15.12.2023

Erst validieren, dann zahlen

Betrug im Zahlungsverkehr bleibt ein großes Risiko für Treasurer. Im Kampf gegen eine besonders häufige Betrugsmasche erhalten sie nun ein scharfes Schwert.

Von Christof Hofmann

Dieser Artikel wurde in der Print-Ausgabe von DerTreasurer als Gastbeitrag von Christof Hofmann am 15. Dezember 2023 erstmalig veröffentlicht.

Man stelle sich dieses Szenario vor: Ein Lieferant, mit dem ein Unternehmen regelmäßig zusammenarbeitet, schickt eine Rechnung mit einer neuen Bankverbindung. Der zuständige Mitarbeiter ändert daraufhin die Daten im System, weil er davon ausgeht, dass die Nachricht direkt vom Lieferanten kommt, und bezahlt die Rechnung. Einige Wochen später stellt sich heraus, dass das Geld den Lieferanten nie erreicht hat. Das Unternehmen stößt daraufhin eine Untersuchung an und findet heraus, dass die E-Mail mit den neuen Zahlungsanweisungen von einem Betrüger versandt wurde.

Solche Szenarien gehören zu den häufigsten Betrugsmaschen im Zahlungsverkehr, wie 2021 eine Studie der Association of Corporate Treasurers (ACT) und der Deutschen Bank herausfand. 61 Prozent der befragten Treasurer gaben damals an, sie seien sehr besorgt über „Änderungen in Zahlungsanweisungen von Lieferanten“ als Betrugsmasche.

Der Umgang mit Zahlungsdaten ist aber nicht nur aus Gründen der Betrugsvermeidung herausfordernd. Unternehmen erleben es zudem auch häufig, dass Zahlungen an Geschäftspartner nicht ausgeführt werden können, weil die Daten nicht korrekt sind. Das führt zu Verzögerungen in der Zahlungsabwicklung, höheren Mahngebühren und einer schlechten Kundenerfahrung – und im schlimmsten Fall ist das Geld gar komplett verloren. Die Bankgenossenschaft Swift schätzt, dass solche Friktionen im Zahlungsverkehr die Industrie jährlich 2 Milliarden US-Dollar kosten und über 700 Millionen Transaktionen betreffen.

Was wäre also, wenn Unternehmen die Zahldaten ihrer Geschäftspartner bereits beim Onboarding oder vor jeder Bezahlung validieren könnten? Das würde nicht nur Betrug im Zahlungsverkehr deutlich erschweren, sondern auch das Risiko von nicht oder falsch ausgeführten Zahlungen erheblich senken – und damit die Effizienz im Zahlprozess verbessern.

Datenpool ist essentiell

Deshalb haben die Unternehmen inzwischen bei einzelnen Banken die Möglichkeit, über eine API-Schnittstelle in Echtzeit die wichtigsten Zahldaten wie IBAN und Name zu prüfen, bevor sie eine Zahlung veranlassen. Damit Banken solche Checks flächendeckend anbieten können, setzen sie auf verschiedene Quellen: Zum einen ist dies der eigene Pool an Zahldaten. Denn je mehr Zahlungen eine Bank selbst abwickelt, umso besser ist ihre Ausgangsposition. Zum anderen gibt es wichtige Industrieinitiativen rund um die Vorab-Verifizierung von Kontendaten, an die Banken sich über eine API direkt anbinden.

So hat Swift einen Pre-Validierungsservice entwickelt, der es allen angeschlossenen Banken ermöglicht, über das Netzwerk entsprechende Anfragen zu verschicken und zu beantworten. Außerdem haben sich einige Großbanken in einer Blockchain-basierten Initiative zusammengeschlossen, die es den Teilnehmern erlaubt, bilateral und sicher Kontodaten zu verifizieren.

Ein weiterer Baustein, um eine flächendeckende Vorab-Prüfung zu etablieren, besteht darin, den Abgleich auf Daten von Drittanbietern auszuweiten. In einigen Ländern wie etwa Indonesien, Indien oder den Niederlanden gibt es bereits Clearing-basierte Kontenverifizierungsangebote, an die Banken sich anschließen können.

In Summe liefern diese verschiedenen Validierungsmöglichkeiten inzwischen in immer mehr Märkten eine kritische Abdeckung der Konten, so dass Unternehmen über einen einzelnen integrierten Zugang bei ihrer Bank den Abgleich der Zahldaten vornehmen können. Diese bereits gute Abdeckung wird sich durch den Ausbau der Industrieinitiativen, aber auch durch regulatorische Maßnahmen noch weiter verbessern.

Christof Hofmann

Christof Hofmann ist Global Head of Corporate Cash Management bei der Deutschen Bank.

Zum Schutz Ihrer persönlichen Daten werden das Video und die Verbindung zu YouTube erst nach einem Klick aktiv. Bereits beim Aktivieren des Videos werden personenbezogene Daten (IP-Adresse) an YouTube bzw. Google gesendet und gegebenenfalls auch dort gespeichert. Wenn Sie den Button "Video aktivieren" anklicken, wird ein Cookie auf Ihrem Computer gesetzt, sodass die Website weiß, dass Sie dem Anzeigen von eingebetteten Videos in Ihrem Browser zugestimmt haben. Weitere Details zu den von Google erhobenen Daten finden Sie unter https://policies.google.com/privacy.