Cyberbedrohungen sind kein Scherz. Sie können nicht einfach ignoriert werden und das Treasury-Department ist besonders oft ein Ziel. Der CEO Survey 2020 von PwC zeigt, dass Internetangriffe in allen Branchen zu den fünf grössten Sorgen der CEOs gehören. Letztes Jahr nahmen sie noch Platz 5 ein, dieses Jahr sind sie eine Stufe nach oben gerückt. Der COVID-19-Ausbruch hat die Gefahr noch verstärkt: Mit dem Übergang des Geschäftsbetriebs zu vermehrtem Arbeiten von zu Hause (Homeoffice) finden Angreifer neue Sicherheitslücken, die sie ausnutzen können.

Der Betrug im Zahlungsverkehr ist zwar die offensichtlichste Angriffsart, aber bei Weitem nicht die einzige. In Treasury finden sich nicht nur Unternehmensfinanzen, sondern auch Daten – und ein potenzieller Zugang zu der allgemeinen Infrastruktur des Unternehmens. Als Treasury-Spezialist müssen Sie die gängigen Bedrohungen kennen und wissen, wie Sie die Finanzen Ihres Unternehmens schützen und verteidigen können.

Gängige Cyberbedrohungen, die Treasurer kennen sollten

Zunächst sollten Sie wissen, auf was Sie achten müssen. Das sind die häufigsten Cyberbedrohungen:

Mit Social Engineering werden Personen dazu missbraucht, jemandem persönliche Informationen weiterzugeben, den sie als bekannt und vertrauenswürdig erachten. Diese Angriffe erfolgen über Kanäle, die Einzelpersonen direkt miteinander verbinden, beispielsweise E-Mails, SMS, Instant-Messaging-Nachrichten, Nachrichten in sozialen Medien und Telefonanrufe. Häufig sind sie Vorläufer eines anderen späteren Angriffs. Häufige Social-Engineering-Angriffe sind:

  • Phishing – ein Angriff, der dazu dient, Benutzerdaten wie Anmeldedaten oder Kontoinformationen zu stehlen. Angriffe können über E-Mail, Instant Messaging, SMS, soziale Medien oder das Telefon erfolgen und scheinbar von Freunden, Kollegen, Lieferanten oder aus anderen legitimen Quellen stammen.
  • Business Email Compromise (BEC) – eine Form von Phishing, bei der ein E-Mail scheinbar von einer vertrauenswürdigen Quelle stammt, z. B. einem regelmässigen Lieferanten, und versucht, einen Mitarbeiter, der Zugriff auf Finanzmittel eines Unternehmens hat,  zu überzeugen, Geld auf ein vom Angreifer kontrolliertes Bankkonto zu überweisen. Beispielsweise wird eine gefälschte überfällige Rechnung mit der Aufforderung zur sofortigen Zahlung auf das Konto mit der auf der Rechnung angegebenen «aktualisierten» Kontonummer gesendet.
  • Telefonbetrug – eine Methode, die häufig darauf zurückgreift, die Angerufenen in Angst zu versetzen und so persönliche Informationen oder Geld vom Opfer zu erhalten. Beispielsweise wird vorgegeben, dass der Anrufer bei Microsoft arbeitet und ein Problem auf dem Computer des Opfers festgestellt wurde. Dann wird der Angerufene gebeten, dem Help-Desk-Vertreter Fernzugriff zu gestatten. Häufig wird auch behauptet, dass ein Enkel oder eine Enkelin im Gefängnis sitzt und man seine Kontodaten angeben muss, um eine Kaution zu hinterlegen.

Ransomware-Angriffe blockieren  den Zugriff auf Unternehmenssysteme und geben die Daten erst nach Zahlung eines Lösegelds wieder frei. Die Attacke erfolgt über Malware, die die Dateien des Opfers verschlüsselt, wodurch nur noch der Angreifer Zugriff hat. Diese Malware wird üblicherweise mit einem Phishing-Angriff in das System gebracht, mit dem beim Anklicken eines Links in einem E-Mail, in einer SMS oder einer Instant-Messaging-Nachricht der Computer oder das Mobiltelefon des Opfers infiziert wird.

Bei einer Firmenkonto-Übernahme stiehlt ein Angreifer die Anmeldedaten eines Mitarbeiters, um auf das Bankkonto des Unternehmens zuzugreifen. Ist der Angreifer einmal angemeldet, kann er betrügerische Transaktionen wie ACH-Zahlungen oder Überweisungen an Konten durchführen, die speziell zu diesem Zweck eingerichtet wurden und üblicherweise direkt danach geschlossen werden, bevor die betrügerischen Aktivitäten entdeckt oder blockiert werden.

Wesentliche Schritte zum Schutz Ihres Geschäfts

Wissen ist Macht. Jede Person mit Zugriff auf Treasury-Systeme und -Daten muss die wichtigsten Anzeichen für einen Angriff kennen und bereit sein, zu handeln (oder, wie meist erforderlich, NICHT zu handeln). Öffnen Sie keine verdächtigen E-Mails. Klicken Sie Anhänge nicht an. Führen Sie keine Transaktionen durch, ohne dass mindestens eine weitere Person zur Bestätigung Ihrer Handlungen anwesend ist.

Vor ein paar Monaten haben wir einen Blogbeitrag zu Betrug im Zahlungsverkehr und zur Bedeutung von Sanktionsprüfungen veröffentlicht, in dem wir uns mit den wichtigsten Schritten zur Erkennung betrügerischer Aktivitäten und zum Schutz Ihrer Organisation befasst haben. Manche dieser Schritte müssen unternehmensweit unternommen werden und bei der IT beginnen. Einige können jedoch speziell in Treasury zum Schutz der Finanzen Ihres Unternehmens eingeleitet werden.

  1. Zwang zu sicheren Passwörtern – Alle für Treasury-Systeme genutzten Passwörter sollten mindestens acht Zeichen lang sein und sowohl aus Gross- und Kleinbuchstaben als auch aus Ziffern und Sonderzeichen bestehen. Es muss verpflichtend sein, regelmässig ein neues Passwort festzulegen. Teilen Sie niemals Ihr Passwort mit anderen, egal aus welchem Grund.
  2. Aufmerksam sein – Lesen Sie Ihre E-Mails sorgfältig. Oft kann ein gefälschter E-Mail-Absender leicht an den «Antwort an»-Absenderinformationen erkannt werden, oder das betrügerische E-Mail fällt aufgrund äusserst schlechter Grammatik und Rechtschreibung auf. Wenn etwas verdächtig erscheint, sollten Sie die Anfrage über einen anderen Kanal mit dem Absender klären.
  3. Zahlungsaufträge validieren – Lassen Sie sich neue oder aktualisierte Zahlungsanweisungen bestätigen, bevor Sie handeln. Verlassen Sie sich nicht auf den Auftraggeber oder seine Angaben, sondern bestätigen Sie diese auf unabhängige Weise. Wenn jemand eine Telefonnummer angibt, die angeblich die Nummer seiner Bank ist, sollten Sie die Telefonnummer direkt nachschlagen.
  4. Das Vier-Augen-Prinzip befolgen – An jeder Transaktion mit neuen oder abweichenden Informationen muss ein Genehmiger beteiligt sein.
  5. Getrennte Konten führen – Eingehende und ausgehende Gelder sollten auf getrennten Konten mit separaten Zugriffsrechten liegen. Dies dient auch der allgemeinen Barmitteltransparenz.
  6. Filter implementieren – Stellen Sie sicher, dass Ihre Bank, Ihr Zahlungsanbieter oder Ihr Bankkonnektivitätsanbieter über Filter zur Validierung von Nachrichten und Transaktionen verfügt und Sanktionsprüfungen durchführt.
  7. Checks vermeiden – Es ist für Betrüger vergleichsweise einfach, Informationen auf Checks zu manipulieren. Nutzen Sie wenn möglich elektronische Zahlungsmethoden und -wege.

Unternehmen entscheiden sich nicht nur wegen unserer marktführenden Multibanking-Lösungen für Fides, sondern auch, weil sie uns vertrauen. Fides schützt seit über einem Jahrhundert Kundendaten. Wenn Sie mit Fides arbeiten, können Sie sich darauf verlassen, dass wir über die neuesten Standards und Prozesse für die optimale Sicherheit Ihrer Transaktionen verfügen.

Weitere Informationen zum Schutz Ihrer Organisation vor Betrug im Zahlungsverkehr finden Sie in unserem Blogbeitrag «Sicherheit und Konformität im Treasury: So lässt sich das Betrugsrisiko im Zahlungsverkehr minimieren