Der Austausch von Informationen im Rechnungswesen erfolgt zunehmend papierlos. Trotzdem steht aus Sicht der Verantwortlichen im Rechnungswesen das Thema Cybersecurity bzw. IT-Sicherheit oft nicht im Fokus der täglichen Arbeit. Die überwiegende Mehrzahl der Mitarbeiter im Rechnungswesen haben einen Internetzugang und einen täglichen Maileingang. Das erhöht die Gefahr von gezielten Angriffen auf das Rechnungswesen deutlich.
Cybercrime
Der Begriff Cybercrime (oft auch Cyber-Vorfall genannt) bezeichnet die Cyber-Kriminalität im engeren Sinne, sowie Datenschutzverletzungen, IT-Ausfälle und Straftaten, die durch oder gegen die Informations- und Kommunikationstechnik begangen werden. Einer 2022 durchgeführten Umfrage nach sind bisher rund 46 % der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden.
Durch Cybercrime betroffene Unternehmensbereiche
Die wirtschaftlichen Schäden bei Unternehmen nach einem Cyber-Vorfall bestehen vor allem im Reputationsverlust, gefolgt von Betriebsunterbrechungen und Haftungsansprüchen nach einer Datenschutzverletzung. Durch die 2018 eingeführte DSGVO (Datenschutzgrundverordnung) haben Vorfälle im Bereich der Datenschutzverletzungen und die entsprechend verhängten Geldbußen dem Unternehmensrisiko Cyber-Vorfälle einen starken Anstieg beschert.
Der Computerbetrug liegt mit knapp 80 % der Fälle ganz oben in der Statistik der Fallzahlen. Daneben umfasst Computerbetrug als Cybercrime im engeren Sinne im Bereich Rechnungswesen den Kreditbetrug, den Leistungskreditbetrug und Überweisungsbetrug.
Bedrohungen durch Cybercrime
Aus Sicht des BKA führt der Einsatz von Ransomware zum höchsten Schadenspotenzial im Bereich Cybercrime. Ransomware bezeichnet Schadprogramme, die bei den betroffenen Unternehmen den Zugriff auf eigene Daten und Systeme einschränken oder unterbinden. Für die Aufhebung dieser Einschränkungen wird dann ein Lösegeld (engl. Ransom) verlangt. In den meisten Fällen kommt es zu empfindlichen Störungen in den Unternehmens- bzw. Prozessbereichen. Diese können den Fortbestand des Unternehmens nachhaltig gefährden.
Eine andere Angriffsart besteht darin, Unternehmensdaten abzuleiten und die betroffenen Unternehmen durch eine angedrohte Veröffentlichung oder den Weiterverkauf der erlangten Daten zu erpressen.
Mögliche Angreifer benötigen nur einen Computer und eine Internetverbindung und können dadurch weltweit agieren. Nach Einschätzung des BSI kann die Bereinigung der betroffenen Netzwerke Monate in Anspruch nehmen, abhängig von der Größe des betroffenen Netzwerks.
Funktionsweise von Cybercrime
Cyber-Kriminalität ist nie nur ein technisches, sondern immer auch ein unternehmensorganisatorisches und menschliches Problem. Bei Angriffen werden nicht nur technische und organisatorische IT-Sicherheitslücken ausgenutzt, es werden auch Arbeitnehmer getäuscht und so zu schädlichen Handlungen animiert. Somit kann eine Bedrohung nur unter Einbeziehung der Mitarbeiter erfolgreich abgewehrt werden.
Risiken durch Cybercrime
- Ausspähen/Abfangen/Diebstahl von Daten: Die Verwertung durch die Angreifer kann auf zwei Wegen vorgenommen werden – durch den Verkauf der Daten und den betrügerischen Einsatz der erlangten Daten.
- Täuschung im Rechtsverkehr: Angabe falscher Adressen oder Kontendaten durch Zusendung von E-Mails unter Vorspiegelung realer Identitäten von Personen oder Unternehmen.
- Zahlungsbetrug/Erpressung: Kann die Folge bei der Verwendung abgefangener Daten oder dem Einsatz von Ransomware sein.
- Störung von Geschäftsprozessen: Das Zusenden von als Rechnungen getarnter Schadsoftware in E-Mail-Anhängen.
