IBAN-Trick: So klauen Betrüger Ihr Geld per Rechnung

Eine manipulierte Rechnung landet im Postfach – und schon überweisen Sie das Geld direkt an Kriminelle. Während Sicherheitsbehörden vor Phishing in Messengern warnen, läuft eine leisere, aber finanziell verheerende Betrugswelle: der IBAN-Trick. Täter tauschen in gefälschten Rechnungs-PDFs einfach die Kontodaten aus.

Die perfide Masche hinter der gefälschten Rechnung

Das Vorgehen ist hochversiert. Kriminelle verschaffen sich Zugang zu E-Mail-Konten von Handwerkern, Shops oder Dienstleistern. Sie überwachen die Kommunikation. Sobald eine echte Rechnung versendet wird, schlagen sie zu.

Die Betrüger fangen die Mail ab oder schicken eine fast identische Kopie kurz hinterher. Der Betreff lautet oft „Korrektur der Bankverbindung“ oder „Update der Zahlungsinformationen“. In der angehängten PDF stimmt alles: Logo, Adresse, Betrag. Nur die IBAN wurde digital ausgetauscht.

Manipulierte Rechnungen und gefälschte QR-Codes führen zu hohen Verlusten — besonders der beschriebene IBAN-/Quishing-Trick ist aktuell sehr erfolgreich. Das kostenlose Anti-Phishing-Paket erklärt in einer 4‑Schritte-Anleitung, wie Unternehmen und Selbstständige Rechnungs‑PDFs, GiroCode‑Verifikationen und CEO‑Fraud erkennen und Zahlungen sicher prüfen. Es enthält Praxistipps für Zweit‑Kanal‑Checks, technische Schutzmaßnahmen, konkrete Prüf‑Templates und Meldewege für Vorfälle. Ideal für Buchhaltung, Handwerker und Händler, die Zahlungsrisiken sofort reduzieren wollen. Anti-Phishing-Guide jetzt herunterladen

„Quishing“: Der QR-Code als trojanisches Pferd

Eine besonders tückische Variante gewinnt seit Ende 2025 an Fahrt: „Quishing“ (QR-Code-Phishing). Immer mehr Rechnungen enthalten den praktischen GiroCode zum einfachen Scannen.

Die Täter manipulieren nicht den sichtbaren Text, sondern nur den QR-Code. Scannt der Kunde ihn mit seiner Banking-App, landen die Daten der Betrüger im Überweisungsformular. Auf dem kleinen Smartphone-Bildschirm prüfen nur wenige, ob die eingetragene IBAN wirklich zum bekannten Empfänger gehört.

Der neue Schutzwall und seine Schwachstellen

Seit Oktober 2025 gilt in der EU schrittweise der verpflichtende IBAN-Namensabgleich. Banken müssen prüfen, ob der eingegebene Empfängername zur hinterlegten IBAN passt. Theoretisch ein wirksames Mittel.

Doch Sicherheitsexperten warnen vor falscher Sicherheit:
* Social Engineering: Betrüger bauen Warnhinweise direkt in ihre Mails ein. Sätze wie „Wegen unseres neuen Zahlungsdienstleisters kann eine Warnung erscheinen – bitte bestätigen Sie trotzdem“ sollen Nutzer dazu bringen, die Bank-Warnung zu ignorieren.
* Strohmann-Konten: Kriminelle eröffnen Konten unter ähnlichen Namen (z.B. „Müller Dienstleistungen Ltd.“ statt „Malermeister Müller GmbH“), um den Abgleich auszutricksen.

Wer haftet? Die bittere Rechtslage für Opfer

Für Betroffene ist die Lage ernüchternd. Ein Urteil des Oberlandesgerichts Karlsruhe aus 2023 gilt als wegweisend. Ein Autokäufer überwies auf eine gefälschte IBAN in einer zweiten E-Mail. Das Gericht entschied: Er muss den Kaufpreis noch einmal an den echten Händler zahlen.

Die Begründung: Der Schuldner trägt das Risiko, dass das Geld beim richtigen Gläubiger ankommt. Dass der E-Mail-Account des Händlers gehackt war, befreite den Käufer nicht von seiner Sorgfaltspflicht. Ein einfacher Anruf zur Verifikation hätte genügt.

Wer eine Überweisung selbst per TAN freigibt, handelt oft „grob fahrlässig“, wenn offensichtliche Warnsignale ignoriert wurden.

So schützen Sie sich vor dem IBAN-Trick

Verbraucherschützer raten zu diesen konkreten Maßnahmen:
* Zweit-Kanal-Check: Bei einer Mail mit geänderter Bankverbindung sofort zum Telefon greifen. Rufen Sie den Absender unter einer bekannten Nummer an – nicht der aus der verdächtigen E-Mail.
* Bank-Warnungen ernst nehmen: Meldet Ihr Online-Banking „Keine Übereinstimmung“ beim Namensabgleich, brechen Sie den Vorgang ab. Lassen Sie sich nicht durch Erklärungen in der Rechnung beruhigen.
* IBAN prüfen: Beginnt die IBAN mit einem ausländischen Ländercode wie „ES“ (Spanien) oder „LT“ (Litauen), obwohl Sie einen lokalen Anbieter bezahlen? Das ist ein klares Alarmzeichen.
* Keine Eile: Betrüger erzeugen oft Zeitdruck („Zahlen Sie in 24 Stunden, um Mahngebühren zu vermeiden“). Lassen Sie sich nicht drängen.

Das Wettrüsten geht weiter. Experten erwarten für 2026 eine Zunahme von KI-gestützten Betrugsversuchen. Künstliche Intelligenz kann täuschend echte Mails mit individuellen Details verfassen. Die beste Waffe bleibt die eigene Aufmerksamkeit.

PS: Sie möchten vermeiden, dass Kunden oder Lieferanten durch gefälschte IBANs Geld verlieren? Das Anti-Phishing-Paket bietet umfangreiche Checklisten, praxiserprobte Verhaltensregeln und Vorlagen zur internen Absicherung, damit Sie GiroCodes und Überweisungsangaben schnell verifizieren können. Zudem finden Sie Mustertexte für die Kommunikation mit Banken und eine Schritt‑für‑Schritt‑Notfall‑Anleitung. Kostenloses Anti-Phishing-Paket anfordern