Frühe Erkennung von Spesen- und Rechnungsbetrug: Verborgene Muster und forensische Taktiken

Finanz- und Operations-Teams in Unternehmen stehen einer neuen Stufe der Raffinesse bei Spesenbetrug und Rechnungsbetrug gegenüber. Die zentrale Herausforderung besteht nicht nur darin, offensichtlich falsche Ansprüche zu stoppen, sondern auch die subtilen Signale aufzudecken, die im Klartext verborgen sind. Dieser Beitrag erklärt, wie sich die teuersten Muster frühzeitig erkennen lassen, warum die Expense-Fraud-Risiken in Unternehmen 2025 steigen und wie ein gestaffelter forensischer Ansatz nahtlos in reale Workflows passt, ohne sie zu verlangsamen.

Mehrere unabhängige Datenpunkte zeigen die Verschiebung im Risiko. Business Email Compromise (BEC) bleibt eine der schädlichsten Angriffsarten und wird häufig genutzt, um Rechnungszahlungen durch die Imitation vertrauenswürdiger Anbieter umzuleiten. Die Übersicht des FBI zu Business Email Compromise beschreibt die typischen Auslöser und die Bedeutung einer verifizierten Prüfung außerhalb des E-Mail-Kanals für jede Änderung von Bankdaten (FBI). Parallel dazu gaben 79 Prozent der Organisationen an, 2024 von versuchtem oder tatsächlichem Zahlungsbetrug betroffen gewesen zu sein. Anbieter-Impersonation und gefälschte Kommunikation wurden als Schlüsselfaktoren hervorgehoben (AFP).

Vor diesem Hintergrund überdenken Finanz- und Shared-Services-Leader ihre Kontrollen. Die wirksamsten Programme kombinieren Richtlinien- und Freigaberegeln mit forensischen Prüfungen von Dokumenten und Bildern. Hier hilft gezielte Automatisierung. Ziel ist es, Hochrisikoanomalien innerhalb von Minuten zu identifizieren und nur einen kleinen Teil der Fälle in die manuelle Prüfung zu geben. So reduzieren Unternehmen das Risiko von Spesenbetrug in der Praxis signifikant und halten die Abläufe für legitime Mitarbeitende, Kunden und Lieferanten reibungslos.

Warum sich Spesen- und Rechnungsbetrug jetzt beschleunigt

Spesenrückerstattungsbetrug und Rechnungsmanipulation gedeihen dort, wo Volumen hoch ist, Zahlungsdruck real ist und Dokumente als Beleg auf den ersten Blick akzeptiert werden. Drei Marktverschiebungen verdienen 2025 besondere Aufmerksamkeit. Erstens machen generative Tools es leichter, überzeugende Quittungen und Rechnungen zu fabrizieren, die einer schnellen Sichtprüfung standhalten. Unsere Analyse wie KI-Systeme gefälschte Quittungen und Rechnungen erzeugen zeigt, wie zugänglich diese Tools geworden sind. Zweitens ist Social Engineering gezielter. Führungskräfte erhalten maßgeschneiderte Nachrichten, die sich auf echte Projekte oder Anbieter beziehen, was die Erfolgsquote bei der Zahlungsumleitung erhöht. Einen Einblick, wie Angreifer diese Taktiken industrialisieren, gibt unser Beitrag zu deepfake as a service und Trends bei der Executive-Impersonation. Drittens arbeiten Einkaufs- und Shared-Services-Teams mit großen Rückständen und begrenzten Ressourcen, sodass manuelle Kontrollen nur einen Teil der Warnsignale erfassen. Wenn sich die Verifizierung auf das „Augenprüfen“ von Screenshots oder PDFs stützt, rutschen subtile Bearbeitungen und wiederverwendete Medien häufig durch.

Auch Aufsichtsbehörden und Standardsetzer bewegen sich. Die aktualisierten OECD-Leitlinien zur Bekämpfung von Bieterkartellen liefern praktische Hinweise auf Kollusion in der öffentlichen Beschaffung, die sich gut auf Corporate Sourcing und Lieferantenmanagement übertragen lassen (OECD 2025). Parallel empfiehlt die Security-Community weiterhin, Änderungen an Empfängerdaten außerhalb des E-Mail-Kanals zu verifizieren. Die Kernaussage ist simpel. Betrugsmuster vermischen zunehmend Dokumentenmanipulation, Identitätstäuschung und kleine, aber aussagekräftige Anomalien über Datenfelder und Mediendateien hinweg. Genau dafür ist forensische Detektion gemacht.

Verborgene Muster, die die größten Verluste verursachen

Die teuersten Muster sind selten die sichtbarsten. Sie tarnen sich als gewöhnliche Unterlagen und gewöhnliche Nachrichten. Finanz- und Compliance-Teams sollten in Accounts Payable, Travel & Expense und Claims die folgenden Signale priorisieren.

• Lieferanten-Impersonation mit Änderungen der Bankverbindung. Angreifer leiten einen legitimen Rechnungsthread weiter und fordern dann eine neue Kontonummer für die nächste Zahlung an. Änderungen von Bankdaten immer über eine bekannte Telefonnummer oder ein Portal verifizieren, nicht per Antwort auf die E-Mail.
• Briefkastenanbieter und aufgeblähte Leistungen. Warnsignale sind Postfachadressen, vage Leistungsbeschreibungen, plötzliche Ausgabenspitzen bei einem neuen Lieferanten sowie Überschneidungen zwischen Mitarbeiter- und Anbieter-Kontaktdaten.
• Aufteilung unter Freigabegrenzen und Duplikate. Mehrere kleine Rechnungen oder Kartentransaktionen liegen knapp unter Genehmigungsschwellen. Doppelte Zahlungen verbergen sich hinter kleinen Änderungen, etwa bei Fracht- oder Steuerlinien. Behördenprüfungen dokumentieren diese Muster seit Jahren und die Lehren gelten auch für Unternehmensprogramme.
• Belegmanipulation und Wiederverwendung. Täter reichen denselben Beleg mit kleinen Anpassungen doppelt ein oder erzeugen eine vollständig synthetische Quittung, die eine reale Händler-Vorlage imitiert. Eine vertiefte Betrachtung der Mechanik und Risiken finden Sie in unserer Analyse zu KI-generiertem Dokumentenbetrug.
• Angebotsmuster mit Kollusionshinweisen. Ungewöhnlich nahe Preisabstände bei Bietern, rotierende Gewinner und wiederholte Subunternehmerbeziehungen nach Zuschlag können auf abgestimmtes Verhalten hinweisen.

Schon ein einzelnes Muster kann ausreichen, um eine Prüfung auszulösen. Die besten Ergebnisse entstehen, wenn Signale über Datenquellen und Dateien hinweg verknüpft werden. Ein neuer Lieferant mit Postfachadresse ist nicht zwingend verdächtig. Kombiniert man das jedoch mit einer Anfrage zur Bankänderung außerhalb der Geschäftszeiten und einem Set an Rechnungen mit runden Beträgen, ändert sich das Risikobild. Darum kombinieren Organisationen Richtlinienkontrollen mit forensischer Analytik, die auf strukturierte Felder und die Medien selbst wirkt.

Früherkennung mit skalierbaren forensischen Signalen

Forensische Checks müssen nicht schwerfällig oder akademisch sein. Sie können schnell, reproduzierbar und in die tägliche Finanzpraxis integriert sein. Ziel ist es, Volumen zu durchdringen und eine kleine Zahl hochsignifikanter Fälle an menschliche Prüfer zu routen. Die folgenden Prüfungen zeigen konsistent Risiken, ohne den Workflow zu stören.

• Supplier-Master-Analytics. Abgleich von Lieferanten- und Mitarbeiterstammdaten auf gemeinsame Adressen, Telefonnummern oder E-Mail-Domains. Einmal-Lieferanten, Maildrops und plötzliche Änderungen der Bankdaten für eine Out-of-Band-Prüfung markieren.
• Anomalieprüfungen auf Rechnungsebene. Fuzzy-Duplikaterkennung über Rechnungsnummern, Daten, Beträge, Steuern und Fracht, um Wiederholungen mit kleinen Änderungen aufzudecken. Clusteranalysen um Freigabegrenzen decken bewusstes Splitting auf.
• Journal- und Betragsverteilungsprüfungen. Benford-Tests und Cluster runder Beträge helfen, priorisiert zu entscheiden, welche Positionen besondere Aufmerksamkeit verdienen.
• Authentizitätsanalyse von Medien und Dokumenten. Die größten blinden Flecken liegen in den Dateien selbst. Ein moderner Ansatz inspiziert Bild- und PDF-Eigenschaften, erkennt Anzeichen von KI-Generierung oder Bearbeitung und hebt potenziell manipulierte Bereiche auf Pixelebene hervor, damit Prüfer schnell entscheiden können. Zusätzlich wird die Metadatenkonsistenz geprüft und, wo verfügbar, Provenienzsignale extrahiert. Kontext zu Chancen und Grenzen von Metadaten-Frameworks bietet unser Primer zum C2PA-Standard C2PA under the microscope.
• Überwachung des Zahlungsverhaltens. Neue Empfängerkonten, die große oder dringende Zahlungen erhalten, Freigaben spätabends und eine plötzlich kürzere Zeitspanne von Rechnung bis Zahlung sind Gründe, innezuhalten.

