Cyberattacken auf das Treasury – sind auch Ihre Zahlungen gefährdet?

Cyberattacken auf das Treasury

Quelle: KPMG Corporate Treasury News, Ausgabe 43, Mai 2015 - Mehr als 50 Milliarden Euro wirtschaftlicher Schaden pro Jahr allein in Deutschland, bis zu einer Billion Dollar weltweit, jedes zweite Unternehmen betroffen, prominente Beispiele wie Sony, JP Morgan oder jüngst der Deutsche Bundestag: ohne Frage ist die Gefahr durch digitale Angriffe nicht zuletzt durch die mediale Präsenz in den letzten Jahren dramatisch gestiegen.

Verwandte Inhalte

Das tatsächliche Ausmaß ist vermutlich noch grösser, bedenkt man eine potenzielle Dunkelziffer, da viele Unternehmen Angriffe teilweise nicht bemerken oder aufgrund des gefürchteten Reputationsverlustes verschweigen. Vor diesem Hintergrund schätzt das World Economic Forum weltweit eine Verdreifachung der durch Cyberattacken entstandenen Schäden bis 2020 – unabhängig davon, ob es sich um Spionage, Datendiebstahl oder beabsichtigte Sabotage handelt.

Im Hinblick auf die Auswirkungen auf die Treasury-Funktion im Unternehmenskontext stellt sich daher die Frage, warum sich ein Treasurer mit solchen Gefahren in seinem Verantwortungsbereich auseinandersetzen sollte und wo konkrete Bedrohungsszenarien existieren, die es abzusichern gilt. Was sind im Treasury die „Kronjuwelen“, wie IT-Sicherheitsexperten die besonders schützenswerten Daten und Informationen betiteln? Die Beantwortung dieser Frage ist elementar, denn wer nicht weiß, was er schützen muss und soll, wird es im Endeffekt auch nicht tun.

Unstrittig ist, dass der Umfang der in einer Treasury-Abteilung gebündelten Verantwortlichkeiten auch über Art und Ausmaß der sensiblen Informationen entscheidet. Bei einer zentralen Steuerung der Liquidität und der finanziellen Risiken bis hin zu einer Festlegung der Investitions- und Finanzierungsstrategien liegen die mittelbaren Folgen auf der Hand, wenn die damit verbundenen Informationen in falsche Hände gelangen.

Unmittelbar auf das Unternehmensergebnis wirken sich digitale Angriffe oder Manipulationen jedoch insbesondere dort aus, wo Finanztransaktionen und Zahlungen prozessiert werden. Angriffe auf Zahlungsverkehrssysteme können Fehlüberweisungen bewirken oder die Zahlungsfähigkeit des Unternehmens direkt einschränken.

Um im Umfeld des Zahlungsverkehrs konkrete Bedrohungsszenarien zu identifizieren, ist ein Blick auf die gesamte Prozesskette einer klassischen ausgehenden Zahlung erforderlich, also vom Augenblick des Rechnungseingangs bis zum elektronischen Versand der Zahldatei an die Hausbank. Diese Kette besteht aus einer Vielzahl von einzelnen Prüf- und Freigabeschritten (z.B. Rechnungsprüfung, Zahlungsanweisungen, Unterschriftsprüfung, Stammdatenpflege der Zahlungsempfänger, Bankfreigabe), welche teilweise manuell oder systemunterstützt in unterschiedlichen Systemen (z.B. ERP-System, Treasury Management System, Electronic Banking Anwendung) ausgeführt werden.

Daraus resultieren eine Vielzahl von Eingriffs- und Manipulationsmöglichkeiten auf prozessualer und IT-technischer Ebene, um bei entsprechender Kenntnis der zu umgehenden Kontrollen und der technischen Umgebung Beträge in signifikanter Höhe aus dem Unternehmen herauszuschleusen. Angriffe in diesem Kontext sind normalerweise keine Einmalversuche, sondern ein schleichender Prozess, der eine sukzessive Aneignung von Kenntnissen über die Schwächen in Prozessen und Systemen erfordert.

Diese Gefahr wird paradoxerweise noch verstärkt, wenn Zahlungsverkehrsprozesse stärker zentralisiert werden und zentrale Treasury-Abteilungen mit Verantwortung für ein Payment Factory-Konzept nicht mehr jede einzelne operative Transaktion vor Versand an die Bank inhaltlich auf Richtigkeit prüfen können.

Ursprung der Gefährdung ist realistisch betrachtet nur in den seltensten Fällen der ominöse Hacker, der extern über das Internet Systeme angreift und Zahlungen manipuliert oder etwa in standardisierte abgesicherte Transportkanäle mit den Hausbanken eindringt.

Die Mehrheit der IT-Sicherheitsvorfälle ereignet sich üblicherweise „vor Ort“ in den Unternehmen und wird von aktuellen oder ehemaligen Mitarbeitern ausgelöst, welche die Sicherheitslücken identifizieren und umgehen können. Dabei ist es unerheblich, ob die Schwächen auf technischer oder auf „analoger“ Prozessebene existieren. Scheinbar harmlose Fragen nach der Verantwortlichkeit für Kreditorenstammdaten wirken auf den zweiten Blick gar nicht mehr so unverfänglich – schließlich geht es hier um Daten von Zahlungsempfängern, die bei entsprechender Manipulation zur Umleitung von Überweisungsbeträgen führen können.

Der Versuch über das sogenannte „Social Engineering“ Auskunft über vertrauliche Informationen im Unternehmen zu erlangen, ist mittlerweile zum festen Bestandteil von vielen Cyberattacken geworden.

Die nun für den Treasurer spannende Frage stellt sich im Zusammenhang mit den zu ergreifenden Maßnahmen zur Eindämmung des Bedrohungspotenzials. Ist Cybersecurity und die Vermeidung der entsprechenden IT- und Sicherheitsrisiken nicht Aufgabe der IT-Abteilung?

Die Verantwortung der IT in diesem Zusammenhang ist primär der Aufbau eines umfangreichen Sicherheitsmanagements mit einer Absicherung, Überwachung und laufenden Prüfung der Netzwerke und Systeme sowohl im Betrieb, als auch bei Neueinführungen und Entwicklungen. Ein solches Sicherheitsmanagement kann jedoch nur dann sinnvollerweise etabliert werden, wenn die Verantwortlichkeit für die Daten und Informationen in der Fachabteilung verankert ist.

Und hier kommt dann der Treasurer ins Spiel: er sollte zunächst seine „Kronjuwelen“ und das damit verbundene Gefährdungspotenzial kennen. Diese Einschätzung hilft einerseits gegenüber dem Management für die Finanzierung und Budgetierung der Sicherheitsmaßnahmen einzutreten, andererseits die Vorschläge und Empfehlungen der IT im Hinblick auf ihre Priorisierung und Wirksamkeit einzuordnen, um ziellose Investitionen in bloße Technik zu vermeiden.

Denn bei einer umfassenden Strategie zur Abwehr von Cyberattacken spielt Technologie zwar eine wichtige, aber nicht die einzige Rolle. Der Faktor Mensch bleibt auch im Treasury – und hier vornehmlich im Zahlungsverkehr aufgrund der unmittelbaren monetären Auswirkung – das primäre Ziel von beabsichtigten Angriffen und Manipulationsversuchen.

Es gilt also, bei den jeweiligen Mitarbeitern ein Bewusstsein und das Verständnis für sicherheitsrelevante Themen zu schaffen, sie über aktuelle Szenarien wie Social Engineering laufend zu informieren und zu schulen sowie sie auf Ausnahmesituationen wie beispielsweise Notfälle und Systemausfälle durch entsprechende Maßnahmen vorzubereiten. Denn auch im Treasury kann niemand vorhersehen, ob und wann eine Cyberattacke erfolgen wird. Der Aufbau einer umfassenden Sicherheitskultur mit integrierten Vorkehrungen für Personen und IT kann aber zumindest die Wahrscheinlichkeit eines Angriffs mit entsprechenden Folgen für Unternehmensergebnis und -reputation deutlich reduzieren.

Autor: Michael Baum, Senior Manager, michaelbaum@kpmg.com

Finanz- & Treasury Management

Das Expertenteam vom KPMG weist Ihnen den richtigen Weg im Finanz- und Treasury-Management.

 
Lesen Sie mehr

KPMG Corporate Treasury News

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform