Zahlungsbetrug per E-Mail & gefälschtem Überweisungsträger: Wie perfide die Täter vorgehen

Zahlungsbetrug per E-Mail & gefälschtem Überweisungsträger: Wie perfide die Täter vorgehen

Eine kurze E-Mail vom Chef: „Bitte überweise heute noch 14.980 € an unseren neuen Lieferanten – es eilt, ich bin unterwegs und schlecht erreichbar." Oder ein handgeschriebener Überweisungsträger, den jemand im Namen deines Kontos bei der Bank in den Briefkasten wirft. Beides klingt banal – und genau deshalb funktioniert es. Zahlungsbetrug gehört zu den lukrativsten Betrugsformen überhaupt, digital wie auf Papier. Die Täter arbeiten längst nicht mehr mit holprigem Deutsch, sondern mit Recherche, Psychologie und Geduld.

Zwei Maschen, ein Ziel: dein Geld

1. Die dringende Zahlungsanweisung per E-Mail

Auch CEO-Fraud oder Business E-Mail Compromise genannt. Du bekommst eine Mail, die scheinbar von der Geschäftsführung, der Buchhaltung oder einem bekannten Lieferanten stammt – mit einer Rechnung, einer Zahlungsaufforderung oder der freundlichen Bitte, „ab sofort die neue Bankverbindung zu verwenden".

2. Der gefälschte Überweisungsträger – in Papierform

Die analoge, oft unterschätzte Variante: die beleghafte Überweisung. Die Täter füllen einen ganz normalen Papier-Überweisungsträger aus – tragen dein Konto als Auftraggeber und ihr Konto als Empfänger ein, fälschen die Unterschrift und werfen den Beleg einfach in den Einwurf-Briefkasten der Bankfiliale. Von dort wird die Überweisung ausgeführt, als hättest du sie selbst abgegeben.

Woher haben sie deine Kontodaten und eine passende Unterschrift? Aus erschreckend alltäglichen Quellen:

  • aus dem Hausbriefkasten gestohlene Post – Kontoauszüge, Rechnungen, Bankschreiben
  • weggeworfene Durchschläge alter Überweisungsträger oder Kontoauszüge im Papiermüll
  • ein entwendetes Vordruck-Heft mit Überweisungsträgern
  • eine echte Unterschrift, abgemalt von einem anderen Dokument

Besonders dreist ist die zweite Spielart: Die Täter fangen einen von dir ausgefüllten, echten Beleg aus dem Briefkasten ab, bevor ihn die Post abholt, und ändern nachträglich Empfänger-IBAN oder Betrag – teils mit chemisch entfernter Tinte.

Das eigentlich Perfide an der Papiervariante: Sie hinterlässt keine digitale Spur, beleghafte Einwürfe werden oft nur flüchtig geprüft, die Unterschrift selten mit der hinterlegten abgeglichen – und weil alles über dein echtes Konto läuft, wird es anstandslos ausgeführt. Merken tust du es erst beim Kontoauszug.

Warum die Masche so perfide ist

Die Täter setzen nicht auf Zufall, sondern auf Handwerk:

  • Sie kennen dein Unternehmen. Namen der Geschäftsführung, laufende Projekte, Lieferanten, sogar den internen Umgangston finden sie über Website, LinkedIn, Impressum oder aus zuvor abgefangener Post.
  • Sie fälschen den Absender – digital per Spoofing oder Tippfehler-Domain (rn statt m, .co statt .com), analog per abgemalter Unterschrift.
  • Sie erzeugen Druck und Autorität. „Der Chef braucht das jetzt." Zeitdruck schaltet das kritische Denken aus – besonders freitagnachmittags, zum Quartalsende oder wenn die Führungskraft nachweislich im Urlaub ist.
  • Sie verlangen Vertraulichkeit. „Bitte mit niemandem besprechen." So wird verhindert, dass du kurz beim Kollegen nachfragst.
  • Sie kapern echte Vorgänge – ein gehacktes Postfach oder ein abgefangener Papierbeleg. Beides ist kaum zu erkennen, weil der Kontext echt ist.

Die gefährlichste digitale Variante: die geänderte IBAN in einer echten Rechnung

Richtig teuer wird es, wenn Täter eine echte, erwartete Rechnung abfangen und nur die Bankverbindung austauschen. Du wartest ohnehin auf diese Rechnung, Betrag und Betreff stimmen – also zahlst du. Erst Wochen später mahnt der echte Lieferant. Dieselbe Logik steckt hinter dem QR-Code-Betrug (Quishing): Ein aufgedruckter QR-Code füllt die Überweisung automatisch aus – mit dem Konto der Betrüger.

Woran du den Betrug erkennst

  • Neue oder geänderte Bankverbindung – der wichtigste Warnhinweis überhaupt.
  • Zeitdruck kombiniert mit dem Wunsch nach Vertraulichkeit.
  • Ein QR-Code oder Zahlschein, den du „nur schnell" scannen oder abgeben sollst.
  • Unbekannte Abbuchungen auf dem Kontoauszug.
  • Fehlende Post oder ein aufgebrochener Briefkasten – ein Hinweis auf die Papiermasche.

So schützt du dich und dein Unternehmen

Organisatorisch:

  1. Vier-Augen-Prinzip für Zahlungen ab einem festgelegten Betrag – ohne Ausnahme, auch nicht für den Chef.
  2. Rückruf über die bekannte Nummer. Jede geänderte Bankverbindung telefonisch bestätigen – über die Nummer aus deinen Unterlagen, niemals aus der verdächtigen Nachricht.
  3. Kontoauszüge regelmäßig prüfen. Eine nicht autorisierte oder gefälschte Überweisung muss die Bank erstatten (§ 675u BGB) – je schneller du reklamierst, desto besser.

Gegen die Papiermasche:

  • Möglichst online überweisen statt beleghaft.
  • Überweisungsvordrucke, Durchschläge und Kontoauszüge sicher aufbewahren oder schreddern – niemals lesbar in den Müll.
  • Briefkasten sichern (abschließbar) und Post zeitnah leeren.

Technisch:

  • SPF, DKIM und DMARC für deine Domain einrichten – das erschwert das Fälschen deiner Absenderadresse.
  • Postfächer absichern mit starken, einzigartigen Kennwörtern und Zwei-Faktor-Authentifizierung. Ein Passworttresor hilft dir dabei.
  • Team schulen – wer die Maschen kennt, fällt seltener darauf herein.

Wie du gefälschte Absender und Links generell entlarvst, steht im Beitrag Achtung Phishing! So erkennst du gefälschte E-Mails.

Schon passiert? Das ist jetzt wichtig

  1. Sofort die Bank anrufen und die Überweisung stoppen oder zurückholen lassen. Bei einer gefälschten beleghaften Überweisung: Erstattung nach § 675u BGB verlangen.
  2. Anzeige bei der Polizei erstatten.
  3. Konten und Postfächer sichern, Passwörter ändern.
  4. Intern informieren, damit keine weitere Zahlung an dasselbe Konto geht.

Sofort-Checkliste

Häng diese Liste an den Rechnungseingang oder gib sie ins Team:

  • Neue/geänderte Bankverbindung? → telefonisch über die bekannte Nummer bestätigen
  • Zahlung unter Zeitdruck + Bitte um Vertraulichkeit? → Warnsignal, Freigabeprozess einhalten
  • Absenderadresse Zeichen für Zeichen geprüft (Tippfehler-Domains)?
  • IBAN im Klartext mit den Stammdaten abgeglichen – auch bei QR-Codes?
  • Ab festgelegtem Betrag: Vier-Augen-Prinzip eingehalten?
  • Kontoauszüge auf unbekannte Überweisungen geprüft?
  • Alte Überweisungsträger, Durchschläge & Auszüge geschreddert, Briefkasten abschließbar?
  • Postfächer mit 2FA und starkem Passwort geschützt?

Zahlungsbetrug ist kein rein technisches, sondern ein menschliches Problem mit technischen Bausteinen – und lässt sich mit klaren Regeln und gesunder Skepsis wirksam eindämmen. Wenn du für dein Unternehmen sichere Freigabeprozesse, geschützte Postfächer oder eine Team-Schulung brauchst: Nimm den direkten Weg und melde dich.

IT zu sperrig?

Nimm den direkten Weg – ein Ansprechpartner, ehrliche Einschätzung.

Gespräch vereinbaren
← Alle Beiträge Frage dazu? Direkter Draht →