e-Crime im Zahlungsverkehr: Ein Aufruf zum Handeln

e-Crime im Zahlungsverkehr: Ein Aufruf zum Handeln

Alleine im Zahlungsverkehr gibt es eine Vielzahl von Risikofaktoren, die es zu analysieren und zu minimieren gilt, um Wirtschaftskriminalität zu verhindern.

Verwandte Inhalte

FTM-Bildwelt Eiswand

Ein Manager überweist 17 Millionen US-Dollar auf ausländische Konten, Lieferantenrechnungen werden an unbekannte Zahlungsempfänger umgeleitet und Cash Pools bedienen die Gier von betrügerischen Hackerbanden. Computerkriminalität macht auch vor dem Treasury keinen Halt mehr. Trotz solcher beunruhigenden Schlagzeilen nehmen wir zu diesem Thema bisher nur ein vergleichsweise geringes Bewusstsein in den Treasury-Abteilungen wahr.

Alleine im Zahlungsverkehr gibt es eine Vielzahl von Risikofaktoren, die es zu analysieren und zu minimieren gilt, um Wirtschaftskriminalität zu verhindern. e-Crime ist daher längst nicht mehr nur ein Thema für die IT oder die Stammdatenverwaltung. Daher gilt auch für das Treasury: Es ist höchste Zeit zu handeln.

Man liest und hört es immer häufiger: Hackerbanden stehlen Kundendaten von den Servern teils großer, bekannter und bis dato als sicher geltenden Unternehmen. Dies ist noch weit weg von der Treasury-Abteilung. Aber sogenannte Fake President-Fälle (mehr dazu im weiteren Verlauf) stehen regelmäßig in der Presse – es trifft große und kleine Unternehmen gleichermaßen.

Spätestens hiermit ist e-Crime im Treasury angekommen. Und obwohl fast jeder von uns von diesen oder ähnlichen Vorfällen gehört hat, haben bisher nur wenige Treasury-Abteilungen präventive Maßnahmen dagegen ergriffen. Für das Treasury, aber vor allem auch für das gesamte Unternehmen, können Fake President-Fälle und andere Arten von e-Crime und Fraud im Treasury-Umfeld nicht nur zu immensen finanziellen Schäden führen, sondern auch zu Compliance-Risiken in Bezug auf Gesetzesverstöße.

Cyberkriminalität in Zukunft auch verstärkt Thema im Treasury

Eine vor Kurzem veröffentlichte KPMG-Studie mit dem Titel „Computerkriminalität in der deutschen Wirtschaft“ zeigt, dass etwa 40 Prozent der Unternehmen in Deutschland in den letzten zwei Jahren von e-Crime betroffen waren. 89 Prozent der befragten Unternehmen schätzen das allgemeine Risiko aktuell als hoch bzw. sehr hoch ein und 70 Prozent gehen davon aus, dass das Risiko in den nächsten zwei Jahren weiter steigen wird.

Unter dem Begriff der Cyberkriminalität bzw. dem Synonym e-Crime fallen unter anderem Delikte wie das Ausspähen und Abfangen von Daten, Verletzung von Urheberrechten, Computersabotage und die Manipulation von Konto- und Finanzdaten.

Letzteres betrifft dann auch das Treasury wo traditionell die Verwaltung der Bank- und Kontodaten, sowie die Abwicklung von Zahlungen beheimatet sind. Betrüger lassen sich auch hier immer wieder neue Szenarien einfallen, um sich persönlich am Eigentum der Firmen zu bereichern. Eine in der jüngeren Vergangenheit häufig angewandte Methode ist der sogenannte Fake President Fraud, auch als CEO Fraud bekannt.

Er ähnelt stark dem allgemein geläufigen Enkeltrick – nur mit einer deutlich höheren Schadenssumme. Der Betrüger gibt sich dabei als Person des mittleren Managements, häufig auch als Vorstandsmitglied, aus und kontaktiert einen mit den Zahlungsprozessen vertrauten Mitarbeiter. Der Kontakt bleibt dabei unpersönlich und erfolgt meist nur über E-Mail oder Fax. Um den Mitarbeiter zu täuschen werden Absenderadresse, Signatur oder Brieflayout verblüffend echt gefälscht, zuweilen kommt die E-Mail sogar vom firmeneigenen Server.

In dem Schreiben wird der Mitarbeiter dazu aufgefordert eine dringende Überweisung umgehend auf ein ausländisches Konto zu tätigen. Als Grund für den eiligen Geldtransfer wird oftmals eine strategische und geheime Vorstandsentscheidung oder ein streng vertrauliches Forschungs- und Entwicklungsprojekt genannt, welches unter keinen Umständen publik gemacht werden darf. Das Gefühl von sozialer Anerkennung („Der Vorstand hat ausgerechnet mich dazu auserwählt!“) und der Druck der strengen Geheimhaltung veranlasst Angestellte dazu, diese Zahlungen ohne Absprache mit Kollegen oder dem direkten Vorgesetzten durchzuführen. Beispiele, bei denen Überweisungen in Höhe von sechs- oder siebenstelligen Beträgen getätigt wurden, gibt es viele.

Besonders hart traf es 2015 einen US-Manager, der nach einer E-Mail seines angeblichen Chefs, 17 Millionen US-Dollar auf ein chinesisches Konto überwies. Auch bei deutschen Unternehmen nehmen wir eine starke Zunahme ähnlicher Fälle wahr.

Eine weiteres und häufig anzutreffendes Szenario ist jenes der „Payment Diversion“. Während beim CEO Fraud versucht wird unter falschen Tatsachen eine Überweisung zu generieren, bleiben bei der Payment Diversion die originären Zahlungen unberührt. Der Trick dieser Methode besteht darin, den Weg des Geldes zu manipulieren. Die Betrüger geben sich dabei als Lieferant oder Geschäftspartner des Unternehmens aus und informieren einen mit der Stammdatenverwaltung beauftragten Mitarbeiter formlos per E-Mail oder Fax, dass sich die Zahlungsinformationen geändert hätten. Sie bitten darum in Zukunft sämtlichen Zahlungsverkehr über die neue Bankverbindung abzuwickeln.

Besonders raffinierte Täter kontaktieren die Person anschließend zusätzlich per Telefon, um sich über den Empfang des Änderungswunsches zu informieren. Durch diesen persönlichen Kontakt, die Tatsache, dass eine Änderung der Bankverbindung kein außergewöhnlicher Vorgang ist und dass es keine zusätzlichen auffälligen Kontobewegungen gibt, fällt es den Unternehmen schwer, diesen Trickbetrug schnell aufzudecken und die Täter zu identifizieren.

Schlagabtausch zwischen Treasury und IT um Verantwortung zur Abwehr möglicher Angriffe

Das Ausmaß einer solchen Gefährdung scheint bisher aber noch nicht zu allen Treasury-Abteilungen durchgedrungen zu sein. Auch Cash Pools sind ein besonders lohnenswertes Ziel: Jedes an den Cash Pool angeschlossene Konto hat Zugriff auf die Liquidität des gesamten Cash Pools und stellt somit einen potenziellen Angriffspunkt dar.

Aus unserer Projekterfahrung heraus ist die Liste möglicher Einfallstore deutlich länger, als viele Treasurer denken. Einige der Risiken sind glücklicherweise bisher noch nicht von Angreifern erkannt worden und wir möchten an dieser Stelle auch keine Gebrauchsanleitung für mögliche Cyberattacken bereitstellen. Vielmehr möchten wir Treasury-Abteilungen für das Thema sensibilisieren, um sich mehr Gedanken zur Abwehr solcher Angriffe zu machen.

Bevor nun die Überlegung getroffen wird, welche möglichen Schutzmaßnahmen man einleiten kann, sollte man die unterschiedlichen Angriffspunkte abgleichen, um mögliche Risikoquellen zu identifizieren. Hier stößt man häufig bereits auf das erste große Problem: Wer treibt das Thema im Unternehmen überhaupt? Meist sind die Verantwortlichkeiten im Unternehmen noch nicht klar verteilt oder kommuniziert worden. Für die Treasury-Abteilung allerdings sind die Verantwortlichen schnell gefunden: die IT-Mitarbeiter.

In den Augen vieler Treasurer suchen sich Betrüger den Weg über die Computersysteme und sollten daher primär von der IT geschützt werden. Die IT wiederum spielt den Ball zurück und begründet die Pflicht des Treasury darin, dass die IT nicht das Prozesswissen besitzt, um den Zahlungsverkehr angemessen vor Angriffen zu schützen. Beide Standpunkte für sich gesehen mögen durchaus schlüssig klingen, bringen das Unternehmen im Kampf gegen e-Crime allerdings keinen Schritt vorwärts. Es ist daher essenziell, dass die Verantwortlichkeiten klar definiert werden.

Hierbei kann die Antwort nur lauten, dass das Treasury die Gesamtverantwortung für die Sicherung der Liquidität und damit auch für die Sicherung des Zahlungsverkehrs übernimmt. Selbstverständlich kann eine ganzheitliche Betrachtung und ein ausreichender Schutz vor Wirtschaftskriminalität nur durch die zusätzliche Unterstützung der IT erreicht werden. Diese muss jedoch im Zweifel aktiv vom Treasury eingefordert werden.

Das Beispiel des Fake President Fraud zeigt jedoch auch, dass sich das Treasury nicht nur auf die IT verlassen sollte und eine einseitige Betrachtung von Sicherheitsmängeln keinen wirksamen Schutz bietet. Eine ganzheitliche Betrachtung der Prozesse im Zusammenhang mit der IT Security ist deshalb unabdingbar.

Durch die Identifikation vorhandener Risikofaktoren und erste Veränderungen der eigenen Strukturen und Abläufe im Unternehmen kann die Gefahr, selbst Opfer eines Cyberangriffs zu werden, bereits erheblich minimiert werden. Darüber hinaus sollten Treasury und IT gemeinsame Maßnahmen ergreifen, um das Risiko weiter einzugrenzen und finanzielle Schäden und Reputationsverluste zu vermeiden.

Mehr zum Thema e-Crime im Treasury erfahren Sie in unserem Webinar „Risikofaktor Zahlungsverkehr – aktuelle Praxisbeispiele und Präventionsmaßnahmen zu Fraud und e-Crime“ am 24. März 2016 um 16:00 Uhr. Für dieses Webinar begrüßen wir Michael Sauermann, Partner bei KPMG im Bereich Forensic, der uns aus der täglichen Praxis forensischer Untersuchungen im Bereich e-Crime und Zahlungsverkehr berichten wird. 

Quelle: KPMG Corporate Treasury News, Ausgabe 52, Februar 2016

Autor: Thomas Mehlkopf, Manager, tmehlkopf@kpmg.com

 

KPMG Corporate Treasury News

Finanz- & Treasury Management

Das Expertenteam vom KPMG weist Ihnen den richtigen Weg im Finanz- und Treasury-Management.

 
Lesen Sie mehr

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform