5 Regeln zum Schutz vor Zahlungsverkehrsbetrug
Der Druck auf das Corporate Treasury wächst: Betrug im Zahlungsverkehr nimmt zu, Sicherheitsanforderungen wachsen, Unternehmen suchen nach verbindlichen Regeln, um sich vor Zahlungsverkehrsbetrug zu schützen. Die Ereignisse in den vergangenen Jahren – Betrugsfälle in Millionenhöhe bei Unternehmen wie dem österreichischen Luftfahrtzulieferer FACC oder dem deutschen Automobilzulieferer Leoni – zeigen, dass es verschiedene Wege gibt, wie Zahlungen manipuliert werden können. Gleichzeitig verschärfen Banken ihre Anforderungen an Firmen im Hinblick auf die Compliance, geraten sie doch selbst zunehmend unter Druck, Geldwäsche-Prävention und regulatorische Anforderungen bankenweit umzusetzen. Mehr Sicherheit und bessere Kontrolle müssen her, und das an der Stelle, wo alle Zahlungen zusammenlaufen: Das Corporate Treasury ist gefragt. Das Corporate Treasury ist die Adresse, wenn es um den Schutz vor Zahlungsverkehrsbetrug geht.
Oft wird unter dem Begriff „Payment Fraud“ alles zusammengefasst, was irgendwie mit Zahlungsverkehrs-Compliance zu tun hat: betrügerische Zahlungen, interne Manipulation, Datenklau, illegale Zahlungen, Verstöße gegen Embargos und Sanktionen. Hier muss man differenzierter hinschauen, um zu sehen, wo das Treasury sinnvoll ansetzen kann.
Von Payment Fraud, also Zahlungsverkehrsbetrug im eigentlichen Sinne spricht man, wenn Geld von Konten „gestohlen“ wird: Oft begünstigt durch Insider-Wissen entstehen dem Unternehmen nicht selten immense Verluste, wenn es zu Zahlungen verleitet wird, die dann für immer verschwunden sind.
Externer Zahlungsverkehrsbetrug – die CEO-Masche
Besonders prominent werden seit einiger Zeit externe Betrugsfälle und -maschen diskutiert, wie der CEO-Fraud bzw. „Fake President“-Trick, bei dem Personen im Unternehmen höchstpersönlich vom vermeintlichen CEO unter dem Deckmantel der Verschwiegenheit und mit Betonung der höchstmöglichen Dringlichkeit angewiesen werden, Zahlungen auszuführen. Seien es eine zeitkritische, noch streng geheime Akquisition oder eine dringliche Liquiditätsanforderung der Muttergesellschaft – die Zahlungsausführenden werden bewusst hinters Licht geführt, meist mit täuschend echten E-Mails oder Anrufen. Meist liegt der Betrugsmasche ein gewisses Maß an Insider-Wissen zugrunde, wenn die Betrüger den richtigen Ton, die passenden Kanäle und die entsprechenden „vertrauenswürdigen“ Opfer im Unternehmen ausspähen.
Können in Unternehmen solche Zahlungen ausgeführt werden, zeigt dies meist, dass Compliance und Prozess- bzw. Workflow-Richtlinien fehlen. Hier hilft es, Prozesse nach dem Funktionstrennungs- und dem Mehr-Augen-Prinzip auszurichten und unternehmensweit Konzepte für Unterschriftsberechtigungen zu erarbeiten, schlichtweg um zu verhindern, dass eine Person alleine eine womöglich riesige Summe transferieren kann. Doch selbst wenn Unternehmen solche Prinzipien umgesetzt haben, kann der Betrug nicht verlässlich vermieden werden. Ist das Unternehmen sehr international mit vielen Gruppengesellschaften aufgestellt, so ist die Schwachstelle oft die lokale Gesellschaft – wie auch im Falle von Leoni, wo der lokale Finanzchef in Nordrumänien dem vermeintlichen Mutterkonzern die gewünschte Summe transferierte.
Interner Betrug – Stammdatenmanipulation
Wenngleich öffentlich weniger diskutiert, gibt es sehr oft auch den Fall, dass nicht etwa einmalige betrügerische Zahlungen vorgenommen werden, sondern kleinere Beträge kontinuierlich abgeführt werden, z.B. in Form von Zahlungen an nicht existierende Lieferanten. Vielfach fallen diese Manipulationen – eben wegen der Kleinbeträge – erst sehr spät auf. Betrüger müssen hier Zugriff auf die Stammdaten haben und gleichzeitig auch Prozesse in der Rechnungskontrolle und -freigabe beeinflussen können. Sind in solchen Fällen dann auch noch mehrere Personen als Komplizen in den Betrug involviert, wird das Erkennen solcher Betrugsfälle besonders schwierig. Das Treasury bleibt hier oft außen vor: Es kann im Allgemeinen nicht systematisch prüfen, ob die Daten der Kreditorenzahlungen inhaltlich korrekt sind und nicht eventuell ein fingierter Zahlungsempfänger in den Kreditorenstammdaten hinterlegt wurde. Was kann man also tun, um dem vorzubeugen?
Mit Allow-Lists internem Betrug vorbeugen
Stichprobenhafte Prüfungen können durchaus für mehr Sicherheit sorgen. Was aber besonders in diesen Fällen helfen kann, sind Allow-Lists. Werden unternehmensweit alle Kontoverbindungen erfasst, die als vertrauenswürdig eingestuft werden, können sie als ein Filter zum Schutz vor Zahlungsverkehrsbetrug eingesetzt werden. Die Freigabe der Bankverbindungen für die firmenintern erstellte Positiv-Liste muss natürlich einem sehr strukturierten und sicheren Validierungsprozess folgen, um ein Höchstmaß an Sicherheit im Zahlungsverkehr zu erreichen.
Nur Zahlungen, die an verifizierte Empfänger auf der Allow-List gehen, werden ausgeführt, alle anderen Zahlungen müssen in einem weiteren Schritt geprüft werden. Mit diesem zusätzlichen Sicherheitscheck auf Ebene der Stammdatenanlage im ERP-System wird die finale Zahlungsverkehrsfreigabe im Treasury weniger anfällig für internen Betrug.
Nicht minder wichtig: Illegale Zahlungen vermeiden!
In einem Zuge mit dem Payment Fraud werden vielfach iIlegale Zahlungen genannt, d.h. Finanztransaktionen, durch die ein Unternehmen das Recht eines oder mehrerer Länder bricht. Oft ist es Unternehmen gar nicht bewusst, dass sie Zahlungen an Konten oder in Länder tätigen, die Sanktionen unterworfen sind, weswegen sie ja gerade in diese Falle tappen. Wäre man sich bewusst, dass eine Überweisung an einen Empfänger adressiert ist, der z.B. in Bezug auf Terrorismus auf einer „Black List“ steht, würde diese nicht ausgeführt. Hier kommen Prüfmechanismen wie ein integrierter Abgleich mit Sanktions- und Embargolisten ins Spiel – z.B. von Accuity. Zahlungen, Konten, Empfänger, Verwendungszwecke – eigentlich alle denkbaren Details – können bestimmten Suchalgorithmen unterzogen werden. Auffälligkeiten werden Unternehmen direkt angezeigt, so dass dann das Treasury aktiv weiß, welche Transaktionen womöglich kritisch sind. Durch gezieltes Handeln kann das Risiko von Geldwäsche oder Terroristenfinanzierung drastisch reduziert werden.
Der Druck durch die Banken verschärft sich
Geldwäsche, Terrorismusfinanzierung – sind das nicht eigentlich Themen der Banken? Nicht mehr ausschließlich: Corporate Treasury Abteilungen sind zunehmend verantwortlich dafür, sicherzustellen, dass auch ihre Zahlungen mit Geldwäschegesetzen konform sind und nicht gegen Sanktionsrichtlinien verstoßen. Denn der Druck bei den Banken wächst: Betrachtet man die Schlagzeilen, so sieht man, dass in den vergangenen Jahren diverse Banken – seien es die BNP Paribas, die Deutsche Bank, die HSBC oder die RBS – teils hohe Strafen wegen Unterstützung von Geldwäsche oder Verstößen gegen Sanktionsrichtlinien zahlen mussten. In Konsequenz dieser Strafen und der damit einhergehenden zunehmenden regulatorischen Anforderungen sind sie angehalten, mehr Fragen zu stellen (Stichwort „Know Your Customer“/ KYC) und agieren weniger flexibel. Oft ziehen sie sich sogar aus bestimmten risikobehafteten Ländern zurück: Will ein Unternehmen heute im Iran Geschäfte machen, muss es dies womöglich ohne die favorisierte Bank, da diese aus Angst vor möglichen Strafen bei Sanktionsverstößen sich scheut, dort aktiv zu werden, und das Geschäft aufgegeben hat. Und auch generell versuchen Banken, die an sie gestellten Ansprüche zunehmend an die Unternehmen weiterzugeben und das Risiko entsprechend abzuwälzen. Für das Corporate Treasury heißt das im Umkehrschluss, dass immer mehr Tätigkeiten auf der Agenda stehen, die keinen wirklichen Mehrwert fürs Geschäft liefern, sondern die den Informations- und Dokumentationsanforderungen der Banken geschuldet sind. Erfüllt ein Unternehmen allerdings nicht die Standards im Hinblick auf Compliance, kann durchaus der Abbruch der Bankbeziehungen drohen.
