Die Bedeutung von Cyberbetrug im Treasury
Transcription
Die Bedeutung von Cyberbetrug im Treasury
Royston Da Costa Die Bedeutung von Cyberbetrug im Treasury „CEO E-Mail-Betrug sollte Vorstände wachrütteln.“ INHALTSVERZEICHNIS I Finanzelle Verluste 04 II Ansehensverluste 04 III Stimmung unter den Mitarbeitern 005 IV Bekannte Betrugsrisiken und Maschen 06 Phishing 06 Vishing (Voice Phishing) 07 Spoofing 07 Gefälsche Rechungen Teil I 08 Gefälsche Rechungen Teil II 09 Überbezahlung von Schecks 09 Malware 10 Ransomware 10 11 Angriff auf das Unternehmensansehen E-Commerce 11 Interner Betrug 11 V Präventionsmaßnahmen 12 Treasury Richtlinien 12 Treasury-Prozesse 12 Kontrollmechanismen im Treasury 13 Passwortsicherheit 13 Tipps von Experten 13 Kommunikation 14 Externe Banken 14 IT-Systeme 14 Versicherungskosten 15 Gerichtskosten 15 Krisenplan 15 VI Reaktion auf Cyberbetrug 16 VII Fazit 17 VIII Royston Da Costa 18 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Das Thema Risikomanagement spielt bei der Mitarbeiterschulung eine ganz wichtige Rolle. Mitarbeiter können der entscheidende Faktor bei der Abwehr interner und externer Betrugsversuche sein. Sie können aber auch genau die Schwachstelle und das größte Risiko darstellen. Heutzutage herrscht bei den meisten Unternehmen Einigkeit darüber, dass dem Thema Cyberbetrug begegnet werden muss. In den meisten Fällen werden interne und externe Abläufe geprüft, z.B. bei Zahlungen an Banken oder der Datensicherheit. So soll gewährleistet werden, dass die Prozesse Best-Practice-Standards bzw. gesetzlichen Auflagen entsprechen und Betrugsversuchen standhalten würden. Wir befinden uns in einem digitalen Zeitalter, aber dennoch spielt auch nicht digitale Kommunikation nach wie vor eine große Rolle bei der Bekämpfung von Betrugsversuchen und sollte von Treasury-Abteilungen nicht vernachlässigt werden. Leider geschieht das sehr häufig, wie verschiedene Fälle zeigen, bei denen Unternehmen finanzieller Schaden zugefügt wurde. Im folgenden Artikel werden sechs Aspekte von Cyberbetrug näher betrachtet: Finanzielle Verluste Ansehensverluste Stimmung unter den Mitarbeitern Beispiele von Cyberbetrug Präventionsmaßnahmen Reaktionen auf Cyberbetrug 3 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 I FINANZIELLE VERLUSTE Verschiedene Faktoren beeinflussen die finanziellen Verluste bei Cyberbetrug. Dabei geht es insbesondere um die Wachsamkeit des Opfers, die Höhe der Beträge bzw. den Zuständigkeitsbereich des Opfers sowie die Zeit, bis ein Betrugsfall entdeckt wird. Zusätzlich zu den direkt verursachten Verlusten können zusätzliche Einbußen während der Aufklärung bzw. Behebung des verursachten Schadens entstehen, wenn ein normaler Betriebsablauf nicht möglich ist. Betriebsabläufe bleiben unter Umständen längere Zeit gestört, wenn bestehende Prozesse überprüft und gestärkt bzw. neue Prozesse zur Betrugsprävention eingeführt werden müssen. Mitarbeiter müssen unter Umständen im Hinblick auf neue Abläufe und neue Systeme geschult werden. Kunden und Geschäftspartner sind zudem vielleicht der Meinung, dass ein Unternehmen, das einem Betrug zum Opfer gefallen ist, kein sicherer Geschäftspartner mehr ist. Das wiederum kann sich negativ auf die Verkaufszahlen auswirken. IIANSEHENSVERLUSTE Das Ansehen eines Unternehmens ist gefährdet, wenn ein Angriff auf dessen Systeme (oder Zahlungsabläufe) erfolgreich war. Dabei ist von entscheidender Bedeutung, wie schnell ein Unternehmen auf einen solchen Angriff reagiert und sich davon erholt (s. Schaubild). 