Aktuelle Trends und Entwicklungen des Zahlungsbetrugs

Unternehmen müssen heutzutage in einer digitalen Welt, insbesondere durch die COVID-19 Pandemie mit dem Entstehen neuer, mobiler Arbeitsweisen, im Kampf gegen betrügerische Handlungen immer tiefgreifendere Herausforderungen meistern. Durch die fortschreitende Nutzung digitaler Informationstechnologien als zentrale Basis für die Vernetzung von Daten, der Anbindung von ERP-Systemen an die Cloud und vor allem der Digitalisierung des Zahlungsverkehrs können Unternehmen auf der einen Seite ihre Effizienz weiter steigern. Andererseits entstehen durch diese Entwicklung auch neue Bedrohungen und potenzielle Schwachstellen verbunden mit einem wachsenden Bedarf an geeigneten Sicherheitsmaßnahmen. War kurz nach der Jahrtausendwende noch von individuellen „Scripting Kiddies“ mit dem Ziel des Identitätsdiebstahls oder der Erschleichung von Dienstleistungen die Rede, so haben sich diese infantilen Angriffsweisen hin zu einer deutlich organsierteren Cyber-Kriminalität entwickelt. Dabei werden unter anderem Daten entwendet, IT-Systeme gehackt oder lahmgelegt, um einen finanziellen Erfolg zu erzwingen. Die Entwicklung im Bereich des Zahlungsbetrugs zeigt hochgradig abgestimmte und koordinierte Vorgehensweisen, teilweise mit dem Ziel eigene Dienstleistungen am Markt anbieten zu können („Cybercrime as a Service“). Ein aktuelles Beispiel dafür ist eine Ransomware mit dem Potenzial, Schadsoftware in das Unternehmen einzuschleusen und durch Beeinträchtigungen im Betriebsablauf Lösegeldzahlungen zu erwirken.

Die COVID-19 Pandemie wirkte als Brandbeschleuniger bei der Anzahl an Zahlungsbetrugsversuchen. Dies bestätigt auch die „AFP Payments Fraud and Control Survey“ von 2021, indem 65% der befragten Unternehmen einen Anstieg der Betrugsversuche aufgrund von Covid-19 identifiziert haben.¹ Besonders attraktiv für Cyber-Kriminelle war die hohe umläufige Liquidität durch staatliche Konjunkturhilfen und die lockere Geldpolitik der Zentralbanken. Zeitgleich führten pandemiebedingt viele Unternehmen das „Homeworking“ ein, was gerade für finanznahe Abteilungen aufgrund von Sicherheitsbedenken früher undenkbar gewesen wäre. Damit einher gingen Fragestellungen, die im Remote-Umfeld zunächst unbeantwortet blieben: Wie gestaltet sich die Zahlungsfreigabe bzw. der gesamte Zahlungsprozess? Welcher technischen Sicherheitskontrollen bedarf es im Homeoffice? Wie kann eine reibungslose Kommunikation gewährleistet werden? Welche Verhaltensregeln und Richtlinien müssen an die neuartige Situation angepasst werden? Die Kombination aus professionellen Cyber-Kriminellen und der Einführung neuer Arbeitsweisen beschreibt die Notwendigkeit von Unternehmen, gegenüber Betrugsszenarien resiliente Maßnahmen zu entwickeln. Dazu ist es unser Anliegen, aufbauend auf gängigen Schwachpunkten in der Zahlungsabwicklung, auf aktuelle Betrugsszenarien hinzuweisen und geeignete Möglichkeiten aufzuzeigen, um das Betrugsrisiko reduzieren zu können. 

Entlang des gesamten Zahlungsverkehrs gibt es zahlreiche Einfallstore und Angriffspunkte für Cyber-Kriminelle. Sicherheitslücken können angefangen vom Rechnungsprozess und der Stammdatenerfassung, über den Freigabeprozess der Zahlungsdatei bis hin zur Übertragung an die Bank und der buchhalterischen Abbildung der Zahlung reichen. 

