KYS (Know Your Supplier): Vollständiger Leitfaden zur Überprüfung und Absicherung Ihrer Lieferanten

KYS, oder Know Your Supplier, ist der Prozess, durch den eine Organisation die Identität, Rechtmäßigkeit und Zuverlässigkeit ihrer Lieferanten systematisch überprüft, bevor sie eine Geschäftsbeziehung mit ihnen eingeht. Während KYC auf Privatkunden und KYB auf Geschäftskunden angewendet wird, richtet sich KYS auf das andere Ende der Kette: Ihre Lieferanten, Subunternehmer und Dienstleister, an die Ihre ausgehenden Zahlungen fließen.

‍

Im Jahr 2025 verursachte lieferantenbezogener Betrug europäischen Unternehmen Verluste von über 3,5 Milliarden Euro, so die Schätzungen der Association of Certified Fraud Examiners (ACFE). Diese Verluste resultieren aus Praktiken, die von der Erstellung fiktiver Lieferanten über die Fälschung von Bankverbindungen bis hin zu ausgeklügelten Briefkastenfirmen reichen. Angesichts dieses Risikos ist ein rigoroser KYS-Prozess für Organisationen, die bedeutende Volumina ausgehender Zahlungen verwalten, keine Option mehr.

‍

Was ist KYS?

‍

KYS ist eine Reihe von Due-Diligence-Verfahren, die auf Ihre Lieferanten angewendet werden. Ziel ist es, einfache, aber kritische Fragen zu beantworten: Existiert dieser Lieferant rechtlich? Ist er wirklich derjenige, der er vorgibt zu sein? Gehören ihm die übermittelten Bankverbindungen tatsächlich?

‍

Im Gegensatz zum KYB, dessen Ziel in erster Linie die Bewertung des regulatorischen Risikos eines Geschäftskunden ist, ist KYS stärker auf die Prävention von Finanzbetrug und die Kontrolle operationeller Risiken ausgerichtet. Es umfasst drei wesentliche Dimensionen: die Überprüfung der rechtlichen Identität des Lieferanten, die Authentifizierung seiner Bankverbindung und die kontinuierliche Risikobewertung während der gesamten Geschäftsbeziehung.

‍

KYS ist zudem in einem präzisen regulatorischen Rahmen eingebettet. Das Lieferkettensorgfaltspflichtengesetz (LkSG, 2023) verpflichtet Unternehmen ab einer bestimmten Größe, Sorgfaltspflichten entlang ihrer Lieferketten zu erfüllen. Das Geldwäschegesetz (GwG) sowie die EU-AML-Richtlinien (insbesondere die AMLD6) erstrecken die Überwachungspflichten auch auf ausgehende Zahlungsströme. Die CSRD-Richtlinie, die seit 2024 schrittweise in Kraft tritt, erweitert die Berichtspflichten auf ökologische, soziale und Governance-Aspekte der gesamten Lieferkette.

‍

Typologien von Lieferantenbetrug

‍

Lieferantenbetrug ist vielgestaltig. Die häufigsten Erscheinungsformen zu kennen, ist der erste Schritt zu einem wirksamen Schutz.

‍

Der Scheinlieferantenbetrug ist einer der verbreitetsten. Ein Betrüger erstellt eine fiktive Einheit oder usurpiert die Identität eines legitimen Lieferanten, um betrügerische Rechnungen einzureichen. Indem er wenig stringente Validierungsprozesse ausnutzt, gelingt es ihm, für nicht erbrachte Leistungen bezahlt zu werden. Im Jahr 2024 schätzte Euler Hermes, dass diese Form des Betrugs 30 % der auf internen Betrug zurückzuführenden Schäden in Europa ausmachte.

‍

Der Betrug durch Änderung der Bankverbindung (oder IBAN-Umleitung) ist möglicherweise die ausgefeilteste Variante. Ein Angreifer fängt eine Anfrage zur Aktualisierung von Bankdaten ab oder fälscht sie und ersetzt die echte IBAN des Lieferanten durch die eines Kontos unter seiner Kontrolle. Nachfolgende Überweisungen werden auf dieses Konto umgeleitet, bevor der Betrug entdeckt wird. Dieser Angriff erfolgt häufig über eine betrügerische E-Mail oder ein kompromittiertes Postfach.

‍

Der CEO-Betrug (oder Business Email Compromise, BEC) zielt direkt auf Zahlungsprozesse ab. Ein Angreifer gibt sich als Führungskraft des Unternehmens aus und fordert eine dringende Überweisung auf ein neues Lieferantenkonto. Die Kombination aus Zeitdruck und scheinbarer Autorität des Absenders vermindert die Wachsamkeit der betroffenen Mitarbeiter.

‍

Briefkastenfirmen und betrügerische Konstruktionen stellen eine komplexere Kategorie dar. Ein scheinbar legitimes Unternehmen verschleiert illegale Aktivitäten: Geldwäsche, Umgehung internationaler Sanktionen, Finanzierung krimineller Strukturen. Für Organisationen, die den Anforderungen des GwG und der EU-AML-Richtlinien unterliegen, begründet das Eingehen von Verträgen mit solchen Lieferanten ohne vorherige Sorgfaltsprüfung eine regulatorische Haftung.

‍

Interner Betrug durch Absprachen wird häufig unterschätzt. Ein Mitarbeiter erstellt einen fiktiven Lieferanten im ERP-System und genehmigt selbst die entsprechenden Rechnungen. Dieser Angriffsvektor nutzt eine unzureichende Funktionstrennung aus.

‍

Der KYS-Prozess: Die wichtigsten Schritte

‍

Ein effektives KYS-Programm deckt den gesamten Lebenszyklus des Lieferanten ab, von der Aufnahme der Beziehung bis zum kontinuierlichen Monitoring.

‍

Die Überprüfung der rechtlichen Identität bildet den Einstiegspunkt: Handelsregisternummer, Handelsregisterauszug, Satzung, Identifizierung der wirtschaftlich Berechtigten. Diese Informationen müssen mit offiziellen Registern abgeglichen werden (Handelsregister, Bundesanzeiger, Transparenzregister), um mögliche Unstimmigkeiten oder laufende Insolvenzverfahren aufzudecken.

‍

Die Überprüfung der Bankverbindung ist der Schritt, der am direktesten mit der Betrugsprävention verknüpft ist. Die Bestätigung, dass eine IBAN dem angegebenen Kontoinhaber gehört, kann nicht auf einer einfachen Formatprüfung beruhen. Dies erfordert eine aktive Verifikation: per Open Banking oder durch Bestätigung bei einem Ansprechpartner, der unabhängig vom Kanal der ursprünglichen Anfrage identifiziert wurde.

‍

Das Screening von Sanktionslisten ist für jede Organisation, die internationale Zahlungen abwickelt, unerlässlich. Lieferanten müssen bei Aufnahme der Beziehung und regelmäßig im Verlauf der Beziehung überprüft werden, da die Listen von OFAC, EU und UN häufig aktualisiert werden.

‍

Die Risikobewertung und das Scoring fassen alle gesammelten Informationen zusammen. Ein Lieferanten-Score berücksichtigt das Niederlassungsland, die Branche, das Alter der Struktur und erkannte Warnsignale. Er bestimmt das anzuwendende Sorgfaltsniveau: Standard, verstärkt oder Ablehnung.

‍

Das kontinuierliche Monitoring schließt den Kreislauf. Die Informationen eines Lieferanten können sich ändern: rechtlicher Status, Geschäftsführer, Bankverbindungen. Ein ausgereiftes KYS-Programm integriert automatische Benachrichtigungen, die durch jede wesentliche Änderung ausgelöst werden.

‍

Der regulatorische Rahmen für KYS in Deutschland und der EU

‍

In Deutschland und auf EU-Ebene regulieren mehrere Rechtsakte die Pflichten von Unternehmen gegenüber ihren Lieferanten direkt.

‍

Das Lieferkettensorgfaltspflichtengesetz (LkSG, 2023) verpflichtet Unternehmen ab 1.000 Mitarbeitern, angemessene Sorgfaltspflichten in Bezug auf Menschenrechtsverletzungen und Umweltrisiken in ihrer gesamten Lieferkette zu implementieren. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überwacht die Einhaltung und kann Bußgelder verhängen.

‍

Das Geldwäschegesetz (GwG) setzt die EU-AML-Richtlinien in deutsches Recht um. Es verpflichtet verpflichtete Unternehmen zur Identifizierung und Überprüfung ihrer Vertragspartner sowie zur laufenden Überwachung von Geschäftsbeziehungen, einschließlich ausgehender Zahlungsströme.

‍

Die EU-AML-Richtlinien (AMLD4, AMLD5, AMLD6) verschärfen die Anforderungen an die Sorgfaltspflicht und die Identifizierung wirtschaftlich Berechtigter. Das europäische Transparenzregister verpflichtet Unternehmen zur Offenlegung ihrer wirtschaftlich Berechtigten.

‍

Die CSRD-Richtlinie, die seit 2024 schrittweise gilt, erweitert die Berichtspflichten auf Umwelt-, Sozial- und Governance-Aspekte der Lieferkette. Für Unternehmen, die den GwG-Pflichten unterliegen, gilt der AML-Rahmen auch für ausgehende Zahlungen: Jede Zahlung an einen nicht identifizierten Dritten kann einen Verstoß gegen die Sorgfaltspflichten darstellen.

‍