Betrugsprävention – ein Guide für Treasurer

Coupa
Lesedauer: 7 mins
A Treasurer’s Guide to Fraud Prevention - Image

Beim Thema Cybersicherheit bzw. den zahlreichen Bedrohungen, die damit einhergehen, ist ein Waffenstillstand zwischen Angreifern und Verteidigern längst nicht absehbar. Stattdessen werden auch in den nächsten Jahren immer neue Technologien auf beiden Seiten den Kampf prägen. Ständig erscheinen neue Arten von Cyberattacken auf der Bildfläche – fast wie die Köpfe des legendären Drachen, dem für jeden abgeschlagenen sofort sieben neue nachwachsen. Ob Phishing, Vishing, Spoofing, Malware bzw. Schadsoftware, Ransomware, verschiedenste Betrugsmaschen mit gefälschten Rechnungen oder Rufschädigung — die unterschiedlichen Arten von Cyberbetrug sind ebenso schwer zu überblicken wie die scheinbar unendliche Flut an Fällen, die Banken und Unternehmen ungewollte Publicity gebracht haben: Dazu zählen der digitale Bankraub in Höhe von $81 Mio. bei der Bangladesh Bank, bei dem Hacker in das SWIFT-Netzwerk eindrangen, sowie die Phishing-Attacken, die Google und Facebook um $100 Mio. brachten. Letztes Jahr war es das Ransomware-Schadprogramm WannaCry, das Angst und Schrecken verbreitete, bzw. Hardware-Sicherheitslücken wie Meltdown und Spectre. Dabei sind diese prominenten Fälle nur die Spitze des Eisbergs.

Dreifache Bedrohung im Treasury: Systeme, Prozesse und Mitarbeiter

Kaum eine Abteilung ist in einem Unternehmen so exponiert wie das Treasury. Genau deshalb ist es auch besonders anfällig für Cyberattacken. Es gibt drei besondere Schwachstellen: Systeme, Prozesse und Mitarbeiter. Beim Thema System sorgen niedrige Zugangshürden und unzureichende technische Abwehrmechanismen für ein unnötig hohes Risiko. Prozesse werden durch ungenügende Regeln bei Unterschriftsberechtigungen ebenso gefährdet wie durch schwache Kontrollmechanismen, mangelnde Funktionstrennung, Dezentralisierung und fehlende Transparenz. Und natürlich gilt auch: Gelegenheit macht Diebe. Mitarbeiter sind ebenfalls ein Risikofaktor. Dabei handeln die wenigsten tatsächlich in betrügerischer Absicht. Ihnen fehlt schlichtweg das Hintergrundwissen, und sie werden nicht ausreichend zum Thema Sicherheit geschult. Was die katastrophalen Konsequenzen angeht, kommt das leider aufs Gleiche raus.

Angesichts so unterschiedlicher Risikofaktoren wie Systemen, Prozessen und Mitarbeitern benötigt das Treasury eine übergreifende Technologie, die es in jeder Hinsicht optimal schützt. Hier wollen wir uns am Beispiel von tm5 ein Treasury Management System genauer anschauen. Denn der Aufbau eines TMS gibt letztlich auch Prozesse vor und beeinflusst das Benutzerverhalten. Wie also können wir sicherstellen, dass Ihr System möglichst gut vor dieser Vielzahl an Betrugsmaschen geschützt ist?

TMS-Sicherheit: zweckmäßige Prozesse durch erstklassigen Systemaufbau

Zunächst einmal zählen Automatisierung und Transparenz zu den Grundprinzipien einer solchen Anwendung. Automatisierung sorgt dafür, dass wesentliche Informationen wie Marktdaten, Kontoauszüge und Handelsprotokolle nicht einzeln manipuliert werden können. Ein transparentes System hingegen ermöglicht es, dass berechtigte Nutzer weltweit und in Echtzeit Zugriff auf alle relevanten Daten besitzen. Das Treasury eines Unternehmens kann nur dann Unregelmäßigkeiten feststellen und Schwachstellen ausmachen, wenn es einen Gesamtüberblick über alle Cashflows im gesamten Konzern besitzt.

Ein fest im System verankertes Kernkonzept, das Transparenz gewährleistet, ist das Vieraugen-Prinzip. Es findet bei den verschiedensten Prozessen Anwendung. So reicht es z.B. nicht aus, wenn ein Administrator einen Benutzer neu anlegt. Stattdessen müssen der Leiter der Treasury-Abteilung und ein Administrator aus der IT den Benutzer beide freigeben, bevor er aktiviert wird. Das gleiche Prinzip gilt für das Unterzeichnen von Zahlungsaufträgen: Das System gibt einen ausgefeilten und klar aufgeteilten Prozess mit unterschiedlichen Zugriffsrechten vor, indem die Unterschriftsberechtigungen von Benutzern auf bestimmte Konten beschränkt und Zahlungslimits gesetzt werden. So setzt sich das Vieraugen-Prinzip hier nahtlos fort. Weitergehende Rechte und Rollenkonzepte tun ihren Teil dazu, dass jeder Benutzer nur die Freigaben besitzt und nur an den Stellen berechtigt ist, die für ihn im Rahmen einer bestimmten Aufgabenstellung in einem bestimmten Tochterunternehmen relevant sind, um seine Rolle ausfüllen zu können. Strenge Zugriffskontrollen wie SSO, im Zusammenspiel mit weiteren IP-Einschränkungen, strukturieren die Zugriffsrechte noch klarer. Benutzer können sich so nur an bestimmten Arbeitsplätzen anmelden. Tochtergesellschaften haben nur auf die Bereiche Zugriff, die für ihren Verantwortungsbereich benötigt werden. Diese Maßnahmen können noch weiter gestärkt werden: durch die Nutzung der Zwei-Faktor-Authentifizierung über die App Treasury Connect bzw. einen Token bei der Anmeldung im System oder bei der Freigabe von Zahlungen.

Ein solches mehrstufiges Sicherheitskonzept greift im gesamten System und gewährleistet so sichere Prozesse, die mit Blick auf die Benutzer möglichst wenig manipulations- und fehleranfällig sind. Eine klare Aufgabentrennung muss an jeder Stelle gegeben sein, so z.B. bei der Abwicklung eines Zahlungsauftrags. Hier müssen zwei verschiedene Abteilungen unabhängig voneinander aktiv werden: Die Buchhaltung muss die Zahlungsdatei hochladen, damit sie vom Treasury freigegeben werden kann.

Dabei gilt für uns als Systemanbieter das gleiche Prinzip, das auch die Prozesse in Ihrem Unternehmen bestimmt. Während der Aufbau Ihres Systems in den Aufgabenbereich unseres Produktmanagements fällt, obliegt dessen Implementierung unseren Consultants. Unser Support-Team kümmert sich um die Bereitstellung, und die Cloud-Service-Abteilung sorgt gemeinsam mit der internen IT für den reibungslosen Betrieb. Gemeinsam gewährleistet das eine robuste Systemlandschaft, die die gesamte Prozesskette von der Benutzerauthentifizierung über logische Zugriffskontrollen bis hin zu uneinnehmbaren Servern und physischen Zugangskontrollen in den Datenzentren trägt.

Server-Sicherheit & die magische Zahl Drei: Technologie, Abläufe, Schulungen

Hochmoderne Technologie, differenzierte Richtlinien & Abläufe sowie intensive Benutzerschulungen bilden eine Art „magisches Dreieck“, das den Aufbau und die Implementierung der Anwendung vorgibt. Das gleiche magische Dreieck umgibt auch unser Servernetzwerk. Für die Technologie gilt: Das Zusammenspiel aus einer Netzwerk-Firewall und einer Web Application Firewall gewährleistet, dass sich der Datenverkehr auf legitime Quellen und Aktivitäten beschränkt. Der gesamte Netzwerkverkehr wird über Reverse-Proxy bzw. Gateway Antivirus analysiert, um gefährliche Aktivitäten und Versuche, in das Netzwerk einzudringen, abzuwehren. Für den unwahrscheinlichen Fall, dass ein Primärgerät tatsächlich mal ausfallen sollte, sorgen sekundäre Netzwerkgeräte, -Server und -Datenzentren durch synchrone Replikation von Daten dafür, dass die Anwendung weiterhin verfügbar bleibt. Dank Notfallwiederherstellung über Backups und Snapshots können Administratoren das System bei einer Beeinträchtigung der Daten wiederherstellen, indem sie es auf einen Zeitpunkt vor dem Zwischenfall zurücksetzen. Datenintegrität ist somit gewährleistet.