Risikobehaftet sind vor allem dezentrale Stammdatenhaltungen mit isolierten Silolösungen einzelner Tochtergesellschaften, also unterschiedlichen Systemen im Unternehmen ohne Datenaustausch. Stammdaten und deren notwendige Bearbeitung sollten, genau wie die Abwicklung des Zahlungsprozess zentral organisiert sein, da das Monitoring und die Kontrolle des Zahlungsflusses konzernweit standardisiert sein sollte. So würde die Häufung von Zahlungen knapp unterhalb eines Genehmigungsschwellenwerts oder Zahlungen an auffällige Zielkonten (zum Beispiel Offshore) wesentlich früher und idealerweise sogar vor Zahlungsausgang identifiziert werden.

Grundsätzlich gilt, dass ein hohes Maß an Automatisierung unter gewissen Voraussetzungen Betrugsrisiken minimieren kann. Überall dort, wo standardisierte und automatisierte Prozesse unterbrochen werden, haben Cyber-Kriminelle besonders leichtes Spiel, da an diesen Stellen Tätigkeiten regelmäßig manuell erfolgen. Dabei sind geschlossene Prozessketten zur Absicherung automatisierter Abläufe, genau wie die Einbindung von Kontrollen an Systemschnittstellen und das Monitoring von Audit-Trails wirksame Mittel schädliche Eingriffe abzuwehren bzw. aufzudecken. 

Manuelle Zahlungen sollten die absolute Ausnahme darstellen und im Regelprozess für operative Kreditorenzahlungen keine Anwendung finden. Lediglich für Zahlungen fernab des gewöhnlichen Geschäftsbetriebs oder im Rahmen von Fall-Back Szenarien sollten manuelle Eingriffe noch ermöglicht werden. Es empfiehlt sich, vordefinierte Zahlungsmasken mit fest verknüpften „Standard Settlement Instructions“ zu verwenden, sodass nur wenige manuelle Eingaben (zum Beispiel Betrag, Datum und Verwendungszweck) benötigt werden. Diese Ausnahmen sollten mittels Arbeitsanweisungen genau geregelt und im 4-Augen-Prinzip kontrolliert werden. Für besonders kritische Vorgänge, deren finanzielle Auswirkung hochgradig ergebniswirksam sind, wird ein 6 -bzw. Mehr-Augen-Prinzip nahegelegt.

Darüber hinaus erweisen sich im Zahlungsverkehr Benutzerberechtigungen oftmals als problematisch. Hierbei ist es wesentlich, die Verantwortlichkeiten vorab genau zu definieren und dem Benutzer auch nur diejenigen Rechte einzuräumen, die dieser für die Erfüllung seiner Tätigkeiten benötigt. Eine regelmäßige unterjährige Kontrolle der Rechte sollte ebenso selbstverständlich sein, wie die Änderung oder Löschung der Rechte bei internen Versetzungen oder Ausscheiden aus dem Unternehmen. 

Unabhängig davon wie ausgefeilt die technischen Verteidigungsmaßnahmen eines Systems auch sein mögen, das größtmögliche Einfallstor für Cyber-Kriminelle ist der Faktor Mensch und dessen mangelndes Bewusstsein vor Betrugsszenarien.

In der Praxis kommt es meistens zu „Multi-Vector“-Angriffen, die erst durch die Synthese mehrerer Betrugsmaschen ihr eigentliches Gefahrenpotenzial entfalten. Der Raffinesse der Cyber-Kriminellen sind dabei keine Grenzen gesetzt und einfache E-Mails, in welchen vermeintliche CEOs eine Auszahlung erwirken wollen, gehören zumeist bereits der Vergangenheit an („Fake President Fraud“). 

Ausgangspunkt einer Schwachstelle ist allerdings vorwiegend der Faktor Mensch. Cyber-Kriminelle verschaffen sich über das „Social Engineering“ das Vertrauen der Opfer, um dies auf emotionaler Ebene zu beeinflussen, unternehmensinterne Informationen abzugreifen und um final den Mitarbeitenden zu einem Fehler zu bewegen. Cyber-Kriminelle nutzen dabei bevorzugt seriöse Organisationen wie beispielsweise die BaFin als Deckmantel, um ihre betrügerischen Absichten mit Glaubwürdigkeit zu kaschieren. Das Ausmaß der Informationsbeschaffung reicht dabei vom einfachen Ausspähen von Social-Media-Kanälen bis hin zur Fälschung ganzer Identitäten. Professionelle Cyber-Kriminelle fingieren unter Umständen ganze Geschäftsbeziehungen (zum Beispiel als Lieferanten), erstellen gefälschte Social Media Accounts und erschleichen sich durch monatelangen, oftmals telefonischen Kontakt das Vertrauen von Mitarbeitenden. Die Geschäftsbeziehung ist dabei meist tatsächlich existent, die Kontaktperson ist es allerdings nicht. Nach Monaten der Vorbereitung übermittelt der Cyber-Kriminelle beispielsweise ein sich änderndes Empfängerbankkonto mit der Bitte um Aktualisierung der Stammdaten („Payment Diversion“). Ein derartiges Betrugsszenario kann in den meisten Fällen nur durch einen klaren Prozess, welcher die eindeutige Zuordnung eines Bankkotos zu einer real existierenden Geschäftsbeziehung gewährleistet, abgewandt werden.

Betrachtet man die technische Komponente der Betrugsszenarien, so gelten Malware als Oberbegriff feindlicher oder eingreifender Software. Cyber-Kriminelle entwickeln Malware, um Computerfunktionen zu manipulieren, Daten zu stehlen, Zugangskontrollen zu umgehen und Host-Computer, Kundengeräte und deren Anwendungen oder Daten zu schädigen. Dabei sticht gemäß der von KPMG veröffentlichen „E-Crime Studie 2022“ ein Angriffsszenario in Bezug auf das finanzielle Schadenspotenzial besonders hervor.² Die Ransomware. Dabei werden Dateien oder Zugriffe zur Unternehmensressource verschlüsselt bzw. blockiert und die Opfer werden erpresst, ein Lösegeld (häufig in Kryptowährung) für die Wiedererlangung der Systemhoheit zu entrichten. Auch hierfür werden Social Engineering-Methoden oft als Ausgangspunkt verwendet, um die Ransomware erfolgreicher via E-Mail-Anhang bei Mitarbeitenden zu platzieren. Bei der Ransomware-Attacke auf das Kassen- und Warenwirtschaftssystem von Media-Markt-Saturn forderten die Cyber-Kriminellen 50 Mio. € in Bitcoin als Lösegeld, um die verschlüsselten Server wieder in den operativen Betrieb zu integrieren.³ Weitere prominente Beispiele mit Schäden in Millionenhöhe waren in den vergangenen zwei Jahren der Gesundheitskonzern Fresenius, der Chemikalienhändler Brenntag⁴ sowie der US-amerikanische Pipeline Betreiber Colonial, dessen Betriebsausfall die Rohölsorte Brent zeitweise verteuerte.⁵ Zudem gestaltet sich die Identifikation der betroffenen Systeme oft als große Schwierigkeit. Sind dabei die Active Directory Server (Domain Controller) betroffen, kann es zu einem Shutdown der gesamten unternehmensinternen Infrastruktur kommen. Diese Domain Controller bilden die Grundlage für das Anmelden aller anderen Systeme in der Infrastruktur. Davon können auch Zahlungssysteme für die Abwicklung des Geschäfts tangiert sein. Oberstes Ziel im Umgang mit derartigen Attacken muss in der Prävention liegen (dazu siehe unten). Idealerweise sind Serversysteme daneben redundant angelegt und können über eine Back-up Lösung zeitnah in einer anderen virtuellen Umgebung gespiegelt werden. Dadurch kann die Zeit des Systemausfalls auf wenige Stunden begrenzt werden.

