14 B2B-Expertentipps zur Zahlungssicherheit, die Sie diesen Monat umsetzen können
Ohne Sicherheit beim Online-Zahlen könnten Sie ungewollt ein Atomwaffenprogramm unterstützen.
Klingt verrückt? Denken Sie noch einmal nach. Wenn Sie jemals Opfer von Cyberkriminalität geworden sind, ist es gut möglich, dass das gestohlene Geld letztlich in Nordkorea gelandet ist.
Während die Nachrichtenagenturen von Super-Hackern und Cyber-Spionage berichten, sind die alltäglichen Risiken für wachsende Unternehmen meistens viel unspektakulärer: Cyberkriminelle haben es auf Geld abgesehen.
Want more from The CFO Club?
Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.
Have an account? Log In
Manchmal stehlen sie vertrauliche Informationen, die sie in Geld umwandeln können: geistiges Eigentum, Bonitätsdaten oder Kreditkartendetails.
Manchmal erpressen sie Unternehmen.
Die meisten Cyberangriffe beginnen damit, Menschen hereinzulegen und Geld abzugreifen – deshalb benötigen Sie heute mehr denn je eine solide Online-Zahlungssicherheit.
Die AFP, das FBI und Verizon veröffentlichen jedes Jahr aufschlussreiche Berichte, die die wachsende Bedrohung für Unternehmen zeigen. Sie alle kommen zu demselben Ergebnis: Die häufigsten Straftaten sind Betrug und Diebstahl, viele schädigen betroffene Firmen erheblich – und das Risiko steigt von Jahr zu Jahr.
Die Rolle der modernen CFOs wird immer umfassender: organisatorische KPIs, strategische Planung und sogar das gesamte Risikomanagement für den Betrieb. Wie bringen Sie all das unter einen Hut und sichern Ihr Unternehmen mit dem gleichen Personal und Budget wie bisher?
Ich erläutere die schnellsten, einfachsten und besten Ansätze, um das größte Cyberrisiko im Unternehmen anzugehen: sichere Online-Zahlungen. Ich starte mit technischen Strategien und komme dann zu den Zahlungsvorgängen.
Sicherheitstechnologie – Lohnt sich das?
Sucht man bei Google nach „Sicherheit für Online-Zahlungen“, stößt man meist auf Top-10-Listen, die den allgemeinen Sicherheitstipps der letzten 20 Jahre stark ähneln: komplizierte Passwörter, Multi-Faktor-Authentifizierung (MFA), Verschlüsselung, Antivirus (AV), Firewalls usw.
Diese Listen sind von einer Philosophie geprägt, die Absicherung und das Vermeiden von Schuldzuweisungen in den Mittelpunkt stellt. Wer kann sich schon lange, komplizierte und völlig einzigartige Passwörter für jedes System merken? Technisch betrachtet würde es schützen, aber im Grunde kann der Berater so im Nachhinein immer behaupten: „Ich habe es ja gesagt!“, weil er sicher sein kann, dass niemand all seine Ratschläge befolgt hat.
Außerdem sind Firewalls, Multifaktor und Virenscanner heute nicht mehr das, was sie vor 15 Jahren waren. Heute empfehlen Trendsetter XDR-basierte und WebAuthN-föderierte Cloud-Technik mit KI-gesteuertem SIEM. Oder so in der Art – bis 2026 ändert sich das garantiert wieder.
Was stimmt an der Technik-Checkliste nicht?
Sie veralten zu schnell. Mittlerweile ist fast alles standardmäßig verschlüsselt, die kostenlose und integrierte AV-Software steht kommerziellen Lösungen in nichts nach, herkömmliche MFA lässt sich leicht umgehen, und Zero-Trust-Identitätsmanagement hat Firewalls größtenteils abgelöst.
Drei Sicherheitsprinzipien, die dauerhaft wirken
Es gibt drei Prinzipien, die sich beim Schutz von Technik bewährt haben und auch weiterhin gelten: Delegation, Prozess und Messbarkeit.
1. Delegation
Unternehmen auf der ganzen Welt stellen fest: Die sicherste, stabilste und kostengünstigste IT-Strategie ist, weniger IT selbst zu machen. Der Wechsel zu Software-as-a-Service (SaaS)-Plattformen ist dabei am beliebtesten – so wird die gesamte Technik praktisch eliminiert. Für alles, was sich nicht auslagern lässt, lohnt sich ein externer IT-Dienstleister, der Sicherheitsmaßnahmen übernimmt.