Diese fortschrittliche Technologie wird durch ebenso ausgeklügelte IT-Sicherheitsrichtlinien noch weiter untermauert. Hier gelten zum einen externe rechtliche Auflagen, in deren Rahmen bestimmte Sicherheitsmaßnahmen zum Schutz des Systems ebenso eingehalten werden müssen wie Gesetzesvorgaben (Stichwort EU-DSGVO). Gleichzeitig kommen interne Vorgaben zum Tragen wie von der Geschäftsführung bestimmte organisatorische Vorgaben. Beide liegen der Prozessintegrität Ihres TMS mit zugrunde.

Unsererseits beruhen diese Richtlinien auf einer Risikobeurteilung. Diese wiederum führt verschiedenste Abläufe und Prozesse zusammen, die für die Datensicherheit unerlässlich sind. In regelmäßigen Abständen machen wir eine Gesamtbestandsaufnahme von Servern, Arbeitsplätzen und Datenzentren sowie Datenbeständen wie Kundendaten. Auf Grundlage dieser Einschätzung beurteilen wir, wie anfällig bestimmte Bereiche sind. Dabei betrachten wir die Wahrscheinlichkeit sowie die möglichen Auswirkungen einer Bedrohung. Wir prüfen die getroffenen Kontrollmechanismen und nehmen eine Einschätzung der Belastbarkeit unserer Sicherheitstechnologien vor: Ist die Firewall richtig konfiguriert? Wer hat Zugriff darauf, und wer erteilt diesen Zugriff? Wir müssen jederzeit auf den Ernstfall vorbereitet sein. Aus langjähriger Erfahrung hat sich hier eine viergleisige Best-Practice-Herangehensweise bewährt: Wir nehmen ein Risiko in Kauf, wenn es gering genug ist, um übergangsweise toleriert werden zu können. Alternativ vermeiden wir das Risiko, indem wir nicht essenzielle Teile des Systems entfernen, von denen ein Risiko ausgeht. Die dritte Option ist eine Verlagerung des Risikos, z.B. auf eine Versicherung, die unkalkulierbare Risiken absichert. Dazu zählen Schäden durch Naturkatastrophen wie Hochwasser oder Erdbeben. Schließlich gibt es noch Option vier: Wir entschärfen Angriffe, indem wir bestimmen, wann aufgrund der Wahrscheinlichkeit einer Attacke aktive Maßnahmen gefragt sind, z.B. die Nutzung von Antivirus-Software. So werden die Auswirkungen abgeschwächt bzw. neutralisiert.

Eines ist dennoch klar: Technologie und Prozesse können alleine nie für vollständige Sicherheit sorgen. Vielmehr müssen die Mitarbeiter, die für sie zuständig sind, auch entsprechend geschult werden. Wir sorgen dafür, dass diese Schulungen genau auf die Zielgruppe zugeschnitten und damit möglichst effektiv sind: Welches sicherheitsrelevante Wissen ist in welcher Position wichtig? Eine Bürokraft muss anders geschult werden als ein tm5-Nutzer. Das zeigt umso deutlicher, dass es bei Cybersicherheit – und im gleichen Atemzug bei Cyberbetrug – letztlich auf den Menschen ankommt. Technologie mag auf beiden Seiten die Hauptrolle spielen, aber letztlich sind es Menschen, die für den eigentlichen Schaden sorgen oder diesen zu verhindern wissen. Und auch bei Coupa stehen Menschen für Sicherheit. Unsere Aufgabe ist es, Mitarbeitern in Unternehmen das nötige Handwerkszeug mitzugeben, mit dem sie sich aktiv für Sicherheit und gegen Betrug einsetzen können. Jetzt und mit Blick auf die Zukunft.


Entdecken Sie jetzt Coupa Treasury!