23. Januar, 2019

Wie E-Invoicing Ihr Risiko, Opfer von Finanzkriminalität zu werden, senken kann

by e-invoicing Trends, Business Network, E-invoicing

Vor kurzem sind fast 35.000 CFOs Gegenstand eines gezielten Phishing-Betrugsversuchs geworden. Hinter dem Angriff steckte eine kriminelle Organisation, die aus Nigeria heraus operierte. Diese Masche wird von Betrügern vermehrt genutzt. So schätzt das FBI, dass im Zeitraum von Oktober 2013 bis Mai 2018 Unternehmen auf der ganzen Welt mehr als 12 Milliarden Dollar durch solche Betrugsmaschen verloren haben.

Mithilfe von E-Invoicing das Finanzbetrugsrisiko verringern

Wie kommt es zu diesen Betrugsversuchen?

Hierarchien im Unternehmen werden missbraucht

Der Angreifer verschafft sich bei einem Business E-Mail Compromise (BEC) zunächst Zugang zu einem E-Mail-Konto des Unternehmens. Um das Unternehmen, Kunden oder Mitarbeiter zu täuschen, agiert er mit der Identität des eigentlichen Firmen-Kontoinhabers und gibt sich bspw. als CEO oder CFO aus.

Bei einem typischen Angriff über E-Mail nutzen Kriminelle die Identität des CFOs und veranlassen einen Mitarbeiter der Finanzabteilung eine dringende Zahlung an einen Lieferanten auszuführen.

In dieser Situation gerät der Mitarbeiter unter Druck, der Aufforderung des CFOs nachzukommen und venachlässigt den typischen Zahlungsprozess ordnungsgemäß einzuhalten. Scheint der Name des Lieferanten relevant, führt der Mitarbeiter die Zahlung durch und das Unternehmen erleidet einen finanziellen Verlust.

Abfangen von E-Mails

Ein weitere, etwas kompliziertere Masche von Betrügern ist es, wenn diese die laufende E-Mail-Kommunikation zwischen den Geschäftspartnern abfängt und beobachtet. Sobald er laufende Business Transatkionen identifiziert hat, wird er die Informationen nutzen und versuchen, das Unternehmen auf verschiedene Weise zu betrügen.

Eine Möglichkeit besteht darin, eine E-Mail abzufangen und die Bankverbindung auf der tatsächlichen Rechnung zu ändern. Alternativ, wenn die Rechnung bereits versandt wurde, kann er eine Phishing-E-Mail senden und den Käufer bitten, die Rechnung auf ein anderes als das korrekt angegebene Konto zu bezahlen.

In beiden Fällen verwenden Kriminelle E-Mail-Spoofing, um die E-Mail-Adresse glaubwürdig erscheinen zu lassen. Dadurch wird die Rechnung an die falsche Firma und das falsche Konto bezahlt, weil der Empfänger darauf vertraut, dass die Rechnung von einer legitimen Quelle stammt.

Rechnungsfreigabeprozesse manipulieren

Die Rechnungsbearbeitungsprozess kann mit hohen Kosten verbunden sein. Von daher haben viele Unternehmen einen automatischen Genehmigungsprozess für Rechnungen, welche unter einem bestimmten Schwellenwert liegen. In diesen Fällen nutzen Kriminelle in der Regel E-Mail-Adressen oder Lieferantennamen, die denen der aktuellen Lieferanten ähneln. Sie geben sich zum Teil auch als IT-Wartungslieferanten aus. Mitarbeiter tendieren dann, Rechnungen mit kleinen Beträgen automatisch zu genehmigen.

Kosten der Rechnungsstellung über E-Mail

Die E-Mail-Rechnung gilt als eine sehr kostengünstige und einfache Möglichkeit der Rechnungsstellung, die für jeden erschwinglich ist. Aber ist das auch wirklich so? Da es immer mehr Fälle gibt, in denen E-Mail-Betrug eingesetzt wird, stehen IT-Abteilungen unter Druck, sicherere E-Mail-Kanäle zu schaffen. Es ist Aufgabe der IT für mehr Sicherheit zu sorgen und Mitarbeiter und das Unternehmen vor derartigen Angriffen zu schützen.

