e-Crime im Zahlungsverkehr – nicht schon wieder… | KPMG | DE

e-Crime im Zahlungsverkehr – nicht schon wieder…

e-Crime im Zahlungsverkehr – nicht schon wieder…

Sicherheit im Zahlungsverkehr, sinnvolle Maßnahmen zur Risikosteuerung

Verwandte Inhalte

FTM Bildwelt: Eiskletterer

Wenn Sie das Thema Sicherheit im Zahlungsverkehr bereits zu Genüge kennen und sämtliche sinnvollen Maßnahmen zur Risikosteuerung umgesetzt haben, können Sie hier die Lektüre dieses Artikels beenden. Falls nicht, dann lesen Sie bitte weiter:

Hallo Claudia, ich hoffe es geht dir gut. Wie ist denn die Einschulung deiner Tochter verlaufen? […]“. Würden Sie hinter dieser E-Mail Ihres/-r Vor-gesetzten die Einleitung einer E-Mail mit betrügerischer Absicht vermuten? Die Zeiten standardisierter und pauschalisierter Texte in gebrochenem Englisch oder Deutsch gehören längst der Vergangenheit an. Entsprechend der zunehmenden Sensibilisierung auf Seiten der Unternehmen im Hinblick auf Risiken durch e-Crime, sind im Gegenzug stetig komplexer werdende Betrugsansätze wahrnehmbar. Zwei Jahre nach unserem Newsletter e-Crime im Zahlungsverkehr – ein Aufruf zum Handeln und mehreren Webinaren zu diesem Thema ist Payment Fraud noch immer alarmierend aktuell. Seitdem ist eine stark zunehmende Professionalisierung bis hin zu neuartigen „Cybercrime-as-a-Service“-Angeboten zu beobachten. Betrüger können so im „Dark Web“ mittels Kryptowährung beispielsweise ein Fake Call Center mieten, welches zur Bestätigung von falschen Lieferantenkontoverbindungen genutzt wird. Oder es wird die Dienstleistung von Denial-of-Service(DoS)Attacken erworben. Diese wird dann eingesetzt, um den Angriff in Form von betrügerischen Zahlungen durch den Ausfall des Internets zu verschleiern. Das betroffene Unternehmen wird so von der eigentlichen Attacke abgelenkt und verliert wertvolle Zeit, die notwendig wäre, den Betrug zu identifizieren und die Bank zu kontaktieren, um die Zahlung zu stoppen. So geschah es im vergangenen Jahr bei einem mittelständischen Schweizer Unternehmen, wo sich der entstandene Schaden auf insgesamt 1,2 Millionen Schweizer Franken belief.

Dennoch sind auch altbekannte Angriffsszenarien, wie zum Beispiel der Fake President Fraud, immer noch präsent, wie die aktuelle KPMG-Studie e-Crime in der deutschen Wirtschaft 2017 mit insgesamt 504 befragten Unternehmen zeigt: Etwa ein Viertel der Unternehmen, denen die Betrugsmasche bekannt ist, wurde bereits Opfer erfolgreicher Versuche. Ein weiteres Viertel berichtet von erfolglosen Betrugsversuchen. Da versuchte Angriffe jedoch oftmals nicht von den betroffenen Mitarbeitern gemeldet werden, ist die Dunkelziffer erheblich höher. Die Studie zeigt auch auf, dass mehr als die Hälfte der Befragten, trotz der starken Präsenz in den Medien, noch immer nicht mit dem Thema Fake President Fraud vertraut ist. Dies erleichtert den Kriminellen das Spiel natürlich erheblich. Denn wer die Gefahr nicht kennt, kann sich dagegen auch nicht schützen. Nach wie vor stark verbreitet ist die Payment Diversion, bei der die Betrüger Zahlungen unter anderem mittels gefälschter Mitteilungen über geänderte Kontoinformationen auf das eigene Bankkonto umzuleiten versuchen. Zum Repertoire der Cyber-Kriminellen gehören mittlerweile auch sogenannte Remote Access Tools, mit denen der Computer des Opfers über das Internet ferngesteuert werden kann. Durch den erlangten Zugriff können so unter anderem betrügerische Zahlungen unbemerkt über den Zugang zu Zahlungsverkehrs- oder Treasury Management-Systemen ausgeführt werden. Zugriff erhalten die Betrüger zum Beispiel, indem Sie den entsprechenden Mitarbeiter telefonisch kontaktieren und sich beispielsweise als Mitarbeiter des Microsoft-Supports (vorstellbar wäre hier auch ein Mitarbeiter des entsprechenden TMS-Anbieters des Zielunternehmens) ausgeben. Unter dem Vorwand akuter Sicherheitslücken im System bringen sie den betroffenen Mitarbeiter dazu, eine „Fernwartungssoftware“ zu installieren. Wenn der Mitarbeiter die Schadsoftware installiert, können die Betrüger aus der Ferne unbemerkt auf das System zugreifen, den Mitarbeiter ausspähen und, sobald alle notwendigen Informationen vorliegen, beispielsweise Zahlungen über das eBanking-System vornehmen.

Es wird persönlich…

Um die Erfolgswahrscheinlichkeit dieser Angriffe mittels erhöhter Personalisierung zu maximieren, bedienen sich die Kriminellen ausgeklügelter Vorgehensweisen, wie Social Engineering und Spear Phishing. Mitarbeiter des Zahlungsverkehrs sollten sich zudem bewusst sein, dass die Betrüger bei der Informationsgewinnung nicht nur in der IT-Infrastruktur des Arbeitgebers ansetzen. Um Angriffe so individuell wie möglich zu gestalten, greifen die Kriminellen gezielt auf sämtliche im Internet verfügbaren Informationen zurück. Besonders soziale Netzwerke wie LinkedIn, XING, Facebook und Instagram stellen lohnende Ziele für die Hacker dar. Zum einen bieten Positionswechsel, die über LinkedIn und XING prominent verbreitet werden, die nötigen Informationen zur Auswahl potenzieller Opfer. Zum anderen werden Facebook und Instagram genutzt, um sich private Details zu beschaffen, die es, wie eingangs beschrieben, ermöglichen, hoch personalisierte E-Mails zu verfassen. Im Rahmen des Social Engineering werden Unternehmen und Mitarbeiter in relevanten Positionen nicht zufällig und grob, sondern systematisch und detailliert ausspioniert. Dies ermöglicht es den Betrügern als „Insider“ auftreten zu können, wenn sie im Rahmen von Betrugsmaschen wie dem Fake President Fraud oder Remote Access Tool-Angriffen ihr Gegenüber zu einer bestimmten Handlung manipulieren wollen. Beim Spear Phishing handelt es sich, im Gegensatz zu regulären Phishing-Attacken, um einen gezielten E-Mail-Angriff mit personen- oder unternehmensbezogenen Inhalten. So erhält zum Beispiel der Head of Cash Management eine gefälschte E-Mail, die das Design des Newsletters des TMS-Anbieters imitiert und ein angebliches Whitepaper zum Download anbietet. Die Chancen auf Erfolg sind bei dieser Art E-Mails wesentlich höher, als bei einer normalen Phishing-Mail, die beispielsweise zur Eingabe des PayPal-Passworts verleiten soll.

Das 80/20-Prinzip reicht nicht aus…

Fehlende Transparenz über Bankkonten und die Prozesse im Zahlungsverkehr erleichtern den Betrügern ihren Job erheblich. Signifikante Risiken resultieren häufig auch aus dem unzureichenden Monitoring von Cash Pools. Das Paretoprinzip (auch 80/20-Regel genannt) ist hier keinesfalls anzuwenden, denn sowohl Cash Pool als auch Zahlungsverkehr sind jeweils nur so sicher wie das schwächste Glied in der Kette. Aus unseren Gesprächen mit Cash Managern nehmen wir immer wieder mit, dass unbeabsichtigte Geldabflüsse unter 1 Million Euro häufig nicht unmittelbar auffallen und so unbemerkt das Unternehmen verlassen können. Die Liste der Sicherheitslücken im Zahlungsverkehr ist lang. So lassen sich in der Praxis oftmals nicht eindeutig definierte Verantwortlichkeiten innerhalb der Treasury-Abteilungen beobachten, die dazu führen, dass sich niemand wirklich für die bestehenden Schwachstellen verantwortlich fühlt. Zudem sehen wir auch heute noch häufig einen dateibasierten und oftmals unverschlüsselten Datenaustausch von Zahlungsinformationen zwischen Systemen. Dies öffnet Hackern Tür und Tor, um Daten zu erspähen oder zu manipulieren. Eine unzureichende Vergabe von Benutzerberechtigungen zum Schutz sensibler Daten, Schwächen im Bankkontenmanagement, eine hohe Anzahl an Ausnahmefällen mit Individualprozessen sowie eine unzureichende Betrachtung der End-to-End-Prozesskette komplettieren die häufigsten Fehler im Rahmen des Zahlungsverkehrs.

Mit den Kriminellen Schritt halten …

Bei der rasanten Entwicklung der Kriminellen und ihrer Betrugsmaschen darf das Treasury den Anschluss nicht verpassen. Besser noch: proaktives statt reaktives Handeln! Neben prozessualen und organisatorischen Maßnahmen, sollte die Optimierung der eigenen IT-Landschaft nicht außer Acht gelassen und daher auf aktuellste Technologie zurückgegriffen werden. Modernste Techniken wie Process Mining ermöglichen die Identifizierung von Schwachstellen und Sicherheitslücken in den Workflows der zahlungsverkehrsrelevanten Systemlandschaft. Beim Process Mining handelt es sich um einen speziellen Ansatz im Rahmen des Process Management. Ziel ist es, auf Basis der Analyse von Logfiles und Bewegungsdateien aus der eigenen Systemlandschaft, ein Profil der betrieblichen Prozesse zu erstellen. Ein anschließender Abgleich mit bestehenden Prozessdokumentationen und den neuen Anforderungen ermöglicht es, bereits angesprochene Defizite aufzudecken und Optimierungspotenziale zu erkennen. Zudem sorgten gerade im letzten Jahr Schlagwörter wie Blockchain und Artificial Intelligence für Furore in der Szene, wenn es um Möglichkeiten zur Risikominimierung im Zahlungsverkehr geht. Wesentliche Voraussetzung zur Nutzung dieser neuen Technologie ist es aber erst einmal den Status quo in Sachen Zentralisierung und Standardisierung zu optimieren. Die Implementierung von Zahlungsverkehrsplattformen stellt hierzu eine effektive Methode dar, um die notwendigen Voraussetzungen zu schaffen. Durch die Bündelung der Zahlungsprozesse werden lokale Banking-Lösungen einzelner Gesellschaften abgeschafft sowie die nötige Transparenz, als Grundstein für einen wirksamen Schutz gegen Angriffe von Betrügern, geschaffen. Spezielle Softwareanbieter, wie zum Beispiel die Unternehmen TIS (Treasury Intelligence Solutions), Omikron, Ementexx oder SAP, bieten solche Zahlungsplattformen an, um den kompletten Zahlungsverkehr über ein System zu zentralisieren und mit der externen Bankenwelt zu verbinden.

Im heutigen Zeitalter der Digitalisierung ist hier jedoch noch lange nicht Schluss. Wie bereits beschrieben ist dies nur die Voraussetzung für die Anwendung neuerer Technologien und zur Bereitstellung der dafür notwendigen Daten und Informationen. Bereits heute besteht die Möglichkeit mithilfe von Machine Learning Betrugsversuche im Zahlungsverkehr zu identifizieren und damit auch zu vereiteln. Die Analyse großer Datenmengen auf unbekannte Muster unterstützt dabei, Zahlungen, als „nicht normal“ zu erkennen und einer genauen Prüfung zu unterziehen. Alternativ kann ein regelbasiertes Monitoring aller ausgehenden Zahlungen, basierend auf Faktoren wie Zahlungsbetrag und -empfänger oder User-Kombinationen und Zeitpunkt der Freigabe erfolgen. Dieses Vorgehen ist jedoch nur so gut wie die eingesetzten Algorithmen, welche auf Erkenntnissen vergangener Schadensfälle basieren. Wird beispielsweise eine Zahlung in großer Höhe an einen Lieferanten, der normalerweise nur Zahlungen von kleineren Beträgen erhält, erkannt, wird die Zahlung zunächst nicht ausgeführt. Der zuständige Mitarbeiter wird von dem System über den Vorfall informiert und kann die entsprechende Zahlung entweder freigeben oder, im Fall eines Betrugsverdachts, sperren. Während also die regelbasierte Mustererkennung ausgezeichnete Arbeit leistet, um bekannte Muster zu erkennen, ist diese allein nicht sehr effektiv bei der Aufdeckung unbekannter Schemata, bei der Anpassung an neue Betrugsmuster und beim Umgang mit den immer raffinierteren Techniken der Betrüger. Dies ist die Paradedisziplin der neuen Technologien und wird den Unternehmen erheblich dabei helfen, mit den stetigen Entwicklungen im e-Crime Schritt zu halten.

Bei all dem Fortschritt darf das Treasury jedoch altbewährte Maßnahmen, wie die Sensibilisierung der Mitarbeiter, die klare Definition der End-to-End-Prozesse im Zahlungsverkehr, die Implementierung von angemessenen Freigabeworkflows und Aufgabentrennung sowie das Durchführen von regelmäßigen Reviews der zahlungsverkehrsrelevanten Systeme und Prozesse nicht außer Acht lassen. Diese Instrumente bilden das Fundament des sicheren Zahlungsverkehrs und werden durch neue Technologien ergänzt.

Quelle: KPMG Corporate Treasury News, Ausgabe 79, April 2018
Autor: Tatjana Schäfer, Manager, Finance Advisory, tschaefer@kpmg.com

KPMG Corporate Treasury News

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden