Sechs Wege, um finanziellen Fraud im Treasury zu vermeiden

Sechs Wege, finanziellen Fraud im Treasury zu vermeiden

Quelle: KPMG Corporate Treasury News, Ausgabe 45, Juli 2015; Ein Gastbeitrag von Bob Stark, Vice President, Strategy, Kyriba

Verwandte Inhalte

ice

Fraud ist eine der Hauptsorgen, die CFOs und Treasurer nachts nicht schlafen lässt. Es handelt sich um eine ständig steigende Bedrohung durch die Zunahme von Spear-Phishing sowie von Datenpannen und den auf erfolgreiche Betrugsversuche zurückzuführenden Vertrauensverlust in den Unternehmenswert.

  • 53 Prozent aller Unternehmen sind bereits Ziel von finanziellem Fraud gewesen.
  • Als Ergebnis daraus haben 50 Prozent aller attackierten Unternehmen einen finanziellen Schaden erlitten.
  • Interner Betrug tritt mit 36 Prozent häufiger auf als externer Missbrauch mit einem durchschnittlichen Verlust von US-Dollar 1.971.000 und einem Zentralwert der bei US-Dollar 451.000 liegt.
  • Durchschnittlich dauert es 18 Monate von dem Beginn bis zur Entdeckung des Betrugs.

Zu den direkten finanziellen Verlusten kommen die indirekten Verluste dazu, welche verheerend sein können. Möglich sind: fallende Aktienkurse, Verlust von Vertrauen bei Investoren, Kunden und Partnern, Gerichtsverfahren und Strafen. Hieraus ergibt sich die Frage, wovor man sich am meisten hüten soll.

Es existiert eine breite Palette sowohl von internen als auch externen Gefahren, die der Integrität der Unternehmensfinanzen einer Organisation gegenüberstehen. Um die eigene Organisation sicherer zu machen, ist es notwendig zu verstehen, wo die Schwachstellen liegen.

Beispiele solcher Schwachstellen beinhalten:

  • externes Hacking des Treasury-Systems und der Daten Dritter, hervorgerufen durch Datensicherheitsmängel
  • zweckwidriger Zugang von Mitarbeitern zu Server-Räumen und internen Netzwerken durch unzureichende physische und datenbezogene Sicherheitsprozesse
  • betrügerische Bankzahlungen durch Mitarbeiter, absichtlicher oder unabsichtlicher Natur (oft als Folge von Social Engineering oder Phishing-Angriffen)
  • falsche Bestellungen und Rechnungen, die von internen Mitarbeitern an verbundene dritte Parteien in Auftrag gegeben werden
  • Abwicklungsanweisungen, die Kapital an unbefugte Konten weiterleiten
  • nachteilige Finanztransaktionen durch Mitarbeiter zu deren persönlicher Bereicherung
  • ehemalige Mitarbeiter, die nach ihrem Ausscheiden weiterhin als Zeichnungsberechtigte der laufenden Bankkonten bestehen bleiben und
  • unregelmäßiger oder ineffizienter Abgleich von Konten, wodurch betrügerische Transaktionen unbemerkt bleiben.

Sicherheit von Anwendungen: Am häufigsten nutzen die Betrüger unsichere Passwörter und unzureichende Verfahren zur Benutzerauthentifizierung aus. Angreifer suchen gezielt nach unsicheren Passwörtern. Jedes Unternehmen sollte daher sicherstellen, dass keine Einzelpasswort-Verifizierungsverfahren im Einsatz sind, die zum Beispiel den Zugang zum Treasury oder anderen Finanzsystemen durch ein einmaliges Anmelden mit einem Passwort ermöglichen.

Daher nutzen Bankenportale oft eine doppelte Authentifizierung. Hierbei generiert ein kleines Gerät ein zufälliges Passwort, das eingegeben werden muss, wenn die erste User-ID und das User-Passwort korrekt eingetragen wurden. Die meisten Softwareplattformen unterstützen das sogenannte „Bring Your Own Device“ (BYOD), sodass das eigene Smartphone genutzt werden kann, um das einmalig gültige zweite Passwort zu erhalten. Andere Optionen beinhalten Yubikey, was oft in der Region EMEA (Europe, Middle East, Africa) genutzt wird. Doppelte Authentifizierung alleine wird allerdings nicht als Best-Practice angesehen.

Multi-Faktor-Authentifizierungstechniken kombinieren verschiedene Login- und Authentifizierungsstrategien, um den bestmöglichen Schutz für Unternehmenssysteme zu gewährleisten.

Datensicherheit: Das Speichern von Daten innerhalb eigener Systeme bietet ein weiteres Sicherheitsrisiko, da über 25 Prozent aller Betrugsfälle interner Herkunft sind. Es gestaltet sich zunehmend schwieriger für IT-Abteilungen mit dem zur Verfügung stehenden Budget in führende Lösungen zu investieren, deren Leistungsfähigkeit, Servicegrad und Datensicherheit den Anforderungen eines globalen Treasury entsprechen. Die Mehrheit der CIOs und CFOs sieht in Cloud-basierten Lösungen eine gute Möglichkeit, die Datensicherheit zu verbessern.

Einblick und Überwachung der Bankkonten: Unzureichender Einblick in die Bankkonten und Zeichnungsberechtigten können für das Treasury-Management verhängnisvoll sein. Oftmals sind Informationen über berechtigte und unterzeichnende Personen der Zentrale nicht bekannt. Manchmal sind sie noch eingetragen, obwohl sie das Unternehmen bereits verlassen haben. Die Überwachung der Bankkonten wird für die Unternehmen zunehmend schwieriger, wenn diese organisch oder durch Zukäufe anderer Firmen wachsen. Die Implementierung technischer Lösungen zum Management der Bankkonten kann helfen, die Prozesse zu vereinheitlichen sowie die Transparenz und Überwachung der Bankkonten deutlich zu verbessern.

Digitale Signaturen: Digitale Signaturen sind ein hilfreiches Mittel, um Zahlungsanweisungen aus Systemen von Dritten, zum Beispiel TMS oder ERP, zu authentifizieren. Digitale Signaturen sind persönliche, digitale Identifizierungslösungen auf Basis einer „Public Key Infrastructure“ (PKI). SWIFT’s 3SKey – das als industrieführende digitale Signatur-Lösung gilt – kann intern als Teil eines Prozesses zur Zahlungsgenehmigung und extern zur Authentifizierung eines Zahlungspostens angewandt werden, in dem es der Bank bestätigt, dass alle Zahlungen korrekt und gültig sind. Dies hilft nicht nur zur Validierung der Zahlungen, sondern reduziert auch die Tendenz zur Zahlungsablehnung durch die Bank. Der Einsatz digitaler Signaturen, kombiniert mit strengen Passwortregelungen und einem zentralisierten Zahlungsablauf, reduzieren wesentlich die Möglichkeiten eines Zahlungsbetrugs.

Abwicklung von Zahlungen: Spear-Phishing ist der gefährlichste Betrugsversuch im Treasury, weil man persönlich von Cyberkriminellen attackiert wird. Der Fokus liegt auf Zahlungsabwicklungen, da der Erfolg eine direkte Zahlung verspricht – Transfer von Geldern auf falsche Bankkonten. Strenge Passwortregelungen erhöhen zwar das Sicherheitsniveau, aber eine Standardisierung der Zahlungsabwicklung, um die Einhaltung der Prozesse zu gewährleisten, ist  auch wiederum gefährlich. Zielgerichtete Angriffe warten nur auf eine Abweichung vom Normalfall; nur ein Fehler ist also nötig, um eine Betrugsmöglichkeit zu eröffnen. Das Standardverfahren sollte sein, mehrfache und elektronische Freigabelevels einzuführen, idealerweise gebunden an das 4-Augen-Prinzip im Treasury-Management-System und der festgelegten Richtlinien oder Limite. Viele Treasury-Teams benutzen digitale Signaturen nicht nur für die externe Verifizierung von Zahlungen, sondern auch für interne Freigaben. Organisationen, die die Abwicklung von Zahlungen trennen und zum Beispiel interne Systeme und externe Bankportale getrennt zur Abwicklung und Genehmigung von Zahlungen nutzen, riskieren betrügerische Vorgänge.

Als Best Practice wird die Steuerung der kompletten Abwicklung von Zahlungen in einem einzigen System angesehen, die den gesamten Weg der Zahlung von der ursprünglichen Anfrage bis zur Durchführung dokumentiert. Dies ermöglicht auch die Integration der Zahlungsgenehmigung (bis zu vier Level) in den Arbeitsablauf. Viele Organisationen zentralisieren weiterhin Treasury und Lieferantenzahlungen an einer zentralen Stelle, um sicherzustellen, dass das Treasury eine globale Transparenz über alle ausgehenden Zahlungen hat. Dies spart nicht nur Kosten, sondern erlaubt auch eine komplette Übersicht über alle ausgehenden Cashflows des Unternehmens.

Standard-Abwicklungsanweisungen: die Abwicklung des Finanzhandels bietet zunehmend Raum für internen Betrug. Der Finanzhandel (Investments, Devisen, Derivate) gehört zur alltäglichen Aktivität des Treasury. Für die gängigen Banktransaktionen kommen in den meisten Fällen Standard-Abwicklungsanweisungen (Standard Settlements Instructions, SSI) zum Einsatz. Für die nicht alltäglichen Geschäfte mit der Bank oder für solche mit anderen Gegenparteien sind SSIs nicht immer vorhanden. Dies schafft eine weitere Grundlage für Fraud, indem Banküberweisungen komplett oder teilweise auf unautorisierte Bankkonten umgeleitet werden.

Das Benutzen von Standard-Abwicklungsanweisungen (SSI) im eigenen Finanzsystem verhindert solche betrügerischen Akte und erhöht gleichzeitig die Effizienz. Wichtige Schritte zur Implementierung sind die elektronische Dokumentation der Finanztransaktionen im Treasury-System, inklusive der erteilten Genehmigungen und Limits, um jederzeit eine volle Buchungskontrolle zu ermöglichen; Zahlungsvorlagen sollten jedem Vorgang automatisch zugeordnet werden; zusätzliche Genehmigungen sollten erforderlich sein, um Vorlagen zu bearbeiten oder zu entfernen und jegliche Aktivität elektronisch festgehalten werden; der Abgleich von Trade Tickets zwischen den Gegenparteien und dem Treasury-System sollte in regelmäßigen Abständen durchgeführt werden, um sicherzustellen, dass Ausnahmen keine Chance gegeben wird.

Ein robustes technisches System ist ein kritisches Element in der Sicherheitsgleichung. Auch wenn ein anspruchsvolles Treasury-Management-System (TMS) vorhanden ist, müssen Treasury-Teams sicherstellen, dass sie nicht die Schwachstelle sind, die das Unternehmen potenziellem Betrug aussetzt. Dafür ist es notwendig, dass Unternehmen ihre Mitarbeiter über die Methoden unterrichten, mit denen Betrüger versuchen, Mitarbeiter durch „Social Engineering“ dazu zu bringen, entweder sensible Bankdaten preiszugeben oder ihnen Geld zu überweisen. Mitarbeiter müssen gut über die internen Prozesse zum Anstoß und zur Durchführung von Zahlungen Bescheid wissen, um verdächtige Anfragen aufdecken zu können. 

Übersetzung aus dem Englischen. Den Originaltext finden Sie hier

Quelle: “The Association of Corporate Treasurers / Kyriba Treasury Study, 2015” 

Ansprechpartner: Andrea Alilovic, Senior Manager, andreaalilovic@kpmg.com

KPMG Corporate Treasury News

Finanz- & Treasury Management

Das Expertenteam vom KPMG weist Ihnen den richtigen Weg im Finanz- und Treasury-Management.

 
Lesen Sie mehr

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform