Fake President, Man-in-the-Middle-Angriffe, Business E-Mail Compromise: Insbesondere im Zahlungsverkehr verursachen Betrüger erhebliche Schäden. Doch zusammen mit Bankpartnern und Technologieanbietern können sich Unternehmen wirksam schützen. Ein Überblick.
Die E-Mail schien vertrauenswürdig. „Hat sich der Wirtschaftsprüfer schon bei Dir gemeldet?“, hieß es in der Nachricht an den Managing Director einer niederländischen Filmkette, die von einem Smartphone aus versendet wurde. Absender: der CEO des Unternehmens. Der Adressat zieht seinen Finanzchef hinzu und beide antworten dem Absender per E-Mail, was es mit der Frage auf sich habe. Man befinde sich in einem vertraulichen Übernahmeprozess und könne jegliche Kommunikation nur über die persönliche E-Mail-Adresse des CEO abwickeln, so die Erklärung, die mit der Aufforderung verbunden ist, eine erste Anzahlung zu leisten. Zwei weitere Zahlungsaufforderungen folgen. Am Ende des E-Mail-Austauschs, der sich über mehrere Tage hinzieht, ist das Firmenkonto um einen zweistelligen Millionen-Euro-Betrag leichter – und die Manager wenige Tage später ihren Job los.
Beide haben sich in einen sogenannten CEO Fraud verwickeln lassen – auch als Fake President oder Business E-Mail Compromise (BEC) bekannt – eine Masche, bei der Unternehmensmitarbeiter durch den Missbrauch falscher Identitäten zur Überweisung von Geld manipuliert werden. Laut US-Sicherheitsbehörde FBI verursachten Betrüger durch CEO Fraud 2021 Schäden in Höhe von 2,4 Milliarden US-Dollar.
Zahlungsbetrug hat sich in den vergangenen Jahren zu einer immer größeren Herausforderung für die Finanzabteilungen von Unternehmen entwickelt. Kriminelle haben es auf Unternehmen aller Größen und Branchen abgesehen. Betrug mit gefälschten Rechnungen, Man-in-the-Middle-Angriffe und Business E-Mail Compromise gehören zu den häufigsten Arten von Zahlungsbetrug.
Accounting Fraud
Bilanzbetrug, bei dem die Täter Jahresabschlüsse manipulieren, um einen falschen Eindruck von der Finanzlage eines Unternehmens zu erwecken.
Business E-mail Compromise
Die Täter nutzen E-Mail-Adressen vertrauenswürdiger Absender, um eine Geldüberweisung oder die Herausgabe anderer sensibler Daten zu fordern. Beispiel: Ein Betrüger gibt sich als Lieferant des Unternehmens aus und verschickt eine Rechnung mit veränderten Zahlungsdaten. Der Adressat überweist den Betrag, da er glaubt, die Rechnung kommt von einer vertrauenswürdigen Quelle.
CEO Fraud
Die Täter geben sich als Führungskräfte des Unternehmens aus, und verlangen von Mitarbeitern die Autorisierung von Zahlungen. Häufig geht es um angebliche M&A-Deals, die strikte Geheimhaltung verlangten.
Fake Direct Debit
Lastschriftbetrug tritt in vielen Formen auf, oftmals in Kombination mit Identitätsdiebstahl. Dabei gelingt es den Tätern, sich Zugang zu einem Bankkonto zu verschaffen. Von hier aus kann der Betrüger Dienstleistungen und Produkte per Lastschrift bezahlen und das Konto nutzen, bis sein Besitzer gewarnt wird.
Man-in-the-Middle
Cyberangriff, bei dem sich die Täter heimlich in die Kommunikation zwischen zwei oder mehreren Parteien schalten, und die ausgetauschten Informationen nach Belieben einsehen oder manipulieren können.
Fake Invoice
Die Täter stellen gefälschte Rechnungen aus in der Hoffnung, der Adressat begleicht diese ohne nachzufragen.
Sie führen, wenn sie erfolgreich sind, zu durchschnittlichen Schäden von 200 000 US-Dollar pro Vorfall hat der Spezialversicherer Hiscox errechnet. „Wir haben es dabei nicht mit Anfängern zu tun, sondern mit organisierter Kriminalität“, sagt Ramon Schürer, Global Head Fraud Risk Management bei der Deutschen Bank in dem Whitepaper „A corporate’s guide to payment fraud prevention“.
In der Praxis ist es ein permanentes Katz-und-Maus-Spiel: Während die potenziellen Angriffsopfer ihre Zahlungsverkehrssysteme zur Betrugsprävention aufrüsten, weichen die Angreifer auf neue Schwachstellen aus. Die technologische Entwicklung begünstigt dabei beide Seiten. So wird der Zahlungsverkehr in Europa zwischen Unternehmen mittlerweile zu 99 Prozent elektronisch abgewickelt. Der beleghafte Zahlungsverkehr, der deutlich anfälliger für Manipulationen ist, wird, wo nötig, deshalb mit größter Sorgfalt und Aufmerksamkeit behandelt.
Auch die Architektur der Zahlungsverkehrssysteme wird immer sicherer. Unternehmenssoftware wie Enterprise-Resource-Planning- oder Treasury-Management-Systeme beinhalten inzwischen Tools zur Betrugsprävention und -erkennung. Erfolgreiche Angriffe sind zwar nach wie vor möglich, in der Praxis gleichwohl ziemlich selten. Zudem fordert die neue EU-Zahlungsverkehrsrichtlinie PSD2 neue, wirksame Sicherheiten wie die Zwei-Faktor-Authentifizierung ein, bei der der Identitätsnachweis mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten vorgeschrieben ist.
Die Gegenseite reagiert darauf mit professionelleren Strategien. Großkonzerne beispielsweise verfügen in der Regel über robuste Strategien zur Betrugsbekämpfung; die Komplexität der Organisation birgt jedoch Schwachstellen. Potenzielle Angreifer zielen daher bevorzugt auf lokale Einheiten, die das Risikomanagement vielleicht nicht so streng umsetzen wie in der Konzernzentrale. Mittelständische Unternehmen, die im Vergleich zu Großkonzernen weder das technologische noch das personelle Know-how zur Betrugsbekämpfung haben, sind noch anfälliger für Zahlungsbetrug.
Um an sensible Daten von Mitarbeitern und Unternehmen zu gelangen nutzen Betrüger verstärkt auch soziale Medien. Deren exponentielles Wachstum hat in den vergangenen Jahren neue Schwachstellen für Unternehmen geschaffen. Dabei machen sich die Angreifer die öffentlich zugänglichen Informationen von Mitarbeitern zunutze – angefangen vom Neueinsteiger bis hin zum CEO. Nicht selten lässt sich so ein detailliertes Bild vom Unternehmen und seiner Organisationsstruktur zeichnen, das für Manipulationsversuche ausgenutzt werden kann.
Neue Zahlungsverkehrstrends wie Sofortzahlungen, das Aufkommen von digitalen Währungen oder Machine-to-Machine-Payments, also Zahlungsvorgänge zwischen zwei oder mehreren Maschinen ohne das Eingreifen von Menschen, bringen neue Herausforderungen für die Betrugsprävention mit sich.
Doch wie können sich Unternehmen besser vor Zahlungsbetrug schützen? Zunächst einmal liegt es am Unternehmen selbst, eine robuste Präventionsstrategie zu entwickeln. Diese zielt idealerweise auf die vier häufigsten, von potenziellen Betrügern adressierte Angriffsziele: Mitarbeiter, Prozesse, Technologie und Organisation. Darüber hinaus sollten Banken und Technologieanbieter in die Präventionsmaßnahmen eingebunden werden. „Das hilft, ein klareres Bild der Risikolage zu zeichnen und Betrug auch besser zu bekämpfen“, erklärt Ole Matthiessen, Global Head of Cash Management bei der Deutschen Bank.
In der Praxis ist der Faktor Mensch das größte Einfallstor für Zahlungsverkehrsbetrug. Ein Bewusstsein für diese Schwachstelle zu schaffen ist daher Kern jedweder Präventionsstrategie. Das heißt beispielsweise, alle Mitarbeiter laufend über neue Betrugstechniken sowie die Sicherheitsprotokolle innerhalb der Organisation auf dem Laufenden zu halten. Darüber hinaus gilt es, konsistente Prozesse und Maßnahmen zur Betrugsbekämpfung im Unternehmen zu etablieren und diese regelmäßig zu überprüfen und gegebenenfalls anzupassen. Besondere Bedeutung hat das in Konzernen mit mehreren Landesgesellschaften, in denen oftmals unterschiedliche Kontrollroutinen und Zugriffsrechte gelten.
Eine der größten Herausforderungen für Unternehmen ist es, Unregelmäßigkeiten im Zahlungsverkehr zu erkennen. Erreicht werden kann das durch interne oder von einem externen Technologieanbieter bereitgestellte Fraud-Monitoring-Lösungen. Mithilfe von Künstlicher Intelligenz und Maschinellem Lernen gelingt es solchen Lösungen auch immer besser, Betrugsmuster zu erkennen. In der Praxis muss jedoch abgewogen werden, was Sinn macht, da die Kosten dafür mitunter beträchtlich sind. Und schließlich gilt es, für alle am Zahlungsverkehr beteiligten Abteilungen und Personen – angefangen von der Kreditorenbuchhaltung über die Finanzabteilung und die Debitorenbuchhaltung bis hin zur Personalabteilung und dem Vorstand – eine dedizierte organisatorische Risikobewertung mit klarer Aufgabentrennung zu etablieren.
Spannende Informationen und relevante Themen aus der Wirtschaft und Finanzwelt in kompakter Form für Ihren unternehmerischen Alltag und für Ihre strategischen Entscheidungen.
Wir machen Wirtschaftsthemen zu einem Erlebnis.
Die Deutsche Bahn kombiniert im Kampf gegen Betrug im Zahlungsverkehr die Softwarelösung des Cloud-Spezialisten Treasury Intelligence Solutions mit einer Eigenentwicklung. Das verwendete Fraud Monitoring Tool zieht sich historische Zahlungsdaten und vergleicht diese mit den aktuell im System erfassten Zahlungen auf Auffälligkeiten. Analysiert wird unter anderem die Zahlungshäufigkeit pro Empfänger, der letzte Zahlungszeitpunkt, oder die Höhe der geleisteten Zahlung.
Anschließend gibt es drei Szenarien: Für erstmalige Zahlungen wir ein Alarm ausgelöst. In dem Fall tritt das Treasury der Deutschen Bahn an den Kontrahenten heran, und lässt sich die Informationen zur Zahlungsverarbeitung für eine abermalige Prüfung zuschicken. Wenn Zahlungen mehr als drei Monaten zurückliegen, löst das System eine Warnung aus. Dabei erfordern hohe Beträge das gleiche Procedere wie im Szenario Alarm. Für unauffällige Zahlungen wirft das System Informationen aus – etwa wie oft sie getätigt wurden und wann zum letzten Mal.
Die Deutsche Bahn nutzt das System für Treasury-Zahlungen, bei denen die zu überweisenden Beträge relativ hoch sind.
Unterstützung im Kampf gegen Zahlungsbetrug können Unternehmen von ihren Bankpartnern erwarten. Die Deutsche Bank konzentriert sich dabei auf die drei Felder Beratung, präventive Maßnahmen und Betrugserkennung. Das heißt beispielsweise, Kunden vor neuen Cyber-Bedrohungen wie aktuell zirkulierender Schadsoftware oder Datenverlusten zu warnen, sichere Kommunikationskanäle sowie robuste Authentifizierungslösungen zur Verfügung zu stellen und Maßnahmen zur Betrugserkennung zu implementieren. Diese schlagen an, wenn ein Login von einer IP-Adresse erfolgt, die nicht zum Kundenprofil passt oder wenn das Scoring-System eine Zahlung als wahrscheinlich betrügerisch einstuft – etwa wegen eines ungewöhnlich hohen Betrages.
Spätestens an diesem Punkt kommen auch Technologieanbieter ins Spiel, die im Rahmen einer ganzheitlichen Präventionsstrategie nicht unberücksichtigt bleiben sollten. Sie bieten dezidierte Lösungen für ganz bestimmte Anwendungen – ein Vorteil sowohl für Banken als auch für Unternehmen, die sich nicht auf Standardlösungen verlassen müssen. So arbeitet die Deutsche Bank seit dem vergangenen Jahr beispielsweise mit dem auf Zahlungsverkehr fokussierten Cloud-Anbieter Treasury Intelligence Solutions (TIS) zusammen.
Ein erstes Produkt aus der Kooperation ist seit Mitte 2021 auf dem Markt: Eine Software, die Zahlungen auf Auffälligkeiten hin untersucht. Dafür gleicht sie Informationen nicht nur mit der Zahlungshistorie des jeweiligen Unternehmens sondern auch mit Erfahrungen von anderen Firmen aus dem Netzwerk ab. Die Idee: Teilen viele Unternehmen anonymisiert ihre Informationen über Erfahrungen etwa mit Zulieferern, entsteht ein weitaus genaueres Bild der Gefahrenlage, als wenn jede Gesellschaft auf eigene Faust versucht, Risiken auf die Spur zu kommen. Zudem senken alle Beteiligten ihre individuellen Kosten.
06/2022
Chefredaktion: Bastian Frien und Boris Karkowski (verantwortlich im Sinne des Presserechts). Autor: Andreas Knoch. Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers (Deutsche Bank AG) wieder.