Zahlungsbetrug in der Lieferkette – Zunehmender Einsatz von Cybercrime-Methoden

03 August, 2022

Laut dem PwC Global Economic Crime and Fraud Survey 2022 hat sich Cybercrime in den vergangenen zwei Jahren zur häufigsten Deliktart im Bereich der Wirtschaftskriminalität entwickelt. Dies lässt auch Betrugsfälle entlang der Lieferkette ein neues Ausmaß erreichen. Hacker kombinieren dabei zunehmend Methoden der Cyber- und Finanzkriminalität, was ihre Angriffe im Bereich des Zahlungsbetrugs immer raffinierter und erfolgreicher macht. Das Zeitfenster zur Erkennung und Eindämmung der Angriffe verkürzt sich dabei drastisch.

Denn immer mehr Unternehmen setzen auf schnelle digitale Zahlungsmethoden. Weitere Risiken entstehen durch den Trend zum mobilen Arbeiten – ohne Aufsicht und einer höheren Anfälligkeit für Ablenkungen. Mitarbeitende sind nicht nur häufiger die Zielscheibe von Betrugsfällen. Sie sind auch leichter in der Lage, sie aktiv zu begehen. Ein zeitgemäßes Anti-Fraud-Management muss zur Risikominimierung daher einen ganzheitlichen Ansatz verfolgen – und Finanz- und Cybersicherheitskontrollen eng verzahnen.

Das Wichtigste in 30 Sekunden

  • Zahlungsbetrug in der Lieferkette wird häufiger. Die fortschreitende Digitalisierung, zunehmende Abhängigkeit von Lieferanten und die Verlagerung zu hybriden Arbeitsformen begünstigen diese Entwicklung.
  • Organisationen brauchen wirksame interne Kontrollsysteme, um der neuen Dimension von Betrug in der Lieferkette angemessen zu begegnen. Dabei sollten sie Finanz- und Cybersicherheitskontrollen integrieren.
  • Ein verbessertes Anti-Fraud-Management zahlt sich aus. Es sorgt für effizientere Compliance-Prozesse, verringert Verluste, verkürzt Geschäftsunterbrechungen und sichert so den Erfolg des Unternehmens.

Ihre Expertin für Fragen

Christina Pellegrino ist Director im Bereich Forensic Services bei PwC Deutschland

Christina Pellegrino
Director, Forensic Services bei PwC Deutschland
Tel.: +49 160 97254402
E-Mail

Neue Betrugsformen erfordern ganzheitliche Kontrollen

Zahlungsbetrug in der Lieferkette stellt für Unternehmen eine zunehmende Bedrohung dar. Betrüger:innen verschaffen sich hierbei zunächst Kenntnisse über die Verbindlichkeiten und Forderungen eines Unternehmens. Sie geben sich dafür als vertrauenswürdige Quelle aus oder fangen die Kommunikation zwischen Zahlungsempfangenden und Zahlungspflichtigen ab. Anschließend nutzen sie die Informationen, um Zahlungen umzuleiten. Immer häufiger setzen sie dabei auch Methoden der Cyberkriminalität ein.

Weit verbreitet ist zum Beispiel die Kompromittierung von E-Mails – auch bezeichnet als Business-E-Mail-Compromise (BEC). Die Angreifer:innen bringen ihre Opfer mit Hilfe von Techniken des Social Engineering dazu, vertrauliche Informationen wie Login-Daten preiszugeben oder auch direkt Beträge auf Konten der Kriminellen zu überweisen. Den Opfern drohen finanzielle Einbußen sowie Imageschäden bei Kunden und Geschäftspartnern.

Infografik zu einem BEC-Beispielszenario von PwC Deutschland

Risiken durch Betrug in der Lieferkette gezielt entgegenwirken

Um Betrugsmöglichkeiten entlang der Lieferkette zu minimieren und Angriffe durch Cyberkriminelle zu verhindern, sollten Unternehmen die folgenden vier Schlüsselbereiche im Blick behalten:

Beschaffungsprozess analysieren

Mit einer Analyse der einzelnen Schritte innerhalb des Beschaffungsprozesses können Sie Risiken, Bedrohungen und Schwachstellen identifizieren. Dafür gilt es, sämtliche Stufen zu durchleuchten – von der Bedarfsmeldung und -überprüfung über den Ausschreibungsprozess bis hin zur Vertragsgestaltung, Auftragsverwaltung, Rechnungsfreigabe und Nachweisführung. Ein Cyber-Security- und Fraud-Risk-Assessment hilft, Risiken zu erkennen, zu bewerten und zu vergleichen, um Gegenmaßnahmen zu priorisieren. Die Ergebnisse sollten gut dokumentiert werden, um sie als Grundlage für die Entscheidungsfindung sowie künftige Risikobewertungen zu verwenden.

Lieferanten zentral verwalten

Um ihre Lieferanten zu verwalten, setzen Unternehmen meist auf eine zentrale Datenablage – den Lieferantenstamm. Sie versammelt sensible Daten wie Zahlungs- und Kontoinformationen sowie Details zu autorisierten Zahlungsempfängern. Viele Unternehmen verzichten dabei jedoch auf wirksame Kontrollen und erleichtern es damit Kriminellen, die Sicherheitsprüfungen für ausgehende Zahlungen zu umgehen. Immer dann, wenn ein neuer Lieferant hinzukommt, sich die bislang geltenden Bankdaten ändern oder ein bestehender Lieferant eine Umfirmierung durchläuft, müssen die Daten aktualisiert und mit vertrauenswürdigen Quellen validiert werden. Wir empfehlen hier ein Fraud-Risk-Assessment, das sich auf folgende Fragen stützt:

  • Wer hat Zugriff auf den Lieferantenstamm?
  • Wer kann welche Änderungen vornehmen?
  • Wie wird die Legitimität von Änderungen verifiziert?
  • Welche weiteren Kontrollen gibt es, um Fehler zu reduzieren oder die Manipulation von Daten zu verhindern?

Möglichkeiten zur Auslösung von Zahlungen reduzieren

Auch eine zentrale Datenbank für Lieferanten bringt nicht viel, wenn sie durch manuelle Zahlungen umgangen oder einfach überschrieben werden kann. Wir empfehlen deshalb, alle Zahlungsprozesse systematisch an die zentral hinterlegten Daten zu koppeln. Vielen Unternehmen ist schlichtweg nicht bewusst, wie viele Möglichkeiten ihre Mitarbeitenden haben, um Zahlungen an Lieferanten während des Beschaffungsprozesses zu tätigen. Durch die Ermittlung und Analyse, wie Zahlungen ausgelöst werden können, können Unternehmen die Komplexität von Zahlungen reduzieren, einen Überblick über die Lieferantenrisiken gewinnen und die Wirksamkeit der eigenen internen Kontrollen besser verstehen.

Mitarbeitende schulen

Auch Mitarbeitende sind immer wieder in Zahlungsbetrug verstrickt – sei es vorsätzlich oder unabsichtlich. In den vergangenen zwei Jahren waren Fälle von Wirtschaftskriminalität, die auf Absprachen zwischen internen und externen Akteuren zurückgehen, auf dem Vormarsch. Um diese Art von Betrug zu verhindern beziehunsgweise aufzudecken, sollten Unternehmen ihre Kontrollmechanismen optimieren, auf den neuesten Stand bringen und gleichzeitig Mitarbeitende schulen und sensibilisieren. Lerninhalte und Know-how über Betrugsmaschen lassen sich gut in Security-Awareness-Trainings integrieren. Empfehlenswert sind außerdem Sicherheitsmethoden wie

  • Multi-Faktor-Authentifizierung (MFA) auf Cloud-E-Mail Plattformen,
  • Schutzfunktionen für E-Mails gegen Phishing und Domain-Spoofing sowie eine
  • regelmäßige Überprüfung der Zugriffsrechte und Berechtigungen auf Finanzplattformen.

Interne Kontrollsysteme optimieren, um Betrugsrisiken in der Lieferkette zu reduzieren

Eine erfolgreiche Prävention und Reaktion auf Fraud und Cyberangriffe im Kontext der Lieferkette erfordert einen ganzheitlichen Risikomanagementansatz. Es geht darum, Maßnahmen rund um das Thema Sicherheit und die Abwehr von Cyberattacken mit Finanzkontrollen zu kombinieren. Die erste Frage lautet: Wie wirksam ist das aktuelle Anti-Fraud-Management?

Unternehmen sollten ihr Regelwerk regelmäßig überprüfen und dabei Bereiche priorisieren, mit denen Mitarbeitende, Lieferanten oder andere Interessengruppen regelmäßig in Kontakt sind.

Moderne Tools und Technologie einsetzen

Neben der Aktualisierung von Compliance-Prozessen ist zu prüfen, welche Tools, Systeme und Technologien bei der operativen Umsetzung helfen. Mit speziellen Anti-Fraud-Management-Systemen und Anti-Fraud-Software wie Enterprise Control von PwC können Unternehmen zum Beispiel Kontrollprozesse automatisieren und ein kontinuierliches Monitoring einrichten, das manuelle Aufwände reduziert, Fraud erkennt und die Aufarbeitung von Vorfällen vereinfacht.

Überprüfungs- und Validierungsprozesse implementieren

Für zusätzlichen Schutz vor der Manipulation von Zahlungen sollten Unternehmen Kontrollen zur Verifizierung und Validierung einrichten. Hier sind zum einen manuelle Überprüfungen möglich. Mitarbeitende prüfen dabei die Legitimität von Änderungswünschen an bestehenden Daten direkt mit dem Anbieter – in der Regel nicht über das Internet, sondern telefonisch. Daneben lassen sich Validierungsprozesse aber auch automatisieren – zum Beispiel durch den Vergleich von Anbieterinformationen mit öffentlich zugänglichen Ressourcen wie dem TIN-Matching-Programm der US-amerikanischen IRS und dem MwSt-Informationsaustauschsystem (MIAS) der Europäischen Kommission.

Darüber hinaus gibt es kostenpflichtige externe Dienste, die Bankverbindungen überprüfen und Kontaktinformationen wie Telefonnummern und E-Mail-Adressen validieren. PwC bietet mit Risk Detect zum Beispiel eine Lösung für den automatisierten Abgleich von Lieferanteninformationen mit solchen Quellen. Die Automatisierung von Verifizierungs- und Validierungsprozessen spart Zeit und verringert die Wahrscheinlichkeit von Zahlungsbetrug in der Lieferkette durch menschliches Versagen.

Data Analytics nutzen und auf abteilungsübergreifenden Austausch setzen

Prozesse rund um das Anti-Fraud-Management in Unternehmen erzeugen potenziell riesige Datenmengen. Automatisierte Tools unterstützen die Verantwortlichen nicht nur dabei, Risiken zu mindern und die Einhaltung von Vorschriften sicherzustellen. Sie decken auch versteckte Muster in solchen Datenbergen auf. Mit Hilfe der automatisierten Auswertung lassen sich Anbieter, Transaktionen und Mitarbeitende identifizieren, die Finanz-, Cybersicherheits- und Compliance-Risiken darstellen.

In der Praxis liegt die Bearbeitung von Cyberbedrohungen und Betrugsfällen typischerweise in unterschiedlichen Abteilungen. Cyberkriminelle wissen das und versuchen diese Arbeitsteilung gezielt auszunutzen.

Eine offene Kommunikation zwischen verschiedenen Teams schafft ein klares Verständnis dafür, wie sich einzelne Kontrollen gegenseitig beeinflussen. Je nach Ausgangslage kann es lohnend sein, das Anti-Fraud-Management-Team neu aufzustellen, Rollen neu abzustimmen sowie neue Technologiestrategien zu entwickeln.

Ein wirksames Fraud-Risk-Management zahlt sich aus

Eine laufende Überwachung und Optimierung der Kontrollmechanismen und die Verbesserung des Betrugs- und Lieferketten-Risikomanagements stellen keinen Selbstzweck dar. Sie bringen messbare Vorteile – sowohl für das Unternehmen als auch seine Stakeholder. Dazu gehört insbesondere die Minimierung finanzieller Einbußen und und die Eindämmung von Geschäftsunterbrechungen. Darüber hinaus verbessert ein wirksames Anti-Fraud-Management die Einhaltung von Compliance-Vorgaben und sichert den Erfolg des Unternehmens.

„Finanz- und Cyberkriminalität sind heute eng miteinander verwoben. Die Lieferkette stellt dabei einen besonderen Risikobereich dar. Als Antwort darauf muss auch das Anti-Fraud-Management breiter und interdisziplinärer aufgestellt sein.“

Christina PellegrinoDirector, Forensic Services bei PwC Deutschland
Follow us

Contact us

Christina Pellegrino

Christina Pellegrino

Director, Forensic Services, PwC Germany

Tel.: +49 160 97254402

Grant Waterfall

Grant Waterfall

Partner, Cyber Security & Privacy Leader, PwC Germany

Hide