10. Juni 2021
Betrüger im Zahlungsverkehr werden immer cleverer. Für den bestmöglichen Schutz sollten Treasurer an drei Ebenen ansetzen – und sich niemals sicher fühlen. Dieser Artikel wurde in der Print-Ausgabe von DerTreasurer als Gastbeitrag von Christof Hofmann am 10. Juni 2021 erstmalig veröffentlicht.
Von Christof Hofmann
Für Cyber-Kriminelle herrschen derzeit fast paradiesische Zustände: Noch immer arbeiten viele Treasury-Mitarbeiter im Home Office, der Austausch untereinander erfolgt oftmals über digitale Kanäle. Das begünstigt Betrug im Zahlungsverkehr, denn eine digitale Kommunikation ist für Kriminelle deutlich einfacher zu manipulieren als Gespräche von Angesicht zu Angesicht.
Erschwerend kommt hinzu, dass bei vielen Unternehmen die globalen Lieferketten immer vielfältiger werden. Konzerngelder liegen in unterschiedlichen Jurisdiktionen. Wenn Kriminelle dort Gelder erbeuten können, ist das in den meisten Fällen zwar nicht existenzgefährdend für die Firmen. Doch selbst kleinere Verluste durch Betrug sind nicht nur ärgerlich, sondern werfen ein schlechtes Licht auf die Cash-Management- und Treasury-Verantwortlichen. Sie müssen sich fragen lassen, ob sie die richtigen Kontrollen implementiert haben.
In diesem Umfeld wird es für Treasurer noch wichtiger, sich vor Angreifern zu schützen. Deren Methoden werden immer cleverer, weshalb die Unternehmen sich rüsten sollten. Ansatzpunkte gibt es dafür einige.
Die erste Ebene der Betrugsprävention betrifft Prozesse und Zugriffsrechte: Die Unternehmen sollten genau prüfen und erfassen, welche Mitarbeiter die Möglichkeit haben, Kontodaten zu ändern oder Einzelzahlungen zu erfassen. Diese Mitarbeiter sollten entsprechend geschult und immer wieder für die neusten Betrugsszenarien sensibilisiert werden.
Auf dieser Prozessebene lag bisher der größte Fokus. Viele Treasury-Teams haben hier in den vergangenen Jahren bereits gute Fortschritte erzielt. Das äußert sich etwa in den zahlreichen Zentralisierungsprojekten, mit denen Unternehmen die Zahl der Konten und der Berechtigten verringern – und damit auch potentielle Einfallstore für Angreifer schließen.
Nachholbedarf gibt es dagegen noch auf der zweiten Ebene: Der Einsatz von technologischer Unterstützung, um Betrug zu vermeiden. So kann es beispielsweise helfen, Zahlungsdaten systematisch auszuwerten und gewisse Regeln zu definieren, bei denen eine zusätzliche Freigabeschleife eingezogen wird. Eine manuelle Prüfung der Zahlung macht etwa dann Sinn, wenn ein Lieferant das erste Mal bezahlt wird, bestimmte Betragsgrenzen überschritten werden oder in gewisse Länder gezahlt wird.
Dieses Prüfverfahren lässt sich weiter verfeinern, wenn die Unternehmen nicht nur eigene Zahldaten nutzen können, sondern auch von Erfahrungen anderer Firmen profitieren. Es gibt inzwischen erste Anbieter, die auf dieses sogenannte Community Screening setzen: Dabei untersucht eine Software, ob es bei ähnlichen Zahlungen bereits Auffälligkeiten gab. Falls ja, wird das Unternehmen gewarnt und kann erneut prüfen.
Die dritte Defense-Line gegen Betrug erfolgt bei der ausführenden Bank: Auch hier können Unternehmen eine regelbasierte Prüfung von Zahlungen vereinbaren. Diese Ebene setzt nicht bei ERP- oder TMS-Daten an, sondern direkt in den Systemen der Bank. Sollten Unternehmensdaten kompromittiert sein, böte dies zusätzlichen Schutz. Dennoch ist die Arbeit in Sachen Betrugsprävention niemals erledigt. Es gilt stets wachsam zu bleiben und die neuesten Entwicklungen zu verfolgen – denn die Kriminellen tun es auch.
Christof Hofmann ist Global Head of Corporate & Payment Solutions bei der Deutschen Bank in Frankfurt am Main.
christof.hofmann@db.com