2. Prozess
Ihre größte Stärke und Ihr größtes Risiko sind die Menschen. Risikobehaftete Aufgaben zu identifizieren, zu vereinfachen und abzusichern, ist meist der schnellste und effektivste Weg, die Gesamtsicherheit zu verbessern. Das hilft auch den IT-Kollegen, den Fokus nicht zu verlieren: Der Schutz Ihres ERP ist weit wichtiger als die Grafik-App.
3. Messbarkeit
Wie können Sie sicherstellen, dass Ihre Dienstleister Sie angemessen schützen? Delegieren Sie auch diese Aufgabe! Es gibt einfache und kostenfreie Wege, die Sicherheit von Online-Zahlungsplattformen zu überprüfen, und diese bleiben stets aktuell. In der Regel reichen 20 Minuten Recherche – das lohnt sich bei wichtigen Produkten allemal.
- Suchen Sie nach einer Historie von Sicherheitsvorfällen und Datenschutzverletzungen beim Anbieter.
- Recherchieren Sie den Anbieter auf einer Sicherheitsbewertungsplattform. SecurityScorecard und RiskRecon bieten einen kostenlosen Zugang.
- Prüfen Sie, ob es ein Bug-Bounty-Programm gibt; das ist ein gutes Zeichen. Bugcrowd, Synack und Hackerone sind gebräuchliche Plattformen.
Wenn Sie eine höhere Genauigkeit benötigen, können viele IT-Sicherheitsberater eine tiefere Einschätzung zu einem vertretbaren Preis durchführen. Beachten Sie: Messungen sind keine einmalige Angelegenheit. Da sich Unternehmen verändern, kann sich auch deren Sicherheitsniveau ändern.
Zahlungen
Die Bezahlung von Anbietern ist Verhandlungssache: Manche Methoden bringen Ihnen oder Ihrem Gegenüber Vorteile. Die meisten dieser Überlegungen betreffen nicht die Sicherheit: Durch Zahlung per Scheck und das Bestehen auf NET30-Konditionen erhalten Sie bessere Kontrolle über Ihren Cashflow. Die Bequemlichkeit von Kreditkarten bringt Ihrem Anbieter deutliche Kosten. Das sind wichtige Faktoren und werden ausführlich diskutiert.
Heute erkläre ich, wie sich Online-Zahlungssicherheitsoptionen auf Ihr Betrugsrisiko auswirken. Ich ordne die wichtigsten Online-Zahlungsmethoden nach Risiko für Sie, erkläre warum und schlage die besten Wege zur Risikoreduzierung vor.
Kreditkarten
Risiko: Am niedrigsten
Kreditkartenzahlungen sind durchgehend die sicherste Zahlart. Nahezu alle Herausgeber übernehmen die Haftung für Betrug komplett – manchmal bis zu einem Jahr später, und das ohne Nachfragen. Noch besser: Da diese Unternehmen dieses Interesse haben, investieren sie erheblich in Betrugserkennung zum Schutz ihrer Kunden. Die Qualität kann je nach Institut variieren, ist aber oft besser als alles, was man privat erwerben kann.
Kartendaten werden häufig gestohlen, entweder durch Manipulation von Point-of-Sale-Systemen (genannt Skimmer) oder indem sämtliche Daten aus einem zentralen Zahlungsabwicklungssystem gestohlen werden. Diese Diebstähle nehmen jährlich ab, da der Payment Card Industry Security Standards Council zunehmend Druck auf alle ausübt, die Kreditkartenzahlungen abwickeln.
Der Nachteil sind die Kosten für Ihre Anbieter: Die meisten Kreditkartenanbieter verlangen 2,7 % Gebühren pro Transaktion, bei hohem Volumen sind Rabatte bis zu 1,5 % möglich. Diese Gebühr finanziert größtenteils Betrugsschutz und Kartenprämien.
Schutz
Geschäftskarten nutzen
Stellen Sie sicher, dass Geschäftszahlungen auf Kreditkarten laufen, die rechtlich dem Unternehmen zugeordnet sind und nicht Eigentümern und Mitarbeitenden. Die Trennung von Privat- und Geschäftsfinanzen erleichtert nicht nur die Buchhaltung, sondern schützt auch die finanzielle Gesundheit von Inhabern und Beschäftigten, falls dem Unternehmen etwas zustoßen sollte.
Bonus: Durch die Nutzung von Kreditkarten baut das Unternehmen auch Bonität auf, was die Konditionen und Zinssätze für Kredite deutlich verbessern kann. Während private Kredite an Sozialversicherungsnummern gebunden sind, wird die Unternehmensbonität über die Steuernummer (EIN) geführt. Die wichtigsten Bonitätsagenturen in den USA sind Dun & Bradstreet, Creditsafe, Experian Business und Equifax Business.
Virtuelle Karten
Was wäre, wenn Sie per Mausklick beliebig viele Kreditkarten erstellen könnten? Damit hätten Sie eine außergewöhnliche Granularität zur Betrugsprävention: Jeder Anbieter erhält eine eigene Karte und Sie können das Limit auf den erwarteten Betrag beschränken. Kündigen Sie Services, können Sie die Zahlungen sofort stoppen, ohne auf eine Kündigungsbestätigung durch den Anbieter angewiesen zu sein.
Immer mehr Fintechs und Banken ermöglichen genau das. Über ein Webportal können Sie eine (nahezu) unbegrenzte Anzahl von Karten generieren, verwalten und löschen. Alle Karten belasten dasselbe Konto, sodass Sie Ihre Ausgaben zentral nachvollziehen können. Der Marktführer in diesem Bereich ist Ramp, das eine eigene, sehr flexible Regelungs-Engine für die Kontrolle entwickelt hat.
Die größte Quelle von Kreditkartenbetrug ist gestohlene Karteninformation. Es existiert eine riesige Kette von Betrügern, die Kartendaten stehlen, weiterverkaufen und Duplikate herstellen, sowie Geldkuriere, die diese zum Betrug nutzen. Die meisten von uns haben das schon erlebt: Die Karte muss gesperrt, eine neue verschickt und alle mit dieser Karte verbundenen Dienstleistungen aktualisiert werden.
Mit virtuellen Karten wird all das einfach. Unerwartete Zahlungen fallen sofort auf und Zahlungsdaten müssen nur bei einem einzelnen Anbieter geändert werden. Sie wissen genau, welcher Anbieter den Betrug ermöglicht hat: Die unautorisierten Abbuchungen erfolgen über dessen spezifische Karte.
Zahlungsnetzwerke
Risiko: Gering
Ein Zahlungsnetzwerk ist ein Verzeichnis von Unternehmen mit geprüften Zahlungsinformationen. Anstatt Zahlungsdaten manuell auszutauschen, wählen Sie Ihren Anbieter aus der Liste aus, legen den Betrag fest und die Zahlung wird automatisch übertragen. Solche Netzwerke werden häufig von großen Banken betrieben und als Teil eines verwalteten Kreditorenbuchhaltungsdienstes integriert. Es gibt einige öffentlich zugängliche Netzwerke wie Bottomline Paymode-X in den USA und EFTsure in Australien. Wenn Sie einen von einer Bank bereitgestellten AP-Dienst nutzen, stellen Sie sicher, dass dieser eine Lieferantenüberprüfung beinhaltet. Einige Banken verschicken Schecks ohne Prüfung an jede beliebige von Ihnen angegebene Adresse; es versteht sich von selbst, dass dies keinen Schutz vor Betrug bietet.
Auch Fintech-Unternehmen, die sich an kleine Unternehmen richten, entwickeln diese Netzwerke rasch weiter, und Experten in meinem Netzwerk erwarten in den kommenden Jahren ein erhebliches Wachstum in diesem Bereich.
Der konsequente Einsatz eines Zahlungsnetzwerks verringert den Betrug erheblich (das ist auch ein wichtiger Vorteil von mobilen Bezahl-Apps). Eine der häufigsten Quellen für B2B-Betrug sind abgefangene Zahlungen zwischen legitimen Unternehmen, meistens indem sie dazu verleitet werden, falsche Zahlungsdaten zu nutzen. Zahlungsnetzwerke beseitigen diese Fehlerquelle: Sie stellen sicher, dass Zahlungsdetails korrekt sind und arbeiten daran, Betrüger vom Zutritt zur Plattform auszuschließen.
Selten sind alle Ihre Anbieter auf einem Netzwerk, daher kann diese Technik nicht alleine stehen.
ACH
Risiko: Gering-Mittel
Automated Clearing House Transaktionen (allgemein als ACH bekannt, auch als Direktüberweisung bezeichnet) weisen die geringste Betrugsrate im Vergleich zu anderen kommerziellen Online-Zahlungsmethoden auf. Der Großteil dieser