Sicherheit im Zahlungsverkehr

Cyber Attacke
Bild: CasPhotography | Getty Images

Der klassische "CEO Fraud" war erst der Anfang, die Betrugsmaschen werden raffinierter und der Zahlungsverkehr von Unternehmen steht immer stärker im Fokus von Betrügern. Eine aktuelle Studie zum Thema.

Das Beratungsunternehmen Schwabe, Ley & Greiner hat im Juni 2017 eine Umfrage durchgeführt, um konkrete Angriffsvektoren und Betrugsfälle zu erfassen und um einen aktuellen Einblick in die Lage zur Sicherheit im Zahlungsverkehr zu gewinnen.

Die Studie, unterstützt vom Verband Deutscher Treasurer, umfasst die Erfahrungen von mehr als 400 Unternehmen in Deutschland, Österreich und in der Schweiz. Die Umfrage ist anonym durchgeführt worden, damit keine Hemmschwellen bestehen, mit Informationen aus dem eigenen Unternehmen zur Sensibilisierung und Prävention beizutragen.

Bekannt ist, dass die Dunkelziffer der Attacken und Betrugsfälle deutlich höher liegt, als die gemeldeten und publizierten Vorfälle. Die vorliegende Studie leisten auch einen Beitrag dazu, die tatsächlich erfolgten Attacken und die Zahl der betroffenen Unternehmen zu verifizieren.

Wie kritisch ist die Lage wirklich?

Die Lage ist ernst, wie der Anteil der Unternehmen zeigt, die von Cybercrime und Betrugsversuchen im Zahlungsverkehr betroffen waren oder sind:

  • Ja, mehrfach: 63 Prozent
  • Ja, ein Mal: 15 Prozent
  • Nein: 20 Prozent
  • Keine Angaben: 1 Prozent

Unternehmen mit einem jährlichen Umsatz in der Grössenordnung zwischen 500 Millionen bis 10 Milliarden Euro scheinen für Cyberkriminelle besonders attraktive Ziele zu sein. 90 Prozent der Unternehmen in dieser Gruppe sehen sich Cyberangriffen ausgesetzt. Kleinere Unternehmen sind nicht geschützt, scheinen jedoch für Betrüger etwas weniger stark im Fokus zu stehen.

Die Betrugsmuster werden zunehmen raffinierter, auch das BKA (Bundeskriminalamt) geht von einer weiteren Professionalisierung der Angriffe aus:

Polizeiliche Ermittlungsergebnisse deuten zudem darauf hin, dass Täter im Bereich Cybercrime sich zunehmend professionalisieren, indem sie ihre Vorgehensweise ständig verfeinern und flexibel aktuellen Gegebenheiten anpassen.“
 

Die attackierten Abteilungen

Die Attacken auf den Zahlungsverkehr richten sich im Ausgangspunkt nicht ausschliesslich gegen Finanzressorts, auch andere Abteilungen sind betroffen:

  • Rechnungswesen/Buchhaltung: 41 Prozent
  • Finanzen/Treasury: 21 Prozent
  • Geschäftsführung: 11 Prozent
  • Sonstige Abteilungen: 6 Prozent
  • Vertrieb:3 Prozent
  • Einkauf: 2 Prozent
  • Controlling: 2 Prozent
  • Keine Angaben: 13 Prozent

Zu den beliebten Angriffspunkten gehören nach Angaben der Teilnehmer auch Tochtergesellschaft. Zudem sind Unternehmen auch indirekt betroffen – durch Angriffe auf ihre Banken, zum Beispiel mit gefälschten Überweisungsaufträgen.

Die aktuellen Betrugsmaschen

Der grösste Anteil der Angriffe folgt aktuell nach wie vor dem bekannten Muster des "CEO Fraud", allerdings beginnen auch Betrüger zu diversifizieren.

  • Gefälschte Anweisung durch Vorgesetzte: 57 Prozent
  • Gefälschte eigehende Rechnungen: 11 Prozent
  • Gefälschte Kontoänderung (Lieferant): 8 Prozent
  • Andere Formen von Cybercrime: 4 Prozent
  • Manipulation ausgehender Rechnungen: 4 Prozent
  • Eindringen in Zahlungssysteme: 2 Prozent
  • Erpressung: 1 Prozent
  • Keine Angaben: 14 Prozent

Interessant ist der Punkt der „anderen Formen von Cybercrime“ – analoge und klassische Betrugsversuche, innerhalb und jenseits von Cybercrime, spielen nach wie vor eine Rolle. Zum Beispiel Unterschriftsfälschungen auf Zahlscheinen oder Fax-Anweisungen, unberechtigte Lastschrifteinzüge oder Schein-Förderprogramme, die Vorauszahlungen einfordern. Generell ist Einfallsreichtum vorhanden, mögliche Lücken werden gefüllt und Schwachstellen sofort getestet.

Der finanzielle Schaden

Das Erfreuliche vorab: Drei Viertel der betroffenen Unternehmen konnten die Angriffe abwehren. Dennoch beunruhigend: 9 Prozent der Unternehmen haben tatsächlich einen finanziellen Schaden durch die Cyberangriffe erlitten.

Zudem, und nicht zu unterschätzen, konkrete Abwehrmassnahmen, intelligente technische Systeme, laufende Überwachung oder auch Schulungsaufwände sind ebenfalls mit erheblichen Kosten und finanziellen Auswirkungen verbunden.

Anzeige oder nicht?

Von den attackierten Unternehmen haben lediglich 40 Prozent die Angriffe zur Anzeige gebracht. Die angezeigten Fälle konnten nur zu 7 Prozent aufgeklärt werden, der weitaus grössere Teil bleibt ungeklärt, zu einem Teil ist der Ausgang der Ermittlungen noch offen oder nicht bekannt.

Die geringe Zahl der Anzeigen dürfte teilweise auch damit zusammenhängen, dass geschädigte Unternehmen nicht zum Medienthema werden und ihre Reputation als sicherer und zuverlässiger Partner gegen aussen nicht aufs Spiel setzen möchten.

Massnahmen und Investitionen in die Sicherheit

Um sich besser gegen Cybercrime zu rüsten, haben 83 Prozent der befragten Unternehmen in den letzten zwei Jahren in die Erhöhung der Sicherheit investiert. Konkret in diesen Bereichen:

  • Schulungsmassnahmen: 67 Prozent
  • Prozessverbesserungen: 54 Prozent
  • IT-Technik: 37 Prozent
  • Sicherheits-Tests: 12 Prozent
  • Andere: 2 Prozent
  • Keine Massnahmen: 1 Prozent
  • Keine Angaben: 16 Prozent

Der hohe Anteil von Investitionen in Schulungsmassnahmen zeigt, dass der Sensibilisierung von Mitarbeitern sehr viel Wert beigemessen wird. Die Schwachstelle "Mensch" gehört nach wie vor zu den Bereichen mit Optimierungspotenzial.
Der Kampf wird weitergehen und Investitionen in die Sicherheit werden verstärkt zum festen Bestandteil von Investitionsbudgets.

Fazit

Die Studie bestätigt, dass das Thema "Cyberangriffe im Zahlungsverkehr" eine sehr viel grössere Rolle spielt, als allgemein bekannt ist und publik wird. Die Dunkelziffer der tatsächlich erfolgten Angriffe liegt deutlich höher, als die zur Anzeige gebrachten Fälle. Der Anteil der bisher betroffenen Unternehmen ist mit 78 Prozent alarmierend hoch.

Die Studie mit zahlreichen weiteren Fakten sowie notwendige und mögliche Massnahmen zur Abwehr sind am 19. September 2017 präsentiert worden – an der Fachkonferenz „The Future of Cash Management“ in Mannheim.

Als Mediapartner der Fachkonferenz hat unsere Redaktion vorab exklusiv einen Einblick in die Umfrageresultate erhalten. Unser Artikel bringt eine Zusammenfassung der zentralen Ergebnisse.

Die Studie kann hier kostenlos angefordert werden:

Wer ist Schwabe, Ley & Greiner?

Das Beratungsunternehmen im Bereich Finanz- und Treasury-Management besteht seit 1988 und betreut mit rund fünfzig Mitarbeitern Industrieunternehmen, Banken, Versicherungen und Einrichtungen der öffentlichen Hand. Neben Beratungsleistungen und Ausbildungsprogrammen für Treasurer und Finanzverantwortliche, organisiert Schwabe, Ley & Greiner jährlich auch die Fachkonferenz "The Future of Cash Management" sowie den Fachkongress "Finanzsymposium" in Mannheim.

Schwabe, Ley & Greiner: Wie sicher ist Ihr Zahlungsverkehr? | Studie kostenlos anfordern