Der erste und wichtigste Schritt im Schutz gegen Cyber-Kriminalität ist, neben einer aktuellen IT-Sicherheitsstruktur, die Aufklärung und die Sensibilisierung der eigenen Mitarbeitenden. Denn nur wer die Tricks der Cyber-Kriminellen kennt, kann sich dagegen schützen. Hierbei hilft es, neben regelmäßigen Schulungsmaßnahmen, offen über Betrugsversuche und Betrugsmaschen zu sprechen. Die Mitarbeitenden sollten ein Gespür und eine gewisse gesunde Skepsis entwickeln und jederzeit vertraulich mit unternehmensinternen Informationen umgehen. Nicht immer sind Straftatversuche direkt erkennbar. Betrüger haben sich in der Regel lange vorbereitet und kennen das Unternehmen dadurch häufig bereits sehr gut. Bereits der kleinste Verdacht sollte offen kommuniziert werden. Vorgesetzte müssen durch eine geeignete Kultur den Mitarbeitenden die Möglichkeit geben, Verdachtsfälle offen und proaktiv anzusprechen, zu diskutieren und aus der Welt zu schaffen, bevor ein Schaden überhaupt entstehen kann. Hier darf kein Hierarchiedenken oder die Angst, einen möglichen Fehler einzugestehen, den Weg verbauen, sondern Vertrauen und Schnelligkeit führen zum Ziel. Zusätzlich ist es wichtig, im Unternehmen klare Richtlinien und Prozesse zu etablieren, die als Leitplanken im Alltagsgeschäft dienen und aktiv gelebt werden. Zentrale Whistleblowing-Systeme, an die Verdachtsfälle übermittelt werden können, helfen bei der zielgerichteten internen und externen Kommunikation sowie der Aufarbeitung des Vorfalls.

Das Ziel einer stabilen und resilienten Cyber-Abwehr ist eine End-to-End Fraud Prävention, bei der alle am Zahlungsprozess beteiligten Systeme, Schnittstellen, Daten und Mitarbeitenden durch eine eindeutig kommunizierte Governance umfasst werden. 

Ein System ist immer nur so abwehrstark wie das schwächste Glied in der Kette, was eine regelmäßige Kontrolle der eigenen Prozesse und die Sensibilisierung der Mitarbeitenden unerlässlich macht. Cyber-Attacken sind ein illegales gleichwohl aber lohnendes Geschäft, weshalb die Methoden der Täter immer an die aktuelle (technologische) Entwicklung angepasst werden. Gestern war es die gefälschte Unterschrift, heute Social Engineering oder die Ransomware und in Zukunft wird die weiter fortschreitende Professionalisierung der Cyber-Kriminellen noch effektivere Betrugsmaschen hervorbringen. Daher ist es für Unternehmen alternativlos, die eigenen Sicherheitsstandards einer regelmäßigen Kontrolle zu unterziehen und neue Abwehrmaßnahmen zu entwickeln. Darüber hinaus können zielgerichtete Penetrationstests Schwachstellen in der unternehmensinternen Verteidigung identifizieren. Es ist keine Frage, ob Ihr Unternehmen in das Fadenkreuz von Cyber-Kriminellen gerät, sondern wann.

Quelle: KPMG Corporate Treasury News, Ausgabe 122, Juni 2022
Autoren:
Nils Bothe, Partner, Finance and Treasury Management, Corporate Treasury Advisory,KPMG AG
Tobias Riehle, Manager, Finance and Treasury Management, Corporate Treasury Advisory, KPMG AG

__________________________________________________________________________________________________________

¹ AFP underwritten by J.P. Morgan (2021): Payments Fraud and Control Survey Report
² KPMG (2022): E-Crime 2022
³ Heise online (2021): Ransomware-Angriff auf Mediamarkt und Saturn 
⁴ Der Treasurer (2022): Ransomware-Angriffe nehmen massiv zu 
⁵ Handelsblatt (2021): US-Regierung unterstützt Pipeline-Betreiber nach Hackerangriff