Workflow · Lesezeit 8 min
IBAN-Prüfung vor jeder Zahlung — Best-Practice-Workflow.
Wie ein moderner B2B-Workflow IBAN-Wechsel, Fingerprint-Vergleich und Audit-Trail in unter 30 Sekunden abbildet — ohne Telefonate, ohne Excel, ohne Vertrauensbruch.
Veröffentlicht am 11. Mai 2026 · 8 min Lesezeit · SigID-Produktteam
Eine IBAN-Änderung beim Lieferanten ist der häufigste Vektor für Zahlungsbetrug im B2B-Geschäft. Wer hier nachlässig wird, riskiert Beträge im fünfstelligen bis siebenstelligen Bereich. Dieser Artikel zeigt einen Workflow, der in unter 30 Sekunden läuft und gleichzeitig WP-festen Audit-Trail produziert.
Warum IBAN-Wechsel so kritisch sind
Die typische Betrugsmasche ist einfach: Ein Angreifer übernimmt das E-Mail-Konto eines Geschäftsführers, schreibt eine Nachricht an die Buchhaltung und teilt eine neue IBAN mit. Die Buchhaltung ändert den Eintrag, die nächste Zahlung läuft auf ein Phantomkonto. Im Schnitt verlieren betroffene Unternehmen sechsstellige Beträge — und müssen den Vorfall ihren Wirtschaftsprüfern erklären.
Schritt 1: IBAN-Fingerprint statt Klartext
Im ersten Schritt speichert SigID nicht die rohe IBAN, sondern einen gesalzenen Hash. Der Vergleich gegen den hinterlegten Fingerprint funktioniert weiterhin, eine Auslese der IBAN aus der Datenbank ist nicht mehr trivial. Auch ein Angreifer mit Read-Zugriff auf die Datenbank kann nichts anfangen mit dem Hash.
Schritt 2: Fingerprint-Vergleich bei jeder Zahlung
Vor jeder Zahlungsausführung vergleicht der ERP-Konnektor die im ERP hinterlegte IBAN gegen den SigID-Fingerprint. Stimmen die Werte überein, läuft die Zahlung in Sekunden durch. Weichen sie ab, wird die Zahlung pausiert und ein Challenge ausgelöst.
Schritt 3: Challenge mit Dynamic Linking
Der Challenge geht an die Trust-App der verantwortlichen Person. Sie sieht im Klartext: alten Empfänger, neue IBAN, Betrag. Sie bestätigt oder lehnt ab. Die Bestätigung wird per Passkey und Dynamic Linking signiert — die Signatur ist nur für diesen einen Vorgang gültig.
Schritt 4: Audit-Event mit Risk-Level high
Bei Bestätigung entsteht ein Audit-Event mit Aktionstyp iban.update, Risk-Level high und Verweis auf den signierten Challenge. Das Event geht in die Audit-Hash-Chain ein und erhält eine eindeutige Audit-ID. Bei der nächsten WP-Prüfung lässt sich der Vorgang vollständig rekonstruieren.
Schritt 5: Vier-Augen-Prinzip auf Wunsch
Für besonders kritische Lieferanten oder besonders hohe Beträge lässt sich das Vier-Augen-Prinzip aktivieren. Dann braucht es zwei aufeinanderfolgende Trust-App-Signaturen, bevor das Audit-Event final wird. Die zweite Person sieht ebenfalls Klartext-Daten und bestätigt unabhängig von der ersten.
Schritt 6: Webhook zurück ins ERP
Sobald das Audit-Event freigegeben ist, ruft SigID den ERP-Webhook auf und liefert die Audit-ID als Referenz. Das ERP setzt den Lieferanten-Stamm auf den neuen IBAN-Fingerprint, hängt die Audit-ID an die Buchung und gibt die Zahlung frei.
Gesamtdauer und Effekt
Der gesamte Workflow läuft in der Trust-App in unter 30 Sekunden. Bei aktivem Vier-Augen-Prinzip kommen rund 60 Sekunden für die zweite Person hinzu. Im Vergleich zur klassischen E-Mail-Telefon-Excel-Schleife mit Zwischenrückfrage sparen Unternehmen typischerweise 80 bis 90 Prozent der Bearbeitungszeit — und gewinnen einen WP-festen Audit-Trail.
Wann sich der Workflow lohnt
Wir empfehlen den Workflow ab dem ersten Lieferanten mit kritischem Auszahlungs-Volumen. Für Mandanten mit über 50 aktiven Lieferanten amortisiert sich SigID typischerweise innerhalb des ersten Quartals — allein durch eingesparte Bearbeitungszeit und vermiedene Falsch-Auszahlungen.
Fazit
IBAN-Prüfung muss nicht teuer, langsam oder umständlich sein. Wer einmal sauber konfiguriert hat, läuft im Tagesgeschäft auf 30-Sekunden-Workflows und liefert dem Wirtschaftsprüfer einen kompletten Audit-Trail. Der nächste Schritt: einen Demo-Lieferanten in SigID anlegen und den Workflow am echten Vorgang ausprobieren.
Eine Übersicht aller Trust-Module finden Sie im Trust Center.