Bei einem Angriff können nicht nur einzelne Systeme für einen bestimmten Zeitraum ausfallen, sondern es können auch komplette Netzwerke und daran gebundene Lieferketten beeinträchtigt werden. Z.B. kann es unmöglich werden, Wareneingänge zu verbuchen bzw. Warenausgänge vorzunehmen. - Fake President-Betrug: Eine Betrugsart, bei der Angreifer E-Mails im Namen des Vorgesetzten mit Überweisungsanforderungen an speziell ausgespähte Mitarbeiter schicken.
Bei dieser Art des Betrugs wird ein bestimmtes Unternehmen oder eine Person oder Gruppe von Personen ausgewählt. Es wird versucht, das Abweichen von Regelprozessen, z.B. Zahlungsfreigaben oder Anpassungen von Adress- oder Kontendaten zu erreichen.
Bei einem Fake President-Betrug werden die Aktivitäten des Opfers und die Online-Verhaltensweisen beobachtet, um private Informationen über das Opfer zu sammeln und so erfolgreich eine schadhafte Handlung zu veranlassen.
Der Angriff beginnt oft als SpearPhishing. Angriffe richten sich an Nicht-Muttersprachler, die in ausländischen Tochtergesellschaften des Unternehmens beschäftigt sind. Die Wahrscheinlichkeit, dass diese Mitarbeiter den Betrug erkennen, wird dadurch geringer. Oftmals hat der betreffende Mitarbeiter mit dem angeblichen leitenden Angestellten selten zusammengearbeitet.
Bedrohungen durch das Arbeiten im Home-Office
Grundsätzlich stellen alle Arbeitsplätze mit einer Internetanbindung eine Angriffsmöglichkeit dar.
Im Home-Office herrscht i.d.R. ein geringerer Sicherheitsstandard wie an den Arbeitsplätzen am Unternehmensstandort, da auch private Geräte zum Einsatz kommen können. Dies stellt eine besondere Herausforderung für die unternehmenseigene IT dar bezüglich der Konfiguration von Routern, WLAN-Anbindungen, Laptops und Smartphones.
Neben der verwendeten Hardware stellen im Zusammenhang mit Home-Office und dem mobilen Arbeiten auch die neu hinzugekommenen Anwendungen zusätzliche Risiken dar. Das betrifft Anwendungen wie Teams, OneDrive, Zoom, VPN-Anwendungen und Citrix, um nur einige zu nennen. Grundsätzlich stellt jedes neue Element im Bereich IT ein weiteres Risiko dar.
Beide, Unternehmen und Arbeitnehmer, müssen sich auf diese Situation einstellen und für das sichere Arbeiten von zu Hause sorgen. Das bedeutet, dass für Home-Office und mobile Arbeitsplätze entsprechende Unternehmensrichtlinien, Berechtigungskonzepte und zulässige Kommunikationswege festgelegt werden müssen. Zudem sollten auch Awareness-Schulungen für alle Mitarbeiter angeboten werden, damit sich die Mitarbeiter der Gefahren bewusst werden und die gängigen Betrugsgefahren kennen.
Tipps für einen sicheren Home-Office Arbeitsplatz
- Grundsätzlich ist die Nutzung von Virtual Private Network (VPN) und anderen Remote-Zugriffen durch eine durchgängige Zwei-Faktor-Authentifizierung abzusichern.
- Besonderen Augenmerk verdient der Einsatz von privaten Endgeräten. Um an dieser Stelle das Risiko von Schadsoftware zu verringern, sollten USB-Laufwerke deaktiviert werden und den Mitarbeitern entsprechende Virenschutzprogramme angeboten werden. Diese können den Schutz vor Schädigungen beim Empfang privater E-Mails verbessern.
- Sicherer ist es, wenn allen Mitarbeitern für die Arbeit im Home-Office unternehmenseigene Endgeräte zur Verfügung gestellt werden, die entsprechend konfiguriert sind. Damit können sie organisatorisch und technisch besser in das Sicherheitskonzept der eigenen IT eingebunden werden.
Schutzmaßnahmen gegen Cybercrime
Da kein 100 %-iger Schutz vor Cyber-Kriminalität möglich ist, muss eine unternehmenseigene Cyber-Resilienz aufgebaut werden. Cyber-Resilienz bezeichnet die Fähigkeit einer Organisation, sich auf schadhafte Cyber-Vorfälle einzustellen. Es ist die Fähigkeit, Veränderungen der Umwelt frühzeitig wahrzunehmen, verbunden mit einer hohen Geschwindigkeit bei der Abwehr und den Wiederherstellungskapazitäten.
Ziel ist die Aufrechterhaltung von Vertraulichkeit, Integrität, Verfügbarkeit und Wiederherstellung der Daten und Dienste, die für das Unternehmen wichtig sind.
Die IT-Schutzziele Vertraulichkeit und Integrität im Überblick
Vertraulichkeit: Zunächst muss definiert werden, welche Person oder Personengruppe auf welche Art und Weise Zugriff hat. Anschließend muss dies in einem entsprechenden Berechtigungskonzept für jede im Unternehmen eingesetzte Anwendung umgesetzt werden.
Damit wird gewährleistet, dass sensible Daten nur von befugten Personen eingesehen, gelöscht oder verändert werden können. Das in vielen Unternehmen verwendete Modell, aus Kostengründen Software-Lizenzen nicht konkreten Personen zuzuordnen, ist somit aus Sicherheitsgründen nicht zulässig.
Integrität: Daten dürfen keinesfalls unbemerkt bzw. unerkannt verändert werden können. Damit sind die Begriffe Transparenz und Nachvollziehbarkeit verbunden. Es muss erkennbar sein, wer, wann (und ggf. auch warum) welche Daten angelegt oder verändert hat.
Auch für die Erreichung dieses Schutzziels ist es erforderlich, dass eine Software-Lizenz genau einer Person zugeordnet werden kann. Im Fall von Vertretungen muss festgelegt werden, wie diese Nachvollziehbarkeit von Dateneingaben bzw. Datenänderungen erreicht werden kann
So implementieren Sie eine IT-Sicherheitskultur
Schulungen im Bereich Cyber-Awareness
Organisationen, die ihre Mitarbeiter in den Bereichen Zahlungsbetrug, Kontrollen und Cyber-Betrug schulen, weisen eine 1,5- bis 5-fache geringere Häufigkeit gemeldeter Verluste auf als ungeschulte Mitarbeiter.
Grundsätzliche Regeln im Umgang mit eingehenden E-Mails
- Absender der E-Mail überprüfen: Kennen Sie den vermeintlichen Absender, so können Sie Ihn anrufen und nachfragen, ob die E-Mail tatsächlich von ihm stammt, falls sie verdächtig erscheint.
- Recherchieren Sie das genannte Unternehmen: Rufen Sie dort an und lassen Sie sich zum verdächtigen Absender durchstellen (Vorsicht vor gefälschten Unternehmenswebseiten).
- Kommunikationsstil überprüfen: Werden Sie in der E-Mail mit einer persönlichen oder einer allgemeinen Begrüßung/Anrede angesprochen?
Durch das Öffnen eines Links oder Anhangs in einer Phishing-E-Mail kann Ihr System mit Schadsoftware infiziert werden. Was können Sie in einem Verdachtsfall tun?
- Dringlichkeit überprüfen: Phishing E-Mails bauen oftmals das Gefühl der Dringlichkeit auf, d.h. das Öffnen eines Links oder eines Anhangs soll schnellstmöglich geschehen. Öffnen Sie solche Links/Anhänge nie, wenn Ihnen die E-Mail verdächtig erscheint und wenden Sie sich bei Verdachtsfällen an Ihre IT-Sicherheitsabteilung.
Organisatorische Maßnahmen im Rechnungswesen
Neben Schulungen im Hinblick auf Cyber-Kriminalität und Risikobewusstsein ist es notwendig, interne Prozesse sicher und transparent zu gestalten.
Besonders im Hinblick auf den Zahlungsverkehr sollten die Finanzabteilungen mit den für IT-Sicherheit zuständigen Personen zusammenarbeiten. Ziel ist es, ein Treasury System zu entwickeln, das Zahlungen zentral plant, optimiert und abwickelt und auch Kontensalden und anstehende Zahlungen transparent darstellt. Durch die Einrichtung strenger Autorisierungs- und Freigabeprozesse sowie durch die hinterlegten Begrenzungen in den Benutzerprofilen, wie Zeichnungsberechtigungen, Autorisierungsstufen und Zahlungslimits, kann der Schutz vor schädlichen Handlungen verbessert werden.
Zusätzlich können ergänzende Überwachungssysteme wie z.B. Black- und Whitelists von Zahlungsempfängern sowie Limit Monitoring eingesetzt werden. Um Änderungen bei kritischen Daten zu verhindern und Manipulationen sowie Betrugsversuche aufzudecken, können Warnmeldungen durch Anti-Betrugs-Softwaresysteme generiert werden.
Versicherung für Schäden durch Cybercrime
Auch durch umfangreiche Sicherheits- und Sicherungsmaßnahmen kann kein Unternehmen ausschließen, durch Cybercrime von Schäden betroffen zu werden.
Daher muss wie bei allen anderen Bedrohungen eine Risikoanalyse für den Bereich „Cybercrime“ durchgeführt werden. Hilfreich sind dabei die von Versicherungsunternehmen angebotenen Checklisten, die im Rahmen der Vertragsverhandlungen ausgefüllt werden müssen. Abhängig von den Ergebnissen in den untersuchten Bereichen kann man nun überlegen, ob man mögliche Schäden als Unternehmen tragen kann oder will oder ob man Teile der erkannten Risiken an eine entsprechende Cyber-Versicherung übertragen will.
Beispiele für mögliche Cyber-Schäden im eigenen Unternehmen
- Betriebsunterbrechungen, auch durch Ausfall von Dienstleistern
- Wiederherstellung von Daten, Entfernen der Schadsoftware
- Cyber-Diebstahl: Elektronischer Zahlungsverkehr, fehlerhafter Versand von Waren, Telefon-Mehrkosten/erhöhte Nutzungsentgelte
- Cyber-Erpressung/Cyber-Betrug
- Entschädigung mit Strafcharakter/Bußgeld
- Ersatz-IT-Hardware
- Übernahme von Belohnungsgeldern (kein Lösegeld)
Beispiele für mögliche Cyber-Schäden an Dritten
- Befriedigung oder Abwehr von Ansprüchen Dritter
- Ansprüche der E-Payment-Serviceprovider
- Vertragsstrafe wegen der Verletzung von Geheimhaltungspflichten und Datenschutzvereinbarungen
- Vertragliche Haftpflicht bei Datenverarbeitung durch Dritte
Informationsquellen zur Risikoanalyse und Absicherung im IT-Bereich
Auf den Seiten des BSI (Bundesamt für Sicherheit in der Informationstechnik) sind zahlreiche Hilfsmittel zur Durchführung einer Risikoanalyse und zur Einrichtung eines Risikomanagementsystems vorhanden. Jedes Unternehmen sollte nach den Vorgaben des BSI IT-Grundschutzes untersucht und entsprechend gesichert werden.
Eine weitere Informationsquelle zur Untersuchung und Absicherung des eigenen Unternehmens findet sich auf den Seiten der Allianz für Cybersicherheit. Es handelt sich dabei um Deutschlands größte Public-Private-Partnership für IT-Sicherheit von BSI und Bitkom (https:// www.allianz-fuer-cybersicherheit.de).
Fazit
Realistisch betrachtet wird jedes Unternehmen früher oder später einen Cyberangriff erleben und sollte daher vorbereitet sein. Durch entsprechende technische Lösungen (Firewall, Anti-Virenprogramme) und organisatorische Maßnahmen (Berechtigungskonzepte) sollten die potentiellen Auswirkungen von Cyberangriffen verringert werden. Auch entsprechende Mitarbeiterschulungen sind hilfreich, um ein Sicherheitsbewusstsein zu schaffen und eine gesteigerte Aufmerksamkeit zu erreichen. Die Bereiche Datensicherung und Wiederherstellungsprozesse sollten regelmäßig auf ihre Funktionssicherheit überprüft werden, damit Auswirkungen von geglückten Angriffen zeitlich möglichst kurz gehalten werden können und Datenverluste vermieden werden.
Sinnvoll ist es, wenn sich die Verantwortlichen in den Bereichen Rechnungswesen regelmäßig mit den für die IT-Sicherheit Zuständigen austauschen, um technisch und organisatorisch jeweils auf dem neuesten Stand zu sein. Für die Absicherung des immer vorhandenen Restrisikos sollten verschiedene Versicherungsangebote eingeholt werden, um zumindest die finanziellen Auswirkungen von Angriffen und daraus folgenden Schäden zu begrenzen.
Nützliche Links zum Thema
- https://www.allianz-fuer-cybersicherheit.de
- https://www.bsi.bund.de/DE/
- Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
- https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2021.html