4 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Wie schnell ein Betrugsfall entdeckt wird und wie schnell sich ein Unternehmen davon erholt, zeigt auch, wie gut die Prozesse und Kontrollmechanismen im Unternehmen funktionieren. Das trifft insbesondere auf börsennotierte Unternehmen zu, für die die Einschätzung von Investoren von entscheidender Bedeutung ist, um Aktionäre zu gewinnen und langfristig zu binden. III STIMMUNG UNTER DEN MITARBEITERN Neben finanziellen Verlusten bzw. Verlusten beim Ansehen eines Unternehmens haben Betrugsfälle auch Auswirkungen auf die Stimmung unter den Mitarbeitern. Niemand möchte gerne ein Betrugsopfer sein. Das kann als sehr peinlich empfunden werden, vor allem vor Kollegen. Aufklärungsarbeit kann dabei schnell zur „Hexenjagd“ werden, wenn der Schuldige ausfindig gemacht werden soll. Viele Mitarbeiter machen sich Vorwürfe, einer so „offensichtlichen“ Masche zum Opfer gefallen zu sein und schieben sich nachträglich selbst die Schuld zu. Dafür gibt es keinen Grund, denn niemand sollte in die Lage versetzt werden, allein für die Durchführung von Zahlungsaufträgen verantwortlich zu sein. Abläufe sollten so stabil sein, dass keine einzelne Person alle Zahlungen tätigen kann, es sei denn, dies ist gesetzlich zwingend vorgeschrieben. Manche Betrugsfälle haben auch Auswirkungen auf den Ruf eines Teams oder ziehen Entschädigungen nach sich. Das wiederum kann dazu führen, dass einzelne Mitarbeiter an den Pranger gestellt werden, die irgendwie beteiligt waren, auch wenn sie eigentlich unschuldig sind. Der betroffene Mitarbeiter hatte vielleicht das Gefühl, keinen Ansprechpartner zu haben und hat die Aufgaben „nach bestem Wissen und Gewissen“ erledigt. Der Betrugsfall hat unter Umständen sogar gesundheitliche Auswirkungen auf diesen Mitarbeiter. An den Pranger gestellt werden sollten immer die Abläufe, es sei denn, ein Mitarbeiter umgeht diese gezielt. 5 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 IV BEKANNTE BETRUGSRISIKEN UND MASCHEN Der folgende Abschnitt gibt eine Übersicht über bekannte Betrugsrisiken und Maschen von Cyberbetrügern. Es ist wichtig, dass diese erkannt werden, damit man ihnen nicht selbst zum Opfer fällt. Phishing Dies ist die häufigste Betrugsmasche. Dabei werden E-Mails verschickt, die angeblich von einer Bank oder einer angesehen Organisation kommen, und vertrauliche Informationen abgefragt: persönliche Daten, Kontodaten und Passwörter. Die E-Mail enthält meistens einen Link zu einer gefälschten Website, die der echten zum Verwechseln ähnlich sieht. Manchmal ist der Link auch in einem Anhang versteckt. Meist wird suggeriert, dass es sich um ein dringendes Anliegen handelt, z.B. um zu verhindern, dass ein Zugang gesperrt wird. Die meisten Experten empfehlen: Niemals auf den Link in der vermeintlich von der Bank stammenden E-Mail klicken, sondern direkt über die eigenen Browser-Favoriten oder durch Eintippen der Adresse auf die Website gehen. Lloyds Bank empfiehlt außerdem folgende Vorgehensweise: E-Mails mit Vorsicht behandeln, die schlecht formuliert oder voller Rechtschreibfehler sind. Bei einer echten E-Mail von einer Bank wird man meist mit Namen angesprochen bzw. sind andere, gezielt auf den Adressaten ausgerichtete Informationen enthalten. In echten E-Mails von Banken werden nie Passwörter, Kartendaten oder Codes abgefragt oder auf Seiten verlinkt, wo diese Daten verlangt werden. 6 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Vishing (Voice Phishing) Hier gehen die Betrüger per Telefon vor und versuchen ihre Opfer dazu zu bewegen, Passwörter oder vertrauliche Daten rauszugeben oder Geld zu überweisen. Betrüger rufen beispielsweise an, um das Opfer über Probleme mit seinem Konto zu informieren und bitten um Rückruf an eine offizielle Nummer, z.B. auf die auf dem Kontoauszug vermerkte. Die Leitung wird so lange offen gehalten, dass das Opfer den Eindruck gewinnt, die Bank direkt erreicht zu haben. Dann wird um eine Überweisung auf ein „sicheres“ Konto im Verantwortungsbereich des vermeintlichen Bankangestellten gebeten. Die Website „Get Safe Online“ (https://www.getsafeonline.org/) empfiehlt, die eigene Bank von einer anderen Telefonleitung aus anzurufen, um den Sachverhalt bestätigen zu lassen. Lloyds Bank empfiehlt die unten stehende Vorgehensweise (nähere Informationen unter www.lloydsbank.com/business/security.asp): Wer sich nicht absolut sicher ist, dass tatsächlich die Bank am Telefon ist, sollte: Immer zurückrufen und eine Nummer verwenden, von der man weiß, dass sie korrekt ist. Fünf Minuten warten, um sicherzustellen, dass die Leitung frei ist, falls vorhanden eine andere Leitung verwenden. Man sollte sich nicht auf die Display-Anzeige verlassen, da diese von den Betrügern manipuliert werden kann. NIEMALS am Telefon vollstände Passwörter oder Codes preisgeben und niemals Überweisungen tätigen, die man nicht selbst ausführen möchte. Spoofing Spoofing ist keine Betrugsmasche im eigentlichen Sinne, sondern eine von Betrügern verwendete Methode, bei der echte Telefonnummern oder E-Mail-Adressen imitiert werden. So werden beispielsweise eingehende Anrufe im Display des Telefons manipuliert und eine Nummer angezeigt, die man der Bank zuordnen kann. Alternativ werden vermeintlich von Vorgesetzten kommende E-Mails verschickt, in denen eine dringende Überweisung angeordnet wird. Dabei sollen Online-Anbieter genutzt werden, bei denen es möglich ist, dass ein und dieselbe Person eine Zahlung beauftragt und freigibt. 7 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Unternehmen sollten ihre Mitarbeiter dahingehend sensibilisieren, dass Dinge aktiv hinterfragt werden. Mitarbeiter, die Zahlungen durchführen und/oder freigeben, sollten das Gefühl haben, dass sie bei Unsicherheiten einen Kollegen ansprechen können. Lloyds Bank empfiehlt Folgendes: Mitarbeiter, die Einmalzahlungen bzw. Daueraufträge durchführen, sollten die möglichen Betrugsmaschen kennen. Ein dokumentierter Prozess stellt sicher, dass alle neuen Zahlungsaufträge bzw. Änderungen bei bestehenden unabhängig verifiziert werden. So kann geprüft werden, ob die Anfrage echt ist. Wenn Bedenken bezüglich der Echtheit einer Anfrage bestehen, sollte der angebliche Absender zur Überprüfung in einer neuen E-Mail kontaktiert (nicht auf die E-Mail antworten) oder direkt angerufen werden (auf einer im internen Telefonbuch vermerkten Nummer). Gefälschte Rechnungen Teil I Bei dieser Betrugsmasche werden Mitarbeiter überredet, die Zahlungsdaten eines Kunden zu ändern. Hier ist ein Beispiel: Ein Unternehmen bezieht regelmäßig Dienstleistungen vom Anbieter ABC Consulting. Die Betrüger schicken dem Unternehmen einen Brief, der vermeintlich auf offiziellem Briefpapier von ABC Consulting gedruckt ist. In dem Brief wird mitgeteilt, dass sich die Bankdaten von ABC geändert haben und die neuen Bankdaten angegeben, die für zukünftige Zahlungen verwendet werden sollen. Das Unternehmen ändert die Bankdaten von ABC bei der Bank oder im internen Kreditorensystem. Bei der nächsten monatlichen Rechnung über € 60.000 von ABC gibt das Unternehmen den Zahlungsauftrag an die Bank. Die € 60.000 werden auf das neue, von den Betrügern kontrollierte Konto überwiesen. Später nimmt ABC Kontakt mit dem Unternehmen auf, weil die Zahlung nicht eingegangen ist. Erst jetzt fällt der Betrug auf, und das Geld ist längst weg. Es wird empfohlen, dass bei Änderungen der Bankdaten immer eine unabhängige Prüfung erfolgt – idealerweise von einer Person, die nicht in der gleichen Abteilung arbeitet. Darüber hinaus sollte darauf geachtet werden, nicht die auf der Rechnung angegebenen Kontaktdaten zu verwenden, da diese Teil der Betrugsmasche sein könnten. Die Kontaktdaten sollten selbst herausgesucht werden, z.B. im Internet. 8 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Gefälschte Rechnungen Teil II Bei dieser Betrugsmasche werden Mitarbeiter überredet, eine Überweisung an einen unbefugten Dritten zu tätigen. Hier ist ein Beispiel: Ein Mitarbeiter erhält eine E-Mail, die vermeintlich vom CFO oder einer anderen in der Unternehmenshierarchie weit oben stehenden Person kommt. Der E-Mail ist eine Rechnung angehängt und dem Mitarbeiter wird mitgeteilt, dass die Rechnung nicht bezahlt wurde und sofort beglichen werden muss. Der Mitarbeiter wird aufgefordert, das Geld sofort auf das in der Rechnung angegebene Konto zu überweisen. Der Anhang sollte unter keinen Umständen geöffnet werden! Vorgesetzte würden nie eine Zahlung in Auftrag geben, die sich nicht auf eine im System hinterlegte Rechnung bezieht. Entweder ist der Anhang eine komplette Fälschung mit gefälschten Kontodaten, oder der Anhang enthält einen Computer-Virus, der den Computer infizieren und auf diesem Wege Passwörter entwenden könnte. Überbezahlung von Schecks Bei dieser Betrugsmasche wird ein Unternehmen überbezahlt und ein Mitarbeiter dazu gebracht, eine Rückerstattung auf ein Konto vorzunehmen. Hier ist ein Beispiel: Ein Unternehmen bekommt einen Auftrag in Höhe von € 2.000 von einem neuen Kunden. Der Kunde verspricht, eine Online-Zahlung zu tätigen, damit die Ware geliefert werden kann. Bei einer Überprüfung des Kontos stellt das liefernde Unternehmen fest, dass € 62.000 bezahlt wurden. Man nimmt Kontakt mit dem Kunden auf, der angibt, es handele sich um einen Bearbeitungsfehler. Der neue Kunde bittet das Unternehmen um eine Rückerstattung von € 60.000 auf ein bestimmtes Konto. Das Unternehmen überweist die € 60.000 per Online-Banking und liefert die Ware aus. Einige Tage später stellt man fest, dass die € 62.000 mit einem gefälschten Scheck in einer Filiale eingezahlt wurden. Das Unternehmen hat € 60.000 sowie Ware im Wert von € 2.000 verloren. Bei neuen oder nicht bekannten Kunden, für die kein Transaktionsverlauf vorliegt, sollte immer darauf bestanden werden, dass eine Zahlung eingegangen und bestätigt ist, bevor mögliche Rückerstattungen getätigt werden. 9 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Malware Hierbei handelt es sich um Schadsoftware, wie z.B. Computer-Viren oder Trojaner. Malware versteckt sich oft in Anhängen oder kostenlosen Downloads. So wird beispielsweise eine Sitzung beim Online-Banking unterbrochen und eine gefälschte, scheinbar authentische Nachricht eingeblendet, in der der Nutzer zur Eingabe von Passwörtern und Codes aufgefordert wird. Diese Daten können dann von den Betrügern abgefangen und dazu verwendet werden, sich Zugang zu Online-Konten zu verschaffen und gefälschte Zahlungen zu tätigen. Lloyds Bank empfiehlt in diesem Zusammenhang Folgendes: Beim Online-Banking auf ungewöhnliche Webseiten oder Pop-Ups achten, vor allem, wenn die Eingabe von Passwörtern oder Sicherheitscodes zu einem ungewöhnlichen Zeitpunkt gefordert wird. Mitarbeiter sollten dahingehend sensibilisiert werden, dass Geräte unter Umständen infiziert sind. Mitarbeiter sollten erst genau überlegen, bevor sie bei ungewöhnlichen oder unerwarteten E-Mails Anhänge öffnen oder auf Links klicken. Bei dieser Betrugsmasche werden teilweise auch E-Mails mit Anhang verschickt, die vermeintlich von bekannten Zulieferern stammen (z.B. getarnt als Rechnung). Online-Banking sollte so eingerichtet werden, dass es zweier Mitarbeiter bedarf, um neue Aufträge einzurichten oder eine Zahlung durchzuführen. Wenn möglich sollten nur bestimmte PCs zum Online-Banking verwendet werden. Diese Computer sollten dann nicht für E-Mail oder das Surfen im Internet verwendet werden. So ist die Gefahr von Malware geringer. Niemals Online-Banking von kostenlosen/offenen W-Lan-Netzwerken durchführen. Sobald eine Warnung angezeigt wird, dass eine Seite nicht sicher ist, sollte der Vorgang abgebrochen werden. Nutzer sollten sich dann nicht einloggen und die Transaktion zu Ende führen. Ransomware Hierbei handelt es sich um eine besonders üble Form von Cyberbetrug, die immer häufiger verwendet wird. Betroffene Personen werden erpresst, indem alle Dateien mithilfe von Malware blockiert und die Zahlung eines „Lösegelds“ gefordert wird (Englisch ransom = Lösegeld). Unternehmen sollten sicherstellen, dass wichtige Daten auf einem Computer gesichert werden, der nicht immer online ist (sonst werden auch die Backup-Daten blockiert). 10 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Angriff auf das Unternehmensansehen Bei einer weiteren Form von Erpressung verschickt ein sog. „Reputation Killer Team“ (RepKiller) E-Mails an Unternehmen in Großbritannien und fordert bis zu einem bestimmten Datum und einer bestimmten Uhrzeit eine Zahlung mit Bitcoins (digitale Währung). Wenn das Unternehmen nicht darauf eingeht, wird damit gedroht, im Internet gezielt den Ruf des Unternehmens zu schädigen, indem hunderte negativer Bewertungen abgegeben werden. In der E-Mail wird auch angegeben, dass nichts mehr getan werden kann, sobald der Prozess in Gang gesetzt wurde. Momentan nennen sich diese Betrüger „RepKiller“, aber oft ändern Betrüger ständig ihre Namen und Taktiken – E-Mail-Adressen sind schnell und einfach geändert. Egal, ob ein solcher Angriff erfolgreich war oder nicht, er sollte immer gemeldet werden. „Get Safe Online“ empfiehlt: Nicht auf die Forderung eingehen. Es gibt keine Garantie, dass die Betrüger das Unternehmen dann nicht angreifen und noch höhere Forderungen stellen. Die Original-Mails aufbewahren. Sollte es zu einer Untersuchung kommen, können die Daten in der E-Mail als Beweismittel verwendet werden. Alle Zeiten, Art und Inhalt der Kontaktaufnahme festhalten. E-Commerce Elektronischer Handel spielt für Unternehmen eine immer wichtigere Rolle. Hier sollten Treasurer besonders auf ein erhöhtes Risiko von Kreditkartenbetrug auf E-Commerce-Seiten achten. Die Unternehmen sollten sicherstellen, dass bei Kreditkartentransaktionen Betrugserkennung aktiviert ist. Interner Betrug Teilweise sind bei Cyberbetrug auch interne Mitarbeiter beteiligt, entweder gezielt oder indem einer externen Partei bei einer Rückerstattung geholfen wird. Auch hier sollten Unternehmen weiter zum Thema Risikomanagement geschult werden und diese dazu ermutigt werden, Verdachtsfälle zu melden. 11 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 V PRÄVENTIONSMASSNAHMEN Das Stichwort Cybercrime spielt zunehmend auch für Finanzabteilungen eine Rolle. Mit immer neuen Methoden versuchen Betrüger, Geld zu erbeuten. Das hat auch Auswirkungen auf das Treasury und sorgt in immer mehr Unternehmen für Aufregung. Was also können Treasury-Abteilungen tun, um sich besser zu schützen? Welche Präventionsmaßnahmen bieten sich an? Treasury-Richtlinien Eine eindeutige, interne Treasury-Richtlinie, aus der die Rollen und Zuständigkeiten innerhalb der Treasury-Abteilung bzw. in der gesamten Gruppe hervorgehen, ist unerlässlich. Das gilt insbesondere für Ad-hoc-Zahlungsaufträge bzw. einmalige manuelle Zahlungen. Idealerweise sollten alle regelmäßigen Zahlungen an Dritte fest im Bankensystem oder einem anderen System zur Eingabe von Zahlungsaufträgen hinterlegt sein, so dass diese Vorgaben nicht einfach geändert werden können. Treasury-Prozesse Es empfiehlt sich, Treasury-Prozesse zu formalisieren und alle Mitarbeiter entsprechend ihrer Aufgaben darüber in Kenntnis zu setzen. Dabei sollten Prozesse festgelegt werden, aber auch die Gründe dahinter und die genaue Umsetzung erklärt werden. Es sollte klare Vorgaben für Neuzugänge, Wechsel von Abteilungen und Abgänge geben, was den Systemzugriff angeht. Nur, wer tatsächlich Zugriff benötigt, sollte ihn auch bekommen bzw. wieder entzogen bekommen, wenn dies nicht mehr der Fall ist. Das kann auch eine noch klarere Aufteilung von Verantwortlichkeiten bedeuten, im Rahmen derer nur zwei oder mehr Personen eine Transaktion abschließen können (z.B. Vier-Augen-Prinzip, Rückrufe etc.). Dabei sollte man allerdings im Hinterkopf behalten, dass hierfür evtl. mehr Zeit und Ressourcen in Anspruch genommen werden. „Know Your Employees – kenne deine Mitarbeiter“. Wenn Vorgesetzte eng mit ihren Mitarbeitern zusammenarbeiten und sich für sie Zeit nehmen, lernen sie diese besser kennen und verstehen. Eine entsprechende Unternehmenskultur zu schaffen, macht es das den Mitarbeitern einfacher, einen Betrugsverdacht zu melden. Gleichzeitig können so unschuldige Mitarbeiter besser vor falschen Anschuldigungen geschützt werden. Nachgewiesene interne Betrugsversuche können als Abschreckung für andere intern kommuniziert werden. 12 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Kontrollmechanismen im Treasury Es sollte sichergestellt werden, dass die Prozesse innerhalb einer Unternehmensgruppe regelmäßig überprüft werden, wenn möglich von einem Experten zum Thema Compliance. Wenn Daten mit externen Drittanbietern ausgetauscht werden, sollten diese entsprechende Nachweise vorbringen, dass auch sie Kontrollmechanismen haben. Die interne IT kann Treasurer hier bei der Einschätzung der Sicherheitslage unterstützen. Darüber hinaus sollte geprüft werden, ob die entsprechenden Vorgaben auch eingehalten werden – sowohl intern als auch extern, z.B. eine Überprüfung von Nutzerprofilen einmal im Monat, einmal im Halbjahr, oder einmal im Jahr, oder die Überprüfung aller Bankkonten des Unternehmens/der Gruppe. Passwortsicherheit Aufklärungsarbeit zum Thema Passwortsicherheit ist ebenfalls sehr wichtig. Mitarbeiter müssen geschult werden, wie sie starke Passwörter für unternehmensinterne Systeme oder auch Drittsysteme, die im Auftrag des Unternehmens genutzt werden (z.B. Bank- oder Zahlungsportale), erstellen. Das gleiche Passwort sollte extern nie zweimal verwendet werden. Auf externen Seiten sollte nie ein internes Passwort verwendet werden. Die festgelegte Passwortrichtlinie eines Unternehmens sollte allen Mitarbeitern bekannt sein. Passwörter sind ein bisschen wie Unterwäsche: Oft wechseln Nicht rumliegen lassen, so dass Fremde sie sehen können Nicht an andere verleihen Tipps von Experten Es kann sich ggf. anbieten, externe Consultants, Expertenseiten oder anerkannte Fachmagazine zu konsultieren und zu abonnieren. Die interne IT oder die Abteilung für IT-Sicherheit beantworten hier gerne Fragen und helfen bei Problemen weiter. Wenn solche Möglichkeiten nicht bestehen, helfen auch Websites wie z.B. getsafeonline.org weiter. 13 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Kommunikation Kommunikation und Abstimmung mit den Banken und Drittanbietern sollten nicht vernachlässigt werden, und sei es nur ein- oder idealerweise zweimal im Jahr. Viele Betrugsmaschen nutzen den fehlenden Austausch zwischen verschiedenen Parteien bzw. ein mangelndes Verständnis der normalen Abläufe bei einem Drittanbieter aus, z.B. was die Interaktion mit Kunden angeht. So würde z.B. eine Bank nie ihren Kunden anrufen und um User-ID oder Passwort bitten. Externe Banken Es empfiehlt sich, sicherzustellen, dass die Prozesse aller Banken, mit denen zusammengearbeitet wird, den eigenen