Cash-Management: Hack Me If You Can

Autor: Philip Tüttö

Das Bewusstsein für die Gefahr krimineller Manipulation und Cyberattacken ist in Unternehmen enorm gestiegen, die Sicherheitsvorkehrungen ebenfalls. Wir testen, ob diese in allen Facetten den Anforderungen genügen.

Ob Mittelstand oder Großkonzern, ob Familienunternehmen oder Aktiengesellschaft – kein CFO möchte seinen Stake- und Shareholdern erklären müssen, wie Kriminelle Geld im Zahlungsverkehr abzweigen konnten. Aus diesem Grund durften wir in den letzten Jahren sehr viele Unternehmen bei der Überprüfung der Sicherheitsstandards im Zahlungsverkehr unterstützen. Im Rahmen unserer Projekte und im Verlauf der Zeit konnten wir einige Entwicklungen beobachten, die zeigen, dass das Thema keine Eintagsfliege ist. Vielmehr wird der Sicherheitsgedanke zukünftig eine wichtige Rahmenbedingung des täglichen Handelns sein. Bei vielen Treasurern stehen Aktivitäten zur Erhöhung der Sicherheit nach wie vor unter den Top-drei-Zielen für das kommende Jahr.

Was bisher geschah

Die Sensibilisierung auf Betrugsversuche hat sich auf Seiten der involvierten Mitarbeiter stark verändert. Mussten wir vor drei Jahren noch erklären, dass man unter „CEO Fraud“ nicht „Veruntreuung des Managements“ versteht, gehört das heute zum Basiswissen des Treasurers. Inzwischen wird auch schon penibel auf Phishing-E-Mails geachtet und zweifelhafte E-Mail-Anhänge werden erst gar nicht geöffnet. Viele unserer Kunden führen hierzu regelmäßig Trainings durch. In unseren Prozessanalysen sehen wir inzwischen immer häufiger Checks und Balances, die unter großem Aufwand eingeführt wurden. Leider sind diese oft nur von geringer Wirkung, etwa wenn das Vier-Augen-Prinzip an allen erdenklichen Stellen eingeführt ist, aber an wesentlichen Kontrollpunkten umgangen werden kann. Das liegt meist daran, dass Prozessverbesserungen immer nur aus dem Blickwinkel der jeweiligen Abteilungen bzw. Bereiche betrieben werden, der Gesamtprozess jedoch wenig Beachtung findet. Weitere Sicherheitsmaßnahmen, die wir beobachten können: Einzelzeichnungsberechtigungen sowie beleghafte Zahlungen sind am Verschwinden. Die Unternehmen bauen ihre Workflows systemgestützt und stringent auf und verhindern so, dass Angreifer falsche Kontodaten oder gar Fake-Rechnungen einschleusen können. Auch auf der Software-Ebene erleben wir einen klaren Trend: Heterogene Systemlandschaften und bankenspezifische Electronic-Banking-Systeme werden sukzessive zusammengeführt bzw. durch unabhängige, multibankfähige Zahlungsplattformen abgelöst. Da manche Banken wenig Augenmerk auf die Weiterentwicklung der eigenen Banking-Plattform legen (was sich dann nicht nur in den Funktionalitäten, sondern auch durchaus in Sicherheitsaspekten widerspiegeln kann), bedienen sich Unternehmen zunehmend unabhängiger Anbieter.

Auch Angreifer haben sich weiterentwickelt

Aber auch Angreifer setzen auf Spezialisierung und Professionalisierung. Während sie in der Vergangenheit eher die „breite Masse“ attackierten, sind immer häufiger zielgerichtetere Angriffe beobachtbar. Betrüger analysieren die Zielunternehmen über einen langen Zeitraum und verschaffen sich Kenntnis über Prozesse, involvierte Personen und Kommunikationskultur. Teilweise verschaffen sich die Kriminellen sogar physisch Zutritt zu den Räumlichkeiten der Unternehmen, um eigene Hardware-Komponenten einzuschleusen. Diese ermöglichen dann einen externen Zugriff auf das Netzwerk des Opfers (diese Art der Attacke wird „DarkVishnya“ genannt). Dass nicht nur Unternehmen, sondern auch Banken im Fokus stehen, zeigte eine Ende 2018 öffentlich bekannt gewordene Attacke, die einige osteuropäische Banken zum Ziel hatte.

Wir greifen an, wenn es sein muss

Mitarbeiter, Prozesse, Systeme und Sicherheitsvorkehrungen halten trotz hoher Sicherheitsstandards dem Ernstfall jedoch oft nicht stand. Das sehen wir in unseren Projekten, wenn wir auf Wunsch des Kunden konkrete Angriffe simulieren: Das Vier-Augen-Prinzip wurde bei der Freigabe von Zahlungen eingehalten, nicht aber bei der Erfassung von Stammdaten; Rechnungen wurden nicht über den elektronischen Workflow-Prozess in den Zahllauf gebracht, sondern über eine getürkte E-Mail-Anweisung; oder es reichte ein schlichter „Zuruf “ von einer gefälschten E-Mail-Adresse, um Gehaltszahlungen auf eine andere Bankverbindung zu überweisen. Es lohnt sich also, die Prozesse und Systeme einem realitätsnahen Härtetest zu unterziehen. Wir haben dafür ein Set an Betrugsmaschen erarbeitet, das dann je nach Situation zum Einsatz kommt. Wie viel Zeit und Intensität wir in diese Angriffsversuche investieren, entscheidet der Kunde.

Den Ernstfall simulieren

Schwabe, Ley & Greiner hat ein „handfestes“ Produkt entwickelt, mit dem Unternehmen den Ernstfall testen können: Ist das Unternehmen gegen Attacken im Zahlungsverkehr gewappnet? Auf Wunsch des Kunden nehmen wir die Rolle des Angreifers ein und simulieren konkrete Betrugsfälle. Wir haben eine Reihe von „Penetration-Tests“ definiert, die je nach Ausprägung Ihrer Systeminfrastruktur bzw. nach Ausrichtung der Treasury-Funktion zur Anwendung kommen können. Dabei arbeiten wir mit einem renommierten Partner im IT-Bereich zusammen, der sich auf qualitativ hochwertige Sicherheitsüberprüfungen spezialisiert hat. Somit können wir die gesamte Klaviatur der technischen Möglichkeiten bespielen.


Mehr über dieses Thema erfahren Sie auf unserer Website oder am 31. Finanzsymposium am Treasurer-Forum zum Thema „Was kommt nach dem CEO-Fraud und wo liegen die neuen Hacking-Ziele?“.


Der Autor:

 

 

 

 

 

 

 

 

Philip Tüttö
Partner bei Schwabe, Ley & GreinerSeit September 2012 ist der gebürtige Oberösterreicher als Berater bei Schwabe, Ley & Greiner tätig. Sein Aufgabengebiet umfasst u. a. Fragestellungen im Bereich Unternehmensfinanzierung, Abläufe in der Treasury-Organisation und die Sicherheit und Effizienz im unternehmensweiten Zahlungsverkehr von weltweit agierenden Industrieunternehmen.Seit 2017 teilt er sich neben seiner Tätigkeit in der Beratung mit Geschäftsführer Jochen Schwabe die Betreuung unserer Kunden in Deutschland. Durch seine Selbstständigkeit und gewinnende Art wurde uns schnell klar, wie wichtig er für die Zukunft der Firma ist und wurde im September 2018 mit sofortiger Wirkung in den Partnerkreis von SLG aufgenommen.
ZURÜCK