OSINT für Unternehmen: Open-Source-Intelligence bei der Partnerprüfung
Bevor ein mittelständisches Unternehmen einen neuen Lieferanten unter Vertrag nimmt oder eine langfristige Kooperation eingeht, stellt sich eine entscheidende Frage: Wer sitzt eigentlich auf der anderen Seite des Verhandlungstisches? Die OSINT Unternehmensverifikation Anleitung zeigt, wie Sie mit frei zugänglichen Informationsquellen – sogenannter Open Source Intelligence – Geschäftspartner systematisch prüfen können, bevor es zu teuren Fehlentscheidungen kommt. In einer Zeit, in der Betrug, Insolvenzrisiken und Compliance-Verstöße real und alltäglich sind, ist ein strukturierter OSINT-Prozess kein Luxus mehr, sondern Teil einer verantwortungsvollen Unternehmensführung.
Was ist Open Source Intelligence und warum ist es für die B2B-Due-Diligence relevant?
Open Source Intelligence, kurz OSINT, bezeichnet die systematische Sammlung und Auswertung öffentlich zugänglicher Informationen. Der Begriff stammt ursprünglich aus dem Nachrichtendienstumfeld, hat aber längst Einzug in die Wirtschaftswelt gehalten. Im B2B-Kontext bedeutet OSINT: Sie nutzen legale, frei verfügbare Quellen, um ein möglichst vollständiges Bild eines potenziellen Geschäftspartners zu zeichnen – ohne invasive Methoden oder teure externe Ermittler.
Relevante OSINT-Quellen für Unternehmen umfassen unter anderem:
- Handelsregister (national und europäisch)
- Insolvenzbekanntmachungen der zuständigen Amtsgerichte
- Unternehmenswebsites und Social-Media-Präsenzen
- Pressedatenbanken und Nachrichtenarchive
- Sanktionslisten (EU, UN, OFAC)
- Bewertungsportale und Branchenverzeichnisse
Die Due Diligence vor einer Geschäftsbeziehung hat zwei Kernziele: erstens die wirtschaftliche Solidität des Partners zu beurteilen, zweitens Compliance-Risiken frühzeitig zu erkennen. OSINT ist dabei kein Ersatz für formale Bonitätsauskünfte, aber eine wertvolle, kostengünstige Ergänzung.
OSINT Unternehmensverifikation Anleitung: So gehen Sie Schritt für Schritt vor
Eine strukturierte Vorgehensweise ist entscheidend, damit die OSINT-Recherche reproduzierbar und revisionssicher wird. Die folgenden Schritte bilden einen praxiserprobten Rahmen:
Schritt 1 – Grunddaten verifizieren: Zunächst gilt es, die grundlegenden Unternehmensdaten zu bestätigen. Dazu gehören offizielle Firmenbezeichnung, Rechtsform, Handelsregisternummer und eingetragene Adresse. Das Handelsregister unter handelsregister.de ist für deutsche Unternehmen der erste Anlaufpunkt. Für europäische Partner empfiehlt sich der European e-Justice Portal mit Zugang zu nationalen Registern.
Schritt 2 – Umsatzsteuer-Identifikationsnummer prüfen: Die USt-IdNr. ist ein zentrales Identifikationsmerkmal im B2B-Verkehr. Stimmt die angegebene Nummer mit dem tatsächlich eingetragenen Unternehmen überein? Eine Prüfung lässt sich über das VIES-System der Europäischen Kommission oder spezialisierte Dienste wie VAT Verifizierung durchführen, die eine schnelle und zuverlässige Bestätigung bieten.
Schritt 3 – Insolvenz- und Negativrecherche: Über insolvenzbekanntmachungen.de lässt sich prüfen, ob aktuelle oder vergangene Insolvenzverfahren vorliegen. Ergänzend empfiehlt sich eine einfache Google-Suche mit dem Unternehmensnamen kombiniert mit Begriffen wie „Insolvenz", „Betrug" oder „Klage".
Schritt 4 – Sanktionslisten-Abgleich: Besonders relevant bei internationalen Transaktionen: Prüfen Sie das Unternehmen und seine bekannten Führungspersonen gegen EU- und UN-Sanktionslisten. Tools wie der EU Sanctions Map erleichtern diesen Abgleich erheblich.
Schritt 5 – Digitale Präsenz und Reputation: Wie lange existiert die Website bereits? Gibt es professionelle LinkedIn-Profile der Führungskräfte? Stimmen die dort angegebenen Informationen mit dem überein, was das Unternehmen behauptet? Negative Bewertungen auf Kununu oder Google Maps können Hinweise liefern – müssen aber stets im Kontext bewertet werden.
Typische Red Flags bei der OSINT-Recherche
Erfahrene Compliance-Manager wissen: Es geht nicht nur darum, was man findet, sondern auch darum, was fehlt. Folgende Signale sollten als Warnsignale behandelt werden:
- Diskrepanz zwischen angegebener und eingetragener Adresse: Virtuelle Büros oder Briefkastenadressen sind nicht per se illegal, erhöhen aber das Prüfbedarf.
- Fehlende oder nicht validierbare USt-IdNr.: Insbesondere bei Vorsteuerabzug ist eine korrekte Identifikation des Lieferanten steuerrechtlich zwingend erforderlich.
- Sehr junges Unternehmen mit ungewöhnlich großen Auftragsvolumina: Ein klassisches Muster bei Fakturierungsbetrug.
- Keine oder kaum digitale Spuren: Seriöse B2B-Unternehmen hinterlassen in der Regel nachvollziehbare digitale Fußabdrücke.
- Häufige Adress- oder Firmennamenwechsel: Erkennbar über Handelsregisterauszüge mit Historienauswertung.
Grenzen von OSINT und sinnvolle Ergänzungen
So wertvoll OSINT auch ist – es gibt klare Grenzen. Öffentlich zugängliche Informationen sind oft unvollständig, veraltet oder schlicht falsch. Ein Handelsregistereintrag dokumentiert den Stand bei letzter Eintragung, nicht die aktuelle wirtschaftliche Realität. Wer heute prüft, ob ein Unternehmen in sechs Monaten noch zahlungsfähig ist, braucht tiefergehende Bonitätsdaten.
Empfehlenswerte Ergänzungen zu OSINT-Recherchen sind:
- Formelle Bonitätsauskünfte von Auskunfteien wie Creditreform oder Dun & Bradstreet
- Referenzgespräche mit bisherigen Geschäftspartnern des Unternehmens
- Automatisierte Monitoringsysteme für laufende Geschäftsbeziehungen
- Spezialisierte Verifikationsdienste für die USt-Prüfung im Massengeschäft – hier kann ein Anbieter wie VAT Verifizierung den manuellen Aufwand erheblich reduzieren
Für Unternehmen mit einem hohen Volumen an Neulieferanten oder internationalen Transaktionen ist eine teilautomatisierte OSINT-Infrastruktur empfehlenswert, die menschliche Analyst:innen bei der Entscheidung unterstützt, nicht ersetzt.
Rechtliche Rahmenbedingungen bei der OSINT-Nutzung im Unternehmen
Ein wichtiger Aspekt, der in der Praxis oft unterschätzt wird: Auch die Nutzung öffentlicher Quellen unterliegt rechtlichen Grenzen. Die DSGVO