Zahlungsverkehrsinfrastruktur ist ein direkter Abgleich zwischen Empfängername und IBAN standardmäßig nicht vorgesehen. Banken bieten jedoch optional Verification-of-Payee-Dienste (CoP) an — in UK seit 2020 Pflicht, in der EU im Rahmen des Instant-Payments-Pakets regulatorisch vorangetrieben.

Vier-Augen-Prinzip im ERP: In SAP und vergleichbaren Systemen wird das Vier-Augen-Prinzip durch Berechtigungskonzepte erzwungen: Stammdatenpflege (anlegen/ändern) und Freigabe (Release) müssen von unterschiedlichen Benutzerkonten ausgeführt werden. Ein Einkäufer, der eine Bankdatenänderung selbst anlegt und freigibt, verletzt das Prinzip — unabhängig von der ERP-Konfiguration, wenn diese es technisch erlaubt.

Rückrufpflicht: Jede Bankdatenänderung erfordert einen Rückruf an den Lieferanten — nicht auf die Rufnummer in der verdächtigen E-Mail, sondern auf die im Stammdatensystem gespeicherte, verifizierte Nummer. Dieser Rückruf muss dokumentiert werden (Datum, Uhrzeit, Gesprächspartner, Ergebnis).

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Maschinenbauunternehmen mit 620 Mitarbeitern in Nordrhein-Westfalen erhält eine E-Mail, die anscheinend von einem langjährigen Hydraulikkomponenten-Lieferanten stammt. Die E-Mail bittet darum, die Bankverbindung ab sofort auf ein neues Konto bei einer lettischen Bank zu ändern — mit dem Verweis auf eine "Bankenfusion". Der Anhang enthält ein auf den ersten Blick authentisches Briefpapier des Lieferanten.

Ohne Prüfprozess: Der Sachbearbeiter ändert die Bankverbindung im ERP und gibt sie frei. Die nächste monatliche Zahlung über EUR 128.000 wird auf das Fremdkonto überwiesen. Die Rückbuchung scheitert, weil das Konto bereits leergeräumt ist.

Mit Lieferantenbankdatenprüfung:

  1. Die Änderungsanfrage geht im Lieferantenportal ein und löst automatisch ein Prüf-Ticket aus.
  2. Der Sachbearbeiter legt die neue IBAN an (Status: gesperrt), ohne Freigabeberechtigung.
  3. Der Teamleiter prüft die Änderung: BIC zeigt eine lettische Bank — erstes Warnsignal.
  4. Rückruf auf die im System hinterlegte Telefonnummer des Lieferanten: Der Lieferant bestätigt, keine Änderung angefordert zu haben.
  5. Die Änderung wird abgelehnt, der Vorfall an die IT-Sicherheit gemeldet.
  6. Keine Zahlung fließt ab. Schaden: null.

Jährliche Prüfroutine: Das Unternehmen führt zusätzlich einmal pro Jahr einen Batch-Abgleich aller aktiven Lieferantenbankdaten durch: IBAN-Validierung, BIC-Check und stichprobenartige Rückrufverifikation bei den 20 zahlungsstärksten Lieferanten. Aufwand: ca. vier Stunden Einkauf + zwei Stunden IT. Versicherungsprämie für Vertrauensschadenversicherung: sank nach Nachweis des Prozesses um 12 %.

Typische Fehler & Verhandlungskontext

Fehler 1 — Kein Vier-Augen-Prinzip technisch erzwungen: Viele mittelständische ERP-Konfigurationen erlauben es, dass dieselbe Person anlegt und freigibt. Die technische Kontrolle muss im ERP-Berechtigungskonzept verankert sein, nicht nur in einer internen Richtlinie.

Fehler 2 — Rückruf auf die in der Anfrage-E-Mail genannte Nummer: Der Angreifer kontrolliert diese Nummer. Der Rückruf muss immer auf die systemseitig hinterlegte, unabhängig verifizierte Kontaktnummer erfolgen.

Fehler 3 — Einmalige Prüfung bei Neuanlage, keine Änderungsprüfung: Bankdatenbetrug zielt fast immer auf Änderungen bestehender Lieferanten, nicht auf Neuanlagen. Der Prüfprozess muss für jede Änderung — auch bei Bestandslieferanten — greifen.

Fehler 4 — Keine Dokumentation des Rückrufs: Ohne schriftlichen Nachweis (Datum, Gesprächspartner, Ergebnis) fehlt im Schadensfall die Grundlage für Versicherungsleistungen und Entlastung der handelnden Personen.

Verhandlungskontext: Die Lieferantenbankdatenprüfung ist kein Verhandlungsthema, sondern eine interne Compliance-Kontrolle. Sie berührt jedoch indirekt Zahlungsziele: Ein Lieferant, der Bankdatenänderungen ohne Rückruf einfordert ("sofort, die Zahlung ist fällig"), zeigt ein Verhaltensmuster, das auch in Preisverhandlungen auffällt. Solche Drucksignale sollten Einkäufer registrieren.

Verwandte Begriffe

  • [[stammdatenmanagement-mdm]]
  • [[sanktionslistenpruefung]]
  • [[bonitaetspruefung]]
  • [[lieferantenqualifizierung]]
  • [[three-way-match]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →