Die Bedeutung von Cyberbetrug im Treasury

Transcription

Die Bedeutung von Cyberbetrug im Treasury
Royston Da Costa
Die Bedeutung von
Cyberbetrug im Treasury
„CEO E-Mail-Betrug sollte Vorstände wachrütteln.“
INHALTSVERZEICHNIS
I
Finanzelle Verluste
04
II Ansehensverluste
04
III
Stimmung unter den Mitarbeitern
005
IV
Bekannte Betrugsrisiken und Maschen
06
Phishing
06
Vishing (Voice Phishing)
07
Spoofing
07
Gefälsche Rechungen Teil I
08
Gefälsche Rechungen Teil II
09
Überbezahlung von Schecks
09
Malware
10
Ransomware
10
11
Angriff auf das Unternehmensansehen
E-Commerce
11
Interner Betrug
11
V Präventionsmaßnahmen
12
Treasury Richtlinien
12
Treasury-Prozesse
12
Kontrollmechanismen im Treasury
13
Passwortsicherheit
13
Tipps von Experten
13
Kommunikation
14
Externe Banken
14
IT-Systeme
14
Versicherungskosten
15
Gerichtskosten
15
Krisenplan
15
VI
Reaktion auf Cyberbetrug
16
VII
Fazit
17
VIII Royston Da Costa
18
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Das Thema Risikomanagement spielt bei der Mitarbeiterschulung eine ganz wichtige
Rolle. Mitarbeiter können der entscheidende Faktor bei der Abwehr interner und
externer Betrugsversuche sein. Sie können aber auch genau die Schwachstelle und
das größte Risiko darstellen.
Heutzutage herrscht bei den meisten Unternehmen Einigkeit darüber, dass dem
Thema Cyberbetrug begegnet werden muss. In den meisten Fällen werden interne
und externe Abläufe geprüft, z.B. bei Zahlungen an Banken oder der Datensicherheit.
So soll gewährleistet werden, dass die Prozesse Best-Practice-Standards bzw.
gesetzlichen Auflagen entsprechen und Betrugsversuchen standhalten würden.
Wir befinden uns in einem digitalen Zeitalter, aber dennoch spielt auch nicht
digitale Kommunikation nach wie vor eine große Rolle bei der Bekämpfung von
Betrugsversuchen und sollte von Treasury-Abteilungen nicht vernachlässigt
werden. Leider geschieht das sehr häufig, wie verschiedene Fälle zeigen, bei denen
Unternehmen finanzieller Schaden zugefügt wurde.
Im folgenden Artikel werden sechs Aspekte von Cyberbetrug näher betrachtet:
 Finanzielle Verluste
 Ansehensverluste
 Stimmung unter den Mitarbeitern
 Beispiele von Cyberbetrug
 Präventionsmaßnahmen
 Reaktionen auf Cyberbetrug
3
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
I FINANZIELLE VERLUSTE
Verschiedene Faktoren beeinflussen die finanziellen Verluste bei Cyberbetrug. Dabei
geht es insbesondere um die Wachsamkeit des Opfers, die Höhe der Beträge bzw.
den Zuständigkeitsbereich des Opfers sowie die Zeit, bis ein Betrugsfall entdeckt
wird. Zusätzlich zu den direkt verursachten Verlusten können zusätzliche Einbußen
während der Aufklärung bzw. Behebung des verursachten Schadens entstehen, wenn
ein normaler Betriebsablauf nicht möglich ist.
Betriebsabläufe bleiben unter Umständen längere Zeit gestört, wenn bestehende
Prozesse überprüft und gestärkt bzw. neue Prozesse zur Betrugsprävention eingeführt
werden müssen. Mitarbeiter müssen unter Umständen im Hinblick auf neue Abläufe
und neue Systeme geschult werden.
Kunden und Geschäftspartner sind zudem vielleicht der Meinung, dass ein Unternehmen, das einem Betrug zum Opfer gefallen ist, kein sicherer Geschäftspartner
mehr ist. Das wiederum kann sich negativ auf die Verkaufszahlen auswirken.
IIANSEHENSVERLUSTE
Das Ansehen eines Unternehmens ist gefährdet, wenn ein Angriff auf dessen Systeme
(oder Zahlungsabläufe) erfolgreich war. Dabei ist von entscheidender Bedeutung, wie
schnell ein Unternehmen auf einen solchen Angriff reagiert und sich davon erholt
(s. Schaubild).