Maßnahmen Ihrer IT-Abteilung zur Erhöhung der Sicherheit steigern möglicherweise die Kosten für die E-Mail-Rechnung. Das erfolgt entweder direkt, durch Erhöhung der IT-Sicherheitskosten oder indirekt, in Fällen in denen versehentlich tatsächliche Lieferantenrechnungen als Spam markiert werden. Schlussfolgernd kommen die Rechnungen nicht an und werden nicht bezahlt. Das kann sowohl für den Absender als auch für den Empfänger kostspielig sein.

Nicht nur das Verzugszinsen verursacht werden und die Verzögerung Einfluss auf den Cash Flow des Lieferanten hat, sondern auch der Aufwand, der vom Kundenservice erfolgt, um das Problem zu lösen, lässt weitere Kosten entstehen.

Amount of direct monetary losses to payment fraudQuelle: PwC’s Global Economic Crime and Fraud Survey 2018

Es gibt einen besseren Weg

Der beste Weg, um sicherzustellen, dass Lieferantenrechnungen pünktlich bezahlt werden, besteht im E-Invoicing. Strukturierte Rechnungsdaten können direkt zwischen Käufer und Lieferant ausgetauscht und die Informationen direkt in das Rechnungswesen der Kreditorenbuchhaltung hochgeladen werden. Ein vertrauenswürdiger Dienstleister zusammen mit einer vertrauenswürdigen Datenkette stellt eine Sicherheit für das Netzwerk dar. Das Risiko eines BEC-Angriffs wird minimiert.

Natürlich bestehen noch weitere Vorteile bei der Umstellung auf E-Invoicing.

E-Invoicing reduziert nicht nur das Risiko, dass Ihr Unternehmen durch Betrugsversuche Geld verliert, sondern Sie sparen auch Geld, indem Sie einen typischerweise sehr manuellen Prozess automatisieren und die Anzahl der Fehler reduzieren, die sonst zu erhöhten Kosten und Verarbeitungszyklen führen können.

Da die Anzahl der Angriffe zunimmt, müssen Unternehmen einen mehrstufigen Ansatz zur Gewährleistung der Sicherheit verfolgen. Mit E-Invoicing, bei dem Sie das Netzwerk eines Dienstleisters zum Senden und Empfangen Ihrer Rechnungen nutzen, verringern Sie also das Risiko, Opfer von Finanzkriminalität zu werden erheblich und profitieren gleichzeitig von den Vorteilen der Prozessautomatisierung.

Ich höre oftmals die Kritik, dass die heutigen Lösungen eher zugunsten von Großunternehmen entwickelt wurden und weniger die Anforderungen von KMUs berücksichtigen. Dennoch sollte es nicht dazu führen, dass Sie nicht vertrauenswürdige Lösungen auswählen, die scheinbar kostenlos sind. Der Fokus sollte sich auf einer bezahlbaren (finanziell und prozessual sinnvollen) KMU-Lösung liegen.

Es kommt die Frage auf, warum E-Mail immer noch so ein beliebtes Werkzeug bei der Durchführung von Wirtschaftskriminalität darstellt. Die Antwort ist einfach. Für die Betrüger entstehen keinerlei Transaktionskosten. Es ist also eine kostengünstige Methode für Betrugsversuche, weshalb diese auch im großen Umfang ausgeführt warden. Am Ende des Tages gibt es nichts Schlechtes ohne Gutes - Das Geld, das Sie Ihrem Dienstleister zahlen müssen, ist kein Vergleich zu den schlaflosen Nächten, die Sie aufgrund von Unsicherheiten haben.

Haben Sie sich schon für unser E-Invoicing-Webinar angemeldet? Schauen Sie in unserer Übersicht Events und Webinare nach und bleiben Sie up to date zu allen E-Invoicing-Themen.

 

Ahti Allikas

Ahti Allikas
Ahti Allikas ist seit 2000 in der E-Invoicing-Branche aktiv. Bei OpusCapita bekleidet er derzeit die Position des Head of Partners and Networks und ist für die Weiterentwicklung des E-Invoicing-Ökosystems verantwortlich. Er sitzt im Leitungsgremium des EESPA-Verbands (European E-invoicing Service Providers Association), vertritt OpusCapita in einem weiteren Verband, der OpenPEPPOL Association, und hat sich vor kurzem auch dem European Multi-Stakeholder Forum on E-Invoicing (EMSFEI) angeschlossen.

 

Mehr Blogposts zu diesem Thema lesen: E-invoicing