Unternehmensrichtlinien entsprechen, und das weltweit. In Frankreich z.B. steht das Landesgesetz normalerweise über einer Vollmacht oder ausgehandelten Absprache zwischen Unternehmen und Bank. D.h. selbst wenn ein Unternehmen der Bank vorgibt, bei allen Zahlungsaufträgen zwei Unterschriften einzufordern, könnte der Direktor eines französischen Unternehmens theoretisch mit nur einer (nämlich seiner) Unterschrift auf der Filiale vor Ort eine Zahlung in Auftrag geben. Manche französischen Banken bieten hier Lösungen an, um dieses Risiko zu verringern. IT-Systeme Es sollte immer einen Notfallplan für Cyberbetrugsangriffe geben, die u.U. das Unternehmenssystem lahmlegen oder Daten zerstören (z.B. ein Angriff mit Ransomware). Treasurer sollten sich daher auch über die Backup- und Notfallpläne der IT-Abteilung für die wichtigen, vom Treasury-Team genutzten IT-Systeme informieren. Aus diesen Plänen geht hervor, welche Systeme von der IT verwaltet werden, wie oft Daten gesichert werden und was im Falle einer Katastrophe passiert. Dazu zählen z.B. auch Offline-Zeiten, die Wahrscheinlichkeit von Datenverlusten und die Prioritäten bei der Wiederherstellung von Daten. Treasurer sollten diese Bestimmungen kennen und internalisieren. Zusätzlich bietet sich ein Geschäftskontinuitätsplan an, aus dem hervorgeht, wie die Treasury-Abteilung bei einem Zwischenfall weiterarbeitet, z.B. beim Ausfall eigener, persönlicher IT-Systeme (PCs, Laptops etc.) oder der Schließung des Gebäudes, in dem das Team arbeitet. 14 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Versicherungskosten Aktionäre erwarten von einem Unternehmen, dass es seine Interessen verteidigt und entsprechende Maßnahmen einführt, um auch die Anteile der Aktionäre zu sichern. Aus diesem Grund haben die meisten Unternehmen beim Thema Cyberbetrug auch entsprechenden Versicherungsschutz. In den einzelnen Unternehmen sollte abgewogen werden, wie hoch das Risiko ist, und die Hauptrisiken abgesichert werden. Zu den großen Risiken, die eine gute Versicherung abdeckt, zählen u.a.: Verlust, Beschädigung oder Veränderung eigener Daten. Gerichtskosten Technische Unterstützung bei der Wiederherstellung von Systemen und Daten Den Versicherungsträgern gegenüber sollte Offenheit an den Tag gelegt werden und diese regelmäßig über die Infrastruktur auf dem Laufenden gehalten werden, so dass diese eine Einschätzung darüber abgeben können, wann ein hoher Versicherungsanspruch entstünde. Dabei sollte auch sichergestellt werden, dass die Prozesse zwischen Versicherer und Underwriter genau verstanden und berücksichtigt werden. Es sollte nicht nur eine Absicherung gegen die Folgen eines Vorfalls erfolgen, sondern auch gegen die Ursachen, z.B. Datenklau oder Zahlungsbetrug. Alle Mitarbeiter sollten wissen, was genau abgesichert ist. Dabei geht es nicht nur um finanzielle Risiken, sondern auch um Schaden, der durch Rufschädigung entsteht. Das ist in den meisten Unternehmen heutzutage Standard. Ein Krisenplan zum Umgang mit möglichen Cyberangriffen auf das System ist auf jeden Fall sinnvoll. Das ist auch oft eine Vorgabe der Versicherungen. Auch gesetzliche Auflagen sollten im Auge behalten werden. Krisenplan Alle Unternehmen sollten einen Krisenplan besitzen, auf dessen Grundlage schnell auf große Risiken oder Vorfälle, darunter auch Cyberbetrug, reagiert werden kann. Darin sollten verschiedene Szenarien berücksichtigt werden und entsprechende Zuständigkeiten genau festgelegt sein. In der Vergangenheit hat sich gezeigt, dass effektive Pläne zur Krisenbewältigung der entscheidende Faktor sein können, ob ein Unternehmen großen Schaden davonträgt oder sich rasch erholt und keinen Vertrauensverlust bei den Kunden hinnehmen muss. Ein Haupt- und ein Zweitansprechpartner der Treasury-Abteilung sollten im Rahmen des Krisenplans berücksichtigt sein und aktiv hinzugezogen werden. 15 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 VI REAKTION AUF CYBERBETRUG Bei einem bestätigten Betrugsfall sollten Mitarbeiter unverzüglich das Krisenteam des Unternehmens informieren. Cyberbetrug nutzt meistens die Masche, dass etwas dringend erledigt werden muss. Unternehmen müssen solche Betrugsversuche daher erkennen und schnell eingreifen. Wer einen der oben genannten Tricks oder etwas anderes entdeckt, das ihm ungewöhnlich erscheint, sollte sofort das IT-Supportteam vor Ort kontaktieren und den Fall melden. Ein Experte hilft dann, die Situation zu beurteilen und festzustellen, ob die Bedenken berechtigt sind oder ein größeres Problem vorliegt. Manche von langer Hand geplanten Angriffe ziehen sich unter Umständen über Wochen oder sogar Monate hin. Daher sollte man bei mehreren suspekten Anfragen, Aktivitäten oder Unregelmäßigkeiten (z.B. unausgeglichenen Salden) hellhörig werden. Die Kommunikation nach außen mit Kunden, Mitarbeitern und Geschäftspartnern sollte das Krisenteam übernehmen. Es ist wichtig, dass die richtige Botschaft auf die richtige Art kommuniziert wird, um finanzielle Verluste einzudämmen und einem Ansehensverlust vorzubeugen. 16 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 VIIFAZIT Dieser Artikel soll nicht dazu dienen, genaue Anweisungen im Fall von Cyberbetrug zu geben. Ich bin (a) kein IT-Experte und (b) gibt es Experten, die sich viel besser mit der Materie auskennen. Es war jedoch mein Anliegen, jene Bereiche im Treasury herauszuarbeiten, die meines Erachtens nach von Betrugsmaschen betroffen sind. Ich bin der Meinung, dass es wichtig ist, sich mit diesem Thema auseinanderzusetzen und Treasurer dafür zu sensibilisieren. Ich hoffe auf jeden Fall, dass Treasurer diesen Artikel lesen und ihre Kernprozesse, inklusive dem Zahlungsverkehr, noch einmal kritisch prüfen, sollte das nicht bereits erfolgt sein. Es ist ein interessanter Punkt, dass die Technik die treibende Kraft im Cyberbetrug ist. Gleichzeitig spielt Technik auch bei der Bekämpfung von Cyberbetrug eine wichtige Rolle! Wir als Treasurer sind gleichzeitig das schwächste Glied und die wertvollste Ressource! Zu diesem Whitepaper haben beigetragen: Lloyds Bank Get Safe Online Action Fraud Wolseley IT 17 Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016 Royston Da Costa arbeitet seit über 25 Jahren im Bereich Treasury. Im April 2002 stieß er als Group Assistant Treasurer zu Wolseley, wo er für die Verbindlichkeiten und liquiden Mittel des großen internationalen Konzerns zuständig war. Im Jahr 2010 übernahm er die Verantwortung für die Treasury Systeme und Entwicklung von Wolseley und führte mehrere Systeme ein, die die TreasuryProzesse des Konzerns automatisierten und mit SWIFT-Dateien im MT940Format für mehr Cash-Transparenz sorgten. 2014 unterstützte er das Unternehmen bei der Umsetzung von SEPA und EMIR, und 2015 führte er ein neues Treasury Management System von BELLIN ein. Royston Da Costa ist für die strategischen Überlegungen im Zusammenhang mit Treasury Systemen zuständig und kümmert sich um Ad-hoc-Projekte im Bereich Treasury. Er hat eine ACT-Zertifizierung in International Treasury Management. Zu seinen früheren Stationen zählen Sky, Gillette und Vivendi Universal. 18 BELLIN. Treasury that Moves You. bellin.com BELLIN GmbH BELLIN Treasury Services Ltd. BELLIN Treasury Alliance Ltd. Tullastraße 19 77955 Ettenheim, Germany +49 7822 4460-0 Suite 1022 - 470 Granville Street Vancouver, BC V6C 1V5, Canada +1 604 677 2593 111 Buckingham Palace Rd. London, SW1 0SR, United Kingdom +44 20 7340 8650 welcome@bellin.com