Jetzt anrufen! info@was-tun-wenn.at
Was tun, wenn..?
Das Notfallhandbuch für IHRE Firma

Rechnungsbetrug: Wenn 100.000 € an die Falschen gehen

von | 3. September 2025

Erst kürzlich hat es einen Unternehmer erwischt:
Mehr als 100.000 € hat er für eine Fassadenrenovierung überwiesen – allerdings nicht an den eigentlichen Handwerker, sondern an Betrüger. Der Grund: Die E-Mail-Kommunikation mit dem Dienstleister war kompromittiert, Rechnungen wurden manipuliert, Bankverbindungen ausgetauscht. Der Betrug fiel erst auf, als der echte Dienstleister nachhakte, wo denn sein Geld bleibt.

So etwas klingt nach einem Einzelfall? Leider nicht.

Warum solche Fälle zunehmen

Menschliche Schwachstellen und Insider-Risiken
Laut Studien meldeten im letzten Jahr 83 % der Unternehmen mindestens einen Insider-Angriff. Das bedeutet nicht, dass Mitarbeiter absichtlich betrügen – oft reicht ein schwaches Passwort, ein Klick auf einen Phishing-Link oder schlicht Unachtsamkeit. Gerade in hybriden Arbeitsumgebungen (Homeoffice + Büro + Cloud) fehlt oft der Überblick, wer auf welche Daten Zugriff hat.

Kosten, die explodieren
Laut IBM kostete ein Insider-Angriff im Schnitt knapp 5 Mio. US-Dollar – teurer als viele andere Angriffsmethoden. Rechnet man alles zusammen (Forensik, Rechtsberatung, Ausfallzeiten, Reputationsschäden), kommt man laut Ponemon-Report 2025 im Schnitt sogar auf 17,4 Mio. US-Dollar pro Jahr und Unternehmen.

Social Engineering & Deepfakes
Betrüger arbeiten längst nicht mehr nur mit gefälschten Mails. Sie setzen inzwischen auf Deepfakes – täuschend echte Audio- oder Videonachahmungen. Ein prominentes Beispiel: Die Firma Arup überwies rund 23 Mio. €, nachdem sich Kriminelle in einem Video-Call als Führungskraft ausgaben.

Deutschland und Österreich im Fokus
Auch hierzulande warnen Behörden vor einer steigenden Zahl an Angriffen auf Unternehmen und öffentliche Einrichtungen. Besonders im Finanz- und Bauwesen häufen sich die Fälle.

So läuft eine „100.000-Euro-Rechnung“ typischerweise ab

  1. E-Mail-Konto wird gehackt – durch Phishing oder schwache Sicherheitsmaßnahmen.
  2. Mitlesen statt sofort zuschlagen – die Täter beobachten die echten Mailverläufe und warten den perfekten Moment ab.
  3. IBAN-Tausch – eine Rechnung wird abgefangen und die Bankverbindung geändert.
  4. Druck machen – „Bitte heute noch überweisen, sonst drohen Vertragsstrafen.“
  5. Geldwäschekette – das Geld wird sofort weitergeleitet, über Strohmänner oder in Kryptowährungen.

Die wahre Rechnung hinter 100.000 €
Die eigentliche Überweisung ist nur der Anfang. Teuer wird es durch:

  • interne und externe IT-Forensik
  • Rechtsstreitigkeiten und Versicherungsfragen
  • beschädigte Geschäftsbeziehungen
  • Reputationsverlust
  • Ausfallzeiten im Betrieb

Und: Je länger man braucht, um den Vorfall einzudämmen, desto höher steigen die Kosten.

12-Punkte-Checkliste gegen Rechnungsbetrug

Damit es gar nicht erst so weit kommt:

  1. Vier-Augen-Prinzip ab einem bestimmten Betrag.
  2. Call-Back: Bankdaten immer telefonisch gegenprüfen – aber über die Nummer im System, nicht aus der Mail.
  3. Klare Prozesse für Bankdaten-Änderungen.
  4. Whitelist für bekannte IBANs – neue Konten immer besonders prüfen.
  5. Sicheres Lieferantenportal statt PDF-Rechnungen per Mail.
  6. E-Mail-Schutz: SPF, DKIM, DMARC konsequent einsetzen.
  7. Zwei-Faktor-Authentifizierung (MFA) überall, besonders im Finanzbereich.
  8. Thread-Hijacking-Erkennung – Systeme, die verdächtige Abweichungen in Mails melden.
  9. Deepfake-Resilienz: Codewort-Verfahren bei Video- oder Audio-Freigaben.
  10. Awareness-Trainings speziell für Buchhaltung und Einkauf.
  11. Weniger Rechte, weniger Risiko: Zugriffe auf Finanzsysteme stark einschränken.
  12. Cyber-Versicherung prüfen, ob auch Social-Engineering abgedeckt ist.

Was tun im Ernstfall?

  • Sofort: Bank kontaktieren, Überweisung stoppen oder zurückholen lassen.
  • Innerhalb 24 Stunden: Beweise sichern (E-Mail-Header, Logs), externe Spezialisten einschalten, Lieferanten informieren, Zugänge neu absichern.

Fazit
Der 100.000-Euro-Fall zeigt: Betrüger setzen auf echte Abläufe, psychologischen Druck und immer öfter
KI-gestützte Täuschungen. Wer seine Prozesse absichert – technisch und organisatorisch – reduziert nicht nur das Risiko, sondern spart im Ernstfall Millionen.

Thomas Laszlo
Thomas Laszlo

Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.

Jetzt kostenfreies Gespräch vereinbaren

LinkedIn