Umfassende globale Compliance: die wichtigsten Regeln zum Schutz vor Zahlungsverkehrsbetrug
Es ist eine immense Herausforderung für Unternehmen, gruppenweit compliant zu sein, um im gesamten Unternehmen Regeln zum Schutz vor Zahlungsverkehrsbetrug zu etablieren. Unternehmen müssen zusätzliche Sicherheitsmaßnahmen in ihre Workflows einbauen, wollen sie vermeiden, dass Konten eingefroren werden, Betrugsfälle Geld kosten und dass das Unternehmen einen entsprechenden wirtschaftlichen und Reputationsschaden erleidet. 100% Sicherheit kann man nie erreichen. Beachtet man jedoch diese Regeln, dann kommt man sehr nahe heran:
Regel 1: Transparenz in Zahlungsverkehrsprozessen
Grundvoraussetzung für mehr Sicherheit im Zahlungsverkehr ist es, unternehmensweit eine gemeinsame Zahlungsverkehrsplattform zu nutzen. Arbeitet die Zentrale an einem System, Tochtergesellschaften aber mit diversen anderen Tools, dann ist eine gruppenweite verlässliche Kontrolle nicht möglich, da alles, was außerhalb der zentralen Organisation passiert, nicht geprüft werden kann.
Regel 2: Zentrale Überwachung aller Zahlungen im Unternehmen
Auf einer gemeinsamen Plattform können Prozesse harmonisiert werden, und eine stichprobenhafte Überwachung kann systematischen Kontrollmechanismen Platz machen. Themen wie die Integration von automatischem Sanction Screening oder der Aufbau von Allow-Lists stehen und fallen mit transparenten Workflows im Unternehmen.
Regel 3: Bewusstsein für Sicherheit bei allen, die Zahlungen ausführen
Die Betrugsfälle haben gezeigt, dass oft der Schlüssel zum Erfolg bestimmter Maschen die Gutgläubigkeit einzelner Mitarbeiter ist. Bei allen sicherheitstechnischen Aspekten darf der Mensch in der Diskussion um Cyberkriminalität nicht vernachlässigt werden. Gibt es genug strukturelle und organisatorisch verankerte Sicherheitsmechanismen zum Schutz vor Zahlungsverkehrsbetrug und ist ein Sicherheitsdenken in den Köpfen fest etabliert, so ist das Unternehmen auch für neue Tricks weniger anfällig, die vielleicht noch kommen werden.
Regel 4: Das Treasury ist gefragt, zu handeln
Bei Auffälligkeiten ist es fatal, erst abzuwarten und zu prüfen – bis dahin kann das Geld längst verschwunden sein. Zeitnahes und flexibles Agieren ist unerlässlich – und genau dafür braucht ein Treasury die technologische Unterstützung im Monitoring aller Geldflüsse. Angesichts der globalen Dynamik und der Änderungen im Umfeld wird ein Sanction-Screening bald zum Standard beim Thema Schutz vor Zahlungsverkehrsbetrug gehören. Ebenso wie Allow-Lists oder ähnliche Prüfmechanismen auf Stammdatenebene in Zukunft unumgänglich sein werden, will man handlungsfähig aufgestellt sein.
Regel 5: Passende Sicherheitsmechanismen finden und bedarfsgerecht kombinieren
Block-Lists, Allow-Lists, Stichprobenprüfung oder Mitarbeiter-Schulung, wo fange ich da an? Eine berechtigte Frage, die immer im Einzelfall zu betrachten ist. Gerade die Kombination verschiedener Instrumente entfaltet letztlich den besonderen Mehrwert: Habe ich als Treasurer beispielsweise meine Allow-List, die mir in einem ersten Schritt auf Stammdatenebene alle sicheren Empfänger selektiert, könnte ich zusätzlich eine Block-List ergänzen, die wiederum alle kritischen Transaktionen im Hinblick auf Sanktionen oder Terrorwarnlisten herausfiltert. Habe ich zusätzlich ein “Repository” geschaffen, in dem bereits überprüfte und nicht autorisierte Empfänger gespeichert sind, dann wird mein Prüfsystem intelligent und richtig effizient.
Sinnvoll kombiniert und in den Prozessen und Workflows eingebunden, kann das Corporate Treasury – schon mit überschaubarem Aufwand – in Workflows zusätzliche Sicherheitsstufen zum Schutz vor Zahlungsverkehrsbetrug und illegalen Zahlungen einbauen, die das Leben leichter machen. Wir beraten Sie gerne, wie Sie Ihre Sicherheitsanforderungen gemeinsam mit uns und unseren Partnern optimal umsetzen können.
Entdecken Sie jetzt Coupa Treasury!