4
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Wie schnell ein Betrugsfall entdeckt wird und wie schnell sich ein Unternehmen davon
erholt, zeigt auch, wie gut die Prozesse und Kontrollmechanismen im Unternehmen
funktionieren. Das trifft insbesondere auf börsennotierte Unternehmen zu, für die
die Einschätzung von Investoren von entscheidender Bedeutung ist, um Aktionäre zu
gewinnen und langfristig zu binden.
III STIMMUNG UNTER DEN MITARBEITERN
Neben finanziellen Verlusten bzw. Verlusten beim Ansehen eines Unternehmens
haben Betrugsfälle auch Auswirkungen auf die Stimmung unter den Mitarbeitern.
Niemand möchte gerne ein Betrugsopfer sein. Das kann als sehr peinlich empfunden
werden, vor allem vor Kollegen.
Aufklärungsarbeit kann dabei schnell zur „Hexenjagd“ werden, wenn der Schuldige
ausfindig gemacht werden soll. Viele Mitarbeiter machen sich Vorwürfe, einer so
„offensichtlichen“ Masche zum Opfer gefallen zu sein und schieben sich nachträglich
selbst die Schuld zu.
Dafür gibt es keinen Grund, denn niemand sollte in die Lage versetzt werden, allein
für die Durchführung von Zahlungsaufträgen verantwortlich zu sein. Abläufe sollten so
stabil sein, dass keine einzelne Person alle Zahlungen tätigen kann, es sei denn, dies
ist gesetzlich zwingend vorgeschrieben.
Manche Betrugsfälle haben auch Auswirkungen auf den Ruf eines Teams oder
ziehen Entschädigungen nach sich. Das wiederum kann dazu führen, dass einzelne
Mitarbeiter an den Pranger gestellt werden, die irgendwie beteiligt waren, auch wenn
sie eigentlich unschuldig sind.
Der betroffene Mitarbeiter hatte vielleicht das Gefühl, keinen Ansprechpartner zu
haben und hat die Aufgaben „nach bestem Wissen und Gewissen“ erledigt. Der
Betrugsfall hat unter Umständen sogar gesundheitliche Auswirkungen auf diesen
Mitarbeiter.
An den Pranger gestellt werden sollten immer die Abläufe, es sei denn, ein Mitarbeiter
umgeht diese gezielt.
5
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
IV BEKANNTE BETRUGSRISIKEN UND MASCHEN
Der folgende Abschnitt gibt eine Übersicht über bekannte Betrugsrisiken und
Maschen von Cyberbetrügern. Es ist wichtig, dass diese erkannt werden, damit man
ihnen nicht selbst zum Opfer fällt.
Phishing
Dies ist die häufigste Betrugsmasche. Dabei werden E-Mails verschickt, die angeblich
von einer Bank oder einer angesehen Organisation kommen, und vertrauliche
Informationen abgefragt: persönliche Daten, Kontodaten und Passwörter. Die E-Mail
enthält meistens einen Link zu einer gefälschten Website, die der echten zum
Verwechseln ähnlich sieht. Manchmal ist der Link auch in einem Anhang versteckt.
Meist wird suggeriert, dass es sich um ein dringendes Anliegen handelt, z.B. um zu
verhindern, dass ein Zugang gesperrt wird.
Die meisten Experten empfehlen:
Niemals auf den Link in der vermeintlich von der Bank stammenden E-Mail klicken, sondern direkt über die eigenen Browser-Favoriten oder durch Eintippen der Adresse auf die Website gehen.
Lloyds Bank empfiehlt außerdem folgende Vorgehensweise:
E-Mails mit Vorsicht behandeln, die schlecht formuliert oder voller Rechtschreibfehler sind. Bei einer echten E-Mail von einer Bank wird man meist
mit Namen angesprochen bzw. sind andere, gezielt auf den Adressaten ausgerichtete Informationen enthalten.
In echten E-Mails von Banken werden nie Passwörter, Kartendaten oder Codes abgefragt oder auf Seiten verlinkt, wo diese Daten verlangt werden.
6
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Vishing (Voice Phishing)
Hier gehen die Betrüger per Telefon vor und versuchen ihre Opfer dazu zu bewegen,
Passwörter oder vertrauliche Daten rauszugeben oder Geld zu überweisen.