Für Organisationen, die diese Checks operationalisieren möchten, bietet Vaarhaft einen pragmatischen Weg. Der Fraud Scanner ist eine KI-basierte forensische Software, die die Authentizität digitaler Bilder und Dokumente in Sekunden prüft und für jede Analyse eine klare PDF-Bewertung liefert. Prüfer sehen hervorgehobene Bereiche auf Pixelebene, an denen potenzielle Manipulation erkannt wurde. Das beschleunigt Entscheidungen. Die gleiche Engine ist als Web-Tool und als REST-API verfügbar, damit Teams Authentizitätsprüfungen in bestehende Expense-, Claims- oder Lieferanten-Workflows integrieren können, ohne ein neues System aufzubauen. Die Verarbeitung ist vollständig DSGVO-konform, mit in Deutschland entwickelten und gehosteten Modellen, und analysierte Medien werden nach der Verarbeitung gelöscht. Für dokumentzentrierte Use Cases wie Quittungen und Rechnungen gibt es den dedizierten Einstieg für document analysis.

In Umgebungen, in denen synthetische oder manipulierte Medien vermutet werden, kann eine zweite Verteidigungslinie die Authentizität bereits bei der Erfassung bestätigen. Vaarhaft SafeCam ist eine browserbasierte Kamera-Experience per SMS, die Nutzer durch Verifizierungsschritte führt und nur Fotos realer, dreidimensionaler Szenen akzeptiert. Versuche, Bildschirme oder Ausdrucke zu fotografieren, werden erkannt und blockiert. Es ist keine App-Installation oder Login erforderlich. Das hält die Hürde niedrig, wenn ein schneller Nachweis nötig ist. SafeCam ergänzt den Fraud Scanner, indem bei einem verdächtigen Erstfile verifizierte Folgefotos angefordert werden. Das reduziert False Positives und hilft Teams, fundierte Entscheidungen zu treffen.

Ein schlanker Workflow, der in den realen Betrieb passt

Die erfolgreichsten Programme halten die Evidenzhürde hoch und den Weg für legitime Nutzer zugleich reibungslos. Nachfolgend ein einfaches Operating Model, das viele Finance-, Claims- und Shared-Services-Teams ohne langes Change-Programm übernehmen können.

1. Alles mit leichtgewichtiger Analytik vorsortieren. Supplier-Master-Checks und Anomalietests auf Rechnungsebene für alle eingehenden Items anwenden. Fokus auf Duplikate, Schwellenwert-Cluster, neue Empfängerkonten und Timing-Anomalien. Die ACFE pflegt eine kompakte Bibliothek an Ideen für Anti-Fraud-Analytics, die sich auf die meisten ERP- und T&E-Systeme adaptieren lassen.
2. Risikobehaftete Items an forensische Medienprüfungen eskalieren. Verdächtige Quittungen, Rechnungen und Begleitfotos durch eine Authentizitätsanalyse laufen lassen. Highlights auf Pixelebene und Metadatenbefunde nutzen, um schnell zu entscheiden und die Begründung zu dokumentieren. Ist das Signal stark, ermitteln. Ist das Signal schwach, aber nicht null, weiter zu Schritt drei.
3. Verifizierte Folge-Evidenz einsammeln. Den Nutzer einladen, neue Fotos über SafeCam einzureichen, um zu bestätigen, dass die Szene real ist und nicht ein Foto eines Displays oder Ausdrucks. So lassen sich legitime Ansprüche schnell freigeben und synthetische Einreichungen vor der Zahlung stoppen.

Dieses Modell liefert zwei Vorteile. Es setzt forensische Tiefe genau dort an, wo sie am meisten zählt, und hält den Durchsatz für ehrliche Nutzer hoch. Die Kombination aus leichtgewichtiger Analytik, zielgerichteten Authentizitätschecks und verifizierter Neuerfassung schafft ein wiederholbares Muster, das funktionsübergreifend skaliert. Egal ob Sie Travel & Expense in HR und Finance steuern, Lieferantenrechnungen im Shared Service verarbeiten oder Begleitfotos in Versicherungsschäden prüfen, die Logik ist die gleiche. Starten Sie breit mit Datensignalen, gehen Sie nur bei Bedarf in die Tiefe und geben Sie Nutzern einen einfachen Weg, verlässlichen Nachweis zu liefern.

Wenn Ihr Team eine Content-Provenance-Strategie aufbaut, bedenken Sie, dass Metadaten allein kein Allheilmittel sind. Sie sind eine wertvolle Schicht, wenn verfügbar, können aber fehlen, entfernt oder gefälscht werden. Unser Primer zum C2PA-Standard erklärt, was das Framework leisten kann und wo seine Grenzen heute liegen (C2PA under the microscope). Darum ist die Kombination von Metadatensignalen mit intrinsischer Medienanalyse wichtig für Resilienz.

Expense-Fraud-Risiken in Unternehmen werden sich weiterentwickeln. Die gute Nachricht ist, dass mehrschichtige Abwehr heute sehr praktikabel ist. Wenn Sie sehen möchten, wie der Fraud Scanner und SafeCam in Ihren Procure-to-Pay-, Expense- oder Claims-Prozess passen, vereinbaren Sie ein kurzes Gespräch mit unserem Team hier.