Jul

27

Wie gut schlafen Sie nachts? Sind ihre
Zahlungsabläufe sicher vor Cyberkriminalität
und Betrug?

by

Um Cyberkriminalität durchzuführen, bedarf es heutzutage nicht mehr anspruchsvoller IT- oder Programmierkenntnisse.

Natürlich gibt es immer noch Viren, Ransomware und ähnliches, aber für häufige Formen der Cyberkriminalität, wie zum Beispiel dem Kompromittieren von Geschäfts-E-Mails (Business Email Compromise Attack - BEC) bedarf es nur weniger technischer Fähigkeiten. Bei dieser Form der Cyberkriminalität muss der Angreifer sich noch nicht einmal in Ihre E-Mail-Systeme oder Ihr Intranet hacken.

Bei einem Angriff via E-Mail-Kompromittierung, auch CEO-Angriff oder CFO-Angriff genannt, findet der Angreifer einen Weg, sich als wichtige Person in Ihrem Unternehmen auszugeben. Dies geschieht in der Regel über eine gefälschte E-Mail-Identität.  In anspruchsvollen Fällen wird Zugang zum E-Mail-Konto des CEO oder CFO erlangt. Aber viel häufiger ist es, dass gefälschte E-Mails genutzt werden. Und das bedrohliche dabei ist, dass heutzutage jeder eine E-Mail-Adresse erstellen kann. Von dieser gefälschten E-Mail-Adresse aus initiiert der Angreifer dann im Finanz- oder Treasury-Team einen Zahlungsauftrag. An dieser Stelle möchte ich noch darauf hinweisen, dass dies eigentlich keine Überraschung ist. Denn in Zeiten der Informationsflut, in denen wir eine Menge Detailinformationen über uns ins Internet stellen, ist es viel leichter geworden, eine Identität zu fälschen. Betrüger sind darauf spezialisiert, Schwachstellen im Unternehmen zu finden und diese anzugreifen. Betrüger können dann diese Methode auf weitere Unternehmen anwenden, da die meisten Unternehmen - gerade im Bereich der Zahlungsprozesse - ähnliche Schwachstellen haben und ihre Erfolgschancen immer weiter erhöhen.

CEO-Betrug ist also ein großer Bereich in der Cyberkriminalität. Allerdings gibt es noch eine weitere Bedrohung, die viel näher liegt - nämlich intern. Interne Risiken im Zusammenhang mit Zahlungsprozessen können von einem Unternehmen nur durch klare Handlungsanweisungen, Regeln und Prozesse minimiert werden. Es ist überraschend, wieviele Unternehmen hierbei allerdings scheitern. Ich habe es beispielsweise oft erlebt, dass börsennotierte Unternehmen Batch-Dateien manuell zu Ihren Online-Banken hochladen. Natürlich kann man eine Datei-und-Ordner-Sharing Richtlinien anwenden, um das Risiko, dass jemand die Daten verändert, zu vermindern - diese Maßnahme ist aber  grundsätzlich falsch, da sie auf einem manuellen Prozess beruht. Professionelle Unternehmen sollten nach Wegen suchen, diesen manuellen Prozess zu beseitigen.

Wie kann man damit anfangen, Risiken im Zahlungsablauf zu minimieren?

An dieser Stelle würde ich gerne eins klarstellen: Unternehmen deren finanzielles Backoffice dezentralisiert ist, sind in der Regel Cyberkriminalität und Betrug ausgesetzt. Dies liegt darin begründet, dass es durch die Dezentralisierung viel zeitaufwendiger ist, Werkzeuge und Prozesse zur Abwehr von Cyberkriminalität umzusetzen und natürlich sind die Kosten auch höher. Letztlich ist es in einem dezentralisierten Unternehmen leider auch leichter anzugeben, dass etwas nicht in den eigenen Verantwortungsbereich fällt. Eine zentralisierte Payment Factory kann hier überraschend leistungsfähig in Bezug auf die Minimierung von externen und internen Risiken sein. Mittels einer Payment Factory erstellen Sie eine zentrale Relaisstation (Hub), durch die Sie die Verbindung zu Ihren Banken herstellen können.

Konzentrieren wir uns nun für einen Moment auf die Kompromittierung von E-Mails. Zunächst scheint es, als ob es eine klare Verbindung zwischen den Attacken und einer Payment Factory gibt. Allerdings können diese Angriffe meist durch bewährte Praktiken abgewehrt oder zumindest vermindert werden. Ein Beispiel hierfür ist ein Prozess, in dem Accounts Payable Zahlungen nur an registrierte Kreditoren akzeptiert (mit einem Vier-Augen-Prinzip). Ein anderes Beispiel ist ein Prozess, in dem manuelle ad hoc-Zahlungen herausgefiltert und wenn ein Verdachtsmoment besteht, vor der Ausführung durch verschiedene Filter-und Vermeidungsverfahren gestoppt werden können. Sofern diese Maßnahmen getroffen werden, ist es für eine Payment Factory möglich, Angriffe zu stoppen.

Eine Payment Factory kann auch die Schwächen von manuellen Zahlungsabläufen verringern. Hier stellen Sie am besten Schnittstellen direkt von Ihrem ERP-System zur Payment Factory her. Natürlich kosten automatisierte Datenübertragungen oder Messaging-Lösungen Geld, aber wollen Sie wirklich sparen, wenn Ihr Unternehmen das Risiko eingeht, nicht mit den geltenden Sicherheitsniveaus konform zu sein? Vor allem, da heutzutage fast jede Bank durch SWIFT oder ähnliche Standards verbunden werden kann.

Das Mindestniveau ist erreicht, was nun?

Nachdem Sie die ersten entscheidenden Schritte zur Sicherung Ihrer Cashflows mit Industriestandardprozessen und automatisierten Schnittstellen durch eine Payment Factory vorgenommen haben, sollten Sie eruieren, wie die Prozesse noch besser und damit sicherer gestaltet werden können. Denn Prozesse und Systeme werden nie 100% sicher sein. Daher ist es wichtig, in der Lage zu sein, bereits geschehenen Betrug auch zu erkennen. Zum Beispiel wird Ihnen die automatische Kontenabstimmung, die von der Payment Factory angeboten wird, helfen, Abweichungen schnell zu bemerken, da Ihr Bankkonto immer vollständig am Ende des Tages gegen Ihr Sachkonto gerechnet wird. Des Weiteren, erlauben Ihnen die Funktionalitäten des In-House Bank-Konzeptes,  Ihre Banken für Ihre Tochtergesellschaften nahezu unsichtbar zu machen. Das stärkt die Kontrolle und Transparenz in der Gruppe bezüglich Bargeld- und Cashflow Prozessen noch weiter.  

Abschließend lässt sich sagen, dass es relativ einfach ist, erste Schritte zu unternehmen, um das Risiko von Zahlungsbetrug und Cyberkriminalität einzudämmen. Allerdings sind die Risiken, die in diesem Artikel genannt werden, nur die Spitze des Eisbergs. Daher würde ich gerne jedes Unternehmen dazu ermutigen, sich entschieden gegen ungünstige und undefinierte interne Prozesse und unzureichende Mittel, die die branchenüblichen Finanzprozesse nicht unterstützen können, zu stellen.

Laden Sie unsere Infografik über sichere Zahlungsprozesse hier herunter >>

Thomas Rohn / OpusCapita