Betrüger rufen beispielsweise an, um das Opfer über Probleme mit seinem Konto
zu informieren und bitten um Rückruf an eine offizielle Nummer, z.B. auf die auf
dem Kontoauszug vermerkte. Die Leitung wird so lange offen gehalten, dass das
Opfer den Eindruck gewinnt, die Bank direkt erreicht zu haben. Dann wird um eine
Überweisung auf ein „sicheres“ Konto im Verantwortungsbereich des vermeintlichen
Bankangestellten gebeten.
Die Website „Get Safe Online“ (https://www.getsafeonline.org/) empfiehlt, die
eigene Bank von einer anderen Telefonleitung aus anzurufen, um den Sachverhalt
bestätigen zu lassen.
Lloyds Bank empfiehlt die unten stehende Vorgehensweise (nähere Informationen
unter www.lloydsbank.com/business/security.asp):
Wer sich nicht absolut sicher ist, dass tatsächlich die Bank am Telefon ist, sollte:
Immer zurückrufen und eine Nummer verwenden, von der man weiß, dass sie korrekt ist.
Fünf Minuten warten, um sicherzustellen, dass die Leitung frei ist, falls vorhanden eine andere Leitung verwenden. Man sollte sich nicht auf die Display-Anzeige verlassen, da diese von den Betrügern manipuliert werden kann.
NIEMALS am Telefon vollstände Passwörter oder Codes preisgeben und niemals Überweisungen tätigen, die man nicht selbst ausführen möchte.
Spoofing
Spoofing ist keine Betrugsmasche im eigentlichen Sinne, sondern eine von Betrügern
verwendete Methode, bei der echte Telefonnummern oder E-Mail-Adressen imitiert
werden. So werden beispielsweise eingehende Anrufe im Display des Telefons
manipuliert und eine Nummer angezeigt, die man der Bank zuordnen kann. Alternativ
werden vermeintlich von Vorgesetzten kommende E-Mails verschickt, in denen eine
dringende Überweisung angeordnet wird. Dabei sollen Online-Anbieter genutzt
werden, bei denen es möglich ist, dass ein und dieselbe Person eine Zahlung
beauftragt und freigibt.
7
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Unternehmen sollten ihre Mitarbeiter dahingehend sensibilisieren, dass Dinge aktiv
hinterfragt werden. Mitarbeiter, die Zahlungen durchführen und/oder freigeben,
sollten das Gefühl haben, dass sie bei Unsicherheiten einen Kollegen ansprechen
können.
Lloyds Bank empfiehlt Folgendes:
Mitarbeiter, die Einmalzahlungen bzw. Daueraufträge durchführen, sollten die möglichen Betrugsmaschen kennen.
Ein dokumentierter Prozess stellt sicher, dass alle neuen Zahlungsaufträge bzw.
Änderungen bei bestehenden unabhängig verifiziert werden. So kann geprüft werden, ob die Anfrage echt ist.
Wenn Bedenken bezüglich der Echtheit einer Anfrage bestehen, sollte der
angebliche Absender zur Überprüfung in einer neuen E-Mail kontaktiert (nicht
auf die E-Mail antworten) oder direkt angerufen werden (auf einer im internen
Telefonbuch vermerkten Nummer).
Gefälschte Rechnungen Teil I
Bei dieser Betrugsmasche werden Mitarbeiter überredet, die Zahlungsdaten eines
Kunden zu ändern. Hier ist ein Beispiel:
Ein Unternehmen bezieht regelmäßig Dienstleistungen vom Anbieter ABC Consulting.
Die Betrüger schicken dem Unternehmen einen Brief, der vermeintlich auf offiziellem
Briefpapier von ABC Consulting gedruckt ist. In dem Brief wird mitgeteilt, dass sich
die Bankdaten von ABC geändert haben und die neuen Bankdaten angegeben, die für
zukünftige Zahlungen verwendet werden sollen.
Das Unternehmen ändert die Bankdaten von ABC bei der Bank oder im internen
Kreditorensystem. Bei der nächsten monatlichen Rechnung über € 60.000 von ABC
gibt das Unternehmen den Zahlungsauftrag an die Bank.
Die € 60.000 werden auf das neue, von den Betrügern kontrollierte Konto
überwiesen. Später nimmt ABC Kontakt mit dem Unternehmen auf, weil die Zahlung
nicht eingegangen ist. Erst jetzt fällt der Betrug auf, und das Geld ist längst weg.
Es wird empfohlen, dass bei Änderungen der Bankdaten immer eine unabhängige
Prüfung erfolgt – idealerweise von einer Person, die nicht in der gleichen Abteilung
arbeitet. Darüber hinaus sollte darauf geachtet werden, nicht die auf der Rechnung
angegebenen Kontaktdaten zu verwenden, da diese Teil der Betrugsmasche sein
könnten. Die Kontaktdaten sollten selbst herausgesucht werden, z.B. im Internet.
8
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Gefälschte Rechnungen Teil II
Bei dieser Betrugsmasche werden Mitarbeiter überredet, eine Überweisung an einen
unbefugten Dritten zu tätigen. Hier ist ein Beispiel:
Ein Mitarbeiter erhält eine E-Mail, die vermeintlich vom CFO oder einer anderen in
der Unternehmenshierarchie weit oben stehenden Person kommt. Der E-Mail ist eine
Rechnung angehängt und dem Mitarbeiter wird mitgeteilt, dass die Rechnung nicht
bezahlt wurde und sofort beglichen werden muss. Der Mitarbeiter wird aufgefordert,
das Geld sofort auf das in der Rechnung angegebene Konto zu überweisen.
Der Anhang sollte unter keinen Umständen geöffnet werden! Vorgesetzte würden nie
eine Zahlung in Auftrag geben, die sich nicht auf eine im System hinterlegte Rechnung
bezieht. Entweder ist der Anhang eine komplette Fälschung mit gefälschten
Kontodaten, oder der Anhang enthält einen Computer-Virus, der den Computer
infizieren und auf diesem Wege Passwörter entwenden könnte.
Überbezahlung von Schecks
Bei dieser Betrugsmasche wird ein Unternehmen überbezahlt und ein Mitarbeiter
dazu gebracht, eine Rückerstattung auf ein Konto vorzunehmen. Hier ist ein Beispiel:
Ein Unternehmen bekommt einen Auftrag in Höhe von € 2.000 von einem neuen
Kunden. Der Kunde verspricht, eine Online-Zahlung zu tätigen, damit die Ware
geliefert werden kann. Bei einer Überprüfung des Kontos stellt das liefernde
Unternehmen fest, dass € 62.000 bezahlt wurden. Man nimmt Kontakt mit dem
Kunden auf, der angibt, es handele sich um einen Bearbeitungsfehler.
Der neue Kunde bittet das Unternehmen um eine Rückerstattung von € 60.000 auf
ein bestimmtes Konto. Das Unternehmen überweist die € 60.000 per Online-Banking
und liefert die Ware aus.
Einige Tage später stellt man fest, dass die € 62.000 mit einem gefälschten Scheck in
einer Filiale eingezahlt wurden. Das Unternehmen hat € 60.000 sowie Ware im Wert
von € 2.000 verloren.
Bei neuen oder nicht bekannten Kunden, für die kein Transaktionsverlauf vorliegt,
sollte immer darauf bestanden werden, dass eine Zahlung eingegangen und bestätigt
ist, bevor mögliche Rückerstattungen getätigt werden.
9
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Malware
Hierbei handelt es sich um Schadsoftware, wie z.B. Computer-Viren oder Trojaner.
Malware versteckt sich oft in Anhängen oder kostenlosen Downloads. So wird
beispielsweise eine Sitzung beim Online-Banking unterbrochen und eine gefälschte,
scheinbar authentische Nachricht eingeblendet, in der der Nutzer zur Eingabe
von Passwörtern und Codes aufgefordert wird. Diese Daten können dann von den
Betrügern abgefangen und dazu verwendet werden, sich Zugang zu Online-Konten zu
verschaffen und gefälschte Zahlungen zu tätigen.
Lloyds Bank empfiehlt in diesem Zusammenhang Folgendes:
Beim Online-Banking auf ungewöhnliche Webseiten oder Pop-Ups achten, vor allem, wenn die Eingabe von Passwörtern oder Sicherheitscodes zu einem ungewöhnlichen Zeitpunkt gefordert wird.
Mitarbeiter sollten dahingehend sensibilisiert werden, dass Geräte unter Umständen infiziert sind. Mitarbeiter sollten erst genau überlegen, bevor sie bei ungewöhnlichen oder unerwarteten E-Mails Anhänge öffnen oder auf Links klicken.
Bei dieser Betrugsmasche werden teilweise auch E-Mails mit Anhang verschickt, die vermeintlich von bekannten Zulieferern stammen (z.B. getarnt als Rechnung).
Online-Banking sollte so eingerichtet werden, dass es zweier Mitarbeiter bedarf,
um neue Aufträge einzurichten oder eine Zahlung durchzuführen. Wenn möglich sollten nur bestimmte PCs zum Online-Banking verwendet werden. Diese Computer sollten dann nicht für E-Mail oder das Surfen im Internet verwendet werden. So ist die Gefahr von Malware geringer.
Niemals Online-Banking von kostenlosen/offenen W-Lan-Netzwerken durchführen.
Sobald eine Warnung angezeigt wird, dass eine Seite nicht sicher ist, sollte der
Vorgang abgebrochen werden. Nutzer sollten sich dann nicht einloggen und die Transaktion zu Ende führen.
Ransomware
Hierbei handelt es sich um eine besonders üble Form von Cyberbetrug, die immer
häufiger verwendet wird. Betroffene Personen werden erpresst, indem alle Dateien
mithilfe von Malware blockiert und die Zahlung eines „Lösegelds“ gefordert wird
(Englisch ransom = Lösegeld). Unternehmen sollten sicherstellen, dass wichtige
Daten auf einem Computer gesichert werden, der nicht immer online ist (sonst
werden auch die Backup-Daten blockiert).
10
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Angriff auf das Unternehmensansehen
Bei einer weiteren Form von Erpressung verschickt ein sog. „Reputation Killer Team“
(RepKiller) E-Mails an Unternehmen in Großbritannien und fordert bis zu einem
bestimmten Datum und einer bestimmten Uhrzeit eine Zahlung mit Bitcoins (digitale
Währung). Wenn das Unternehmen nicht darauf eingeht, wird damit gedroht, im
Internet gezielt den Ruf des Unternehmens zu schädigen, indem hunderte negativer
Bewertungen abgegeben werden. In der E-Mail wird auch angegeben, dass nichts mehr getan werden kann, sobald der
Prozess in Gang gesetzt wurde. Momentan nennen sich diese Betrüger „RepKiller“,
aber oft ändern Betrüger ständig ihre Namen und Taktiken – E-Mail-Adressen sind
schnell und einfach geändert.
Egal, ob ein solcher Angriff erfolgreich war oder nicht, er sollte immer gemeldet
werden. „Get Safe Online“ empfiehlt:
Nicht auf die Forderung eingehen. Es gibt keine Garantie, dass die Betrüger das Unternehmen dann nicht angreifen und noch höhere Forderungen stellen. Die Original-Mails aufbewahren. Sollte es zu einer Untersuchung kommen, können die Daten in der E-Mail als Beweismittel verwendet werden. Alle Zeiten, Art und Inhalt der Kontaktaufnahme festhalten.
E-Commerce
Elektronischer Handel spielt für Unternehmen eine immer wichtigere Rolle. Hier
sollten Treasurer besonders auf ein erhöhtes Risiko von Kreditkartenbetrug auf
E-Commerce-Seiten achten. Die Unternehmen sollten sicherstellen, dass bei
Kreditkartentransaktionen Betrugserkennung aktiviert ist.
Interner Betrug
Teilweise sind bei Cyberbetrug auch interne Mitarbeiter beteiligt, entweder gezielt
oder indem einer externen Partei bei einer Rückerstattung geholfen wird.
Auch hier sollten Unternehmen weiter zum Thema Risikomanagement geschult
werden und diese dazu ermutigt werden, Verdachtsfälle zu melden.
11
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
V PRÄVENTIONSMASSNAHMEN
Das Stichwort Cybercrime spielt zunehmend auch für Finanzabteilungen eine Rolle.
Mit immer neuen Methoden versuchen Betrüger, Geld zu erbeuten. Das hat auch
Auswirkungen auf das Treasury und sorgt in immer mehr Unternehmen für Aufregung.
Was also können Treasury-Abteilungen tun, um sich besser zu schützen? Welche
Präventionsmaßnahmen bieten sich an?
Treasury-Richtlinien
Eine eindeutige, interne Treasury-Richtlinie, aus der die Rollen und Zuständigkeiten
innerhalb der Treasury-Abteilung bzw. in der gesamten Gruppe hervorgehen, ist
unerlässlich. Das gilt insbesondere für Ad-hoc-Zahlungsaufträge bzw. einmalige
manuelle Zahlungen. Idealerweise sollten alle regelmäßigen Zahlungen an Dritte fest
im Bankensystem oder einem anderen System zur Eingabe von Zahlungsaufträgen
hinterlegt sein, so dass diese Vorgaben nicht einfach geändert werden können.
Treasury-Prozesse
Es empfiehlt sich, Treasury-Prozesse zu formalisieren und alle Mitarbeiter
entsprechend ihrer Aufgaben darüber in Kenntnis zu setzen. Dabei sollten Prozesse
festgelegt werden, aber auch die Gründe dahinter und die genaue Umsetzung erklärt
werden. Es sollte klare Vorgaben für Neuzugänge, Wechsel von Abteilungen und
Abgänge geben, was den Systemzugriff angeht. Nur, wer tatsächlich Zugriff benötigt,
sollte ihn auch bekommen bzw. wieder entzogen bekommen, wenn dies nicht mehr
der Fall ist. Das kann auch eine noch klarere Aufteilung von Verantwortlichkeiten
bedeuten, im Rahmen derer nur zwei oder mehr Personen eine Transaktion
abschließen können (z.B. Vier-Augen-Prinzip, Rückrufe etc.). Dabei sollte man
allerdings im Hinterkopf behalten, dass hierfür evtl. mehr Zeit und Ressourcen in
Anspruch genommen werden.
„Know Your Employees – kenne deine Mitarbeiter“. Wenn Vorgesetzte eng mit ihren
Mitarbeitern zusammenarbeiten und sich für sie Zeit nehmen, lernen sie diese besser
kennen und verstehen. Eine entsprechende Unternehmenskultur zu schaffen, macht
es das den Mitarbeitern einfacher, einen Betrugsverdacht zu melden. Gleichzeitig
können so unschuldige Mitarbeiter besser vor falschen Anschuldigungen geschützt
werden. Nachgewiesene interne Betrugsversuche können als Abschreckung für
andere intern kommuniziert werden.
12
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Kontrollmechanismen im Treasury
Es sollte sichergestellt werden, dass die Prozesse innerhalb einer Unternehmensgruppe regelmäßig überprüft werden, wenn möglich von einem Experten zum Thema
Compliance. Wenn Daten mit externen Drittanbietern ausgetauscht werden, sollten
diese entsprechende Nachweise vorbringen, dass auch sie Kontrollmechanismen
haben. Die interne IT kann Treasurer hier bei der Einschätzung der Sicherheitslage
unterstützen.
Darüber hinaus sollte geprüft werden, ob die entsprechenden Vorgaben auch
eingehalten werden – sowohl intern als auch extern, z.B. eine Überprüfung von
Nutzerprofilen einmal im Monat, einmal im Halbjahr, oder einmal im Jahr, oder die
Überprüfung aller Bankkonten des Unternehmens/der Gruppe.
Passwortsicherheit
Aufklärungsarbeit zum Thema Passwortsicherheit ist ebenfalls sehr wichtig.
Mitarbeiter müssen geschult werden, wie sie starke Passwörter für unternehmensinterne Systeme oder auch Drittsysteme, die im Auftrag des Unternehmens genutzt
werden (z.B. Bank- oder Zahlungsportale), erstellen. Das gleiche Passwort sollte
extern nie zweimal verwendet werden. Auf externen Seiten sollte nie ein internes
Passwort verwendet werden. Die festgelegte Passwortrichtlinie eines Unternehmens
sollte allen Mitarbeitern bekannt sein. Passwörter sind ein bisschen wie Unterwäsche:
Oft wechseln
Nicht rumliegen lassen, so dass Fremde sie sehen können
Nicht an andere verleihen
Tipps von Experten
Es kann sich ggf. anbieten, externe Consultants, Expertenseiten oder anerkannte
Fachmagazine zu konsultieren und zu abonnieren. Die interne IT oder die Abteilung für
IT-Sicherheit beantworten hier gerne Fragen und helfen bei Problemen weiter. Wenn
solche Möglichkeiten nicht bestehen, helfen auch Websites wie z.B. getsafeonline.org
weiter.
13
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Kommunikation
Kommunikation und Abstimmung mit den Banken und Drittanbietern sollten nicht
vernachlässigt werden, und sei es nur ein- oder idealerweise zweimal im Jahr. Viele
Betrugsmaschen nutzen den fehlenden Austausch zwischen verschiedenen Parteien
bzw. ein mangelndes Verständnis der normalen Abläufe bei einem Drittanbieter aus,
z.B. was die Interaktion mit Kunden angeht. So würde z.B. eine Bank nie ihren Kunden
anrufen und um User-ID oder Passwort bitten.
Externe Banken
Es empfiehlt sich, sicherzustellen, dass die Prozesse aller Banken, mit denen
zusammengearbeitet wird, den eigenen Unternehmensrichtlinien entsprechen, und
das weltweit. In Frankreich z.B. steht das Landesgesetz normalerweise über einer
Vollmacht oder ausgehandelten Absprache zwischen Unternehmen und Bank. D.h.
selbst wenn ein Unternehmen der Bank vorgibt, bei allen Zahlungsaufträgen zwei
Unterschriften einzufordern, könnte der Direktor eines französischen Unternehmens
theoretisch mit nur einer (nämlich seiner) Unterschrift auf der Filiale vor Ort eine
Zahlung in Auftrag geben. Manche französischen Banken bieten hier Lösungen an, um
dieses Risiko zu verringern.
IT-Systeme
Es sollte immer einen Notfallplan für Cyberbetrugsangriffe geben, die u.U. das
Unternehmenssystem lahmlegen oder Daten zerstören (z.B. ein Angriff mit
Ransomware).
Treasurer sollten sich daher auch über die Backup- und Notfallpläne der IT-Abteilung
für die wichtigen, vom Treasury-Team genutzten IT-Systeme informieren. Aus diesen
Plänen geht hervor, welche Systeme von der IT verwaltet werden, wie oft Daten
gesichert werden und was im Falle einer Katastrophe passiert. Dazu zählen z.B. auch
Offline-Zeiten, die Wahrscheinlichkeit von Datenverlusten und die Prioritäten bei der
Wiederherstellung von Daten. Treasurer sollten diese Bestimmungen kennen und
internalisieren.
Zusätzlich bietet sich ein Geschäftskontinuitätsplan an, aus dem hervorgeht, wie die
Treasury-Abteilung bei einem Zwischenfall weiterarbeitet, z.B. beim Ausfall eigener,
persönlicher IT-Systeme (PCs, Laptops etc.) oder der Schließung des Gebäudes, in
dem das Team arbeitet.
14
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Versicherungskosten
Aktionäre erwarten von einem Unternehmen, dass es seine Interessen verteidigt und
entsprechende Maßnahmen einführt, um auch die Anteile der Aktionäre zu sichern.
Aus diesem Grund haben die meisten Unternehmen beim Thema Cyberbetrug
auch entsprechenden Versicherungsschutz. In den einzelnen Unternehmen sollte
abgewogen werden, wie hoch das Risiko ist, und die Hauptrisiken abgesichert werden.
Zu den großen Risiken, die eine gute Versicherung abdeckt, zählen u.a.: Verlust,
Beschädigung oder Veränderung eigener Daten.
Gerichtskosten
Technische Unterstützung bei der Wiederherstellung von Systemen und Daten
Den Versicherungsträgern gegenüber sollte Offenheit an den Tag gelegt werden und
diese regelmäßig über die Infrastruktur auf dem Laufenden gehalten werden, so dass
diese eine Einschätzung darüber abgeben können, wann ein hoher Versicherungsanspruch entstünde. Dabei sollte auch sichergestellt werden, dass die Prozesse
zwischen Versicherer und Underwriter genau verstanden und berücksichtigt werden.
Es sollte nicht nur eine Absicherung gegen die Folgen eines Vorfalls erfolgen, sondern
auch gegen die Ursachen, z.B. Datenklau oder Zahlungsbetrug. Alle Mitarbeiter sollten
wissen, was genau abgesichert ist. Dabei geht es nicht nur um finanzielle Risiken,
sondern auch um Schaden, der durch Rufschädigung entsteht. Das ist in den meisten
Unternehmen heutzutage Standard.
Ein Krisenplan zum Umgang mit möglichen Cyberangriffen auf das System ist
auf jeden Fall sinnvoll. Das ist auch oft eine Vorgabe der Versicherungen. Auch
gesetzliche Auflagen sollten im Auge behalten werden.
Krisenplan
Alle Unternehmen sollten einen Krisenplan besitzen, auf dessen Grundlage schnell
auf große Risiken oder Vorfälle, darunter auch Cyberbetrug, reagiert werden kann.
Darin sollten verschiedene Szenarien berücksichtigt werden und entsprechende
Zuständigkeiten genau festgelegt sein.
In der Vergangenheit hat sich gezeigt, dass effektive Pläne zur Krisenbewältigung der
entscheidende Faktor sein können, ob ein Unternehmen großen Schaden davonträgt
oder sich rasch erholt und keinen Vertrauensverlust bei den Kunden hinnehmen muss.
Ein Haupt- und ein Zweitansprechpartner der Treasury-Abteilung sollten im Rahmen
des Krisenplans berücksichtigt sein und aktiv hinzugezogen werden.
15
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
VI REAKTION AUF CYBERBETRUG
Bei einem bestätigten Betrugsfall sollten Mitarbeiter unverzüglich das Krisenteam des
Unternehmens informieren.
Cyberbetrug nutzt meistens die Masche, dass etwas dringend erledigt werden muss. Unternehmen müssen solche Betrugsversuche daher erkennen und
schnell eingreifen.
Wer einen der oben genannten Tricks oder etwas anderes entdeckt, das ihm ungewöhnlich erscheint, sollte sofort das IT-Supportteam vor Ort kontaktieren und
den Fall melden. Ein Experte hilft dann, die Situation zu beurteilen und festzustellen, ob die Bedenken berechtigt sind oder ein größeres Problem vorliegt.
Manche von langer Hand geplanten Angriffe ziehen sich unter Umständen über
Wochen oder sogar Monate hin. Daher sollte man bei mehreren suspekten
Anfragen, Aktivitäten oder Unregelmäßigkeiten (z.B. unausgeglichenen Salden)
hellhörig werden.
Die Kommunikation nach außen mit Kunden, Mitarbeitern und Geschäftspartnern
sollte das Krisenteam übernehmen. Es ist wichtig, dass die richtige Botschaft auf
die richtige Art kommuniziert wird, um finanzielle Verluste einzudämmen und einem Ansehensverlust vorzubeugen.
16
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
VIIFAZIT
Dieser Artikel soll nicht dazu dienen, genaue Anweisungen im Fall von Cyberbetrug zu
geben. Ich bin (a) kein IT-Experte und (b) gibt es Experten, die sich viel besser mit der
Materie auskennen.
Es war jedoch mein Anliegen, jene Bereiche im Treasury herauszuarbeiten, die meines
Erachtens nach von Betrugsmaschen betroffen sind. Ich bin der Meinung, dass es
wichtig ist, sich mit diesem Thema auseinanderzusetzen und Treasurer dafür zu
sensibilisieren.
Ich hoffe auf jeden Fall, dass Treasurer diesen Artikel lesen und ihre Kernprozesse,
inklusive dem Zahlungsverkehr, noch einmal kritisch prüfen, sollte das nicht bereits
erfolgt sein.
Es ist ein interessanter Punkt, dass die Technik die treibende Kraft im Cyberbetrug
ist. Gleichzeitig spielt Technik auch bei der Bekämpfung von Cyberbetrug eine
wichtige Rolle!
Wir als Treasurer sind gleichzeitig das schwächste Glied und die wertvollste
Ressource!
Zu diesem Whitepaper haben beigetragen:
Lloyds Bank
Get Safe Online
Action Fraud
Wolseley IT
17
Die Bedeutung von Cybercrime in Treasury | Royston Da Costa | Mai 2016
Royston Da Costa arbeitet seit über 25 Jahren im Bereich Treasury. Im
April 2002 stieß er als Group Assistant Treasurer zu Wolseley, wo er für
die Verbindlichkeiten und liquiden Mittel des großen internationalen
Konzerns zuständig war.
Im Jahr 2010 übernahm er die Verantwortung für die Treasury Systeme und
Entwicklung von Wolseley und führte mehrere Systeme ein, die die TreasuryProzesse des Konzerns automatisierten und mit SWIFT-Dateien im MT940Format für mehr Cash-Transparenz sorgten.
2014 unterstützte er das Unternehmen bei der
Umsetzung von SEPA und EMIR, und 2015 führte
er ein neues Treasury Management System von
BELLIN ein.
Royston Da Costa ist für die strategischen
Überlegungen im Zusammenhang mit
Treasury Systemen zuständig und kümmert
sich um Ad-hoc-Projekte im Bereich Treasury.
Er hat eine ACT-Zertifizierung in International
Treasury Management. Zu seinen früheren
Stationen zählen Sky, Gillette und
Vivendi Universal.
18
BELLIN. Treasury that Moves You.
bellin.com
BELLIN GmbH
BELLIN Treasury Services Ltd.
BELLIN Treasury Alliance Ltd.
Tullastraße 19
77955 Ettenheim, Germany
+49 7822 4460-0
Suite 1022 - 470 Granville Street
Vancouver, BC V6C 1V5, Canada
+1 604 677 2593
111 Buckingham Palace Rd.
London, SW1 0SR, United Kingdom
+44 20 7340 8650
welcome@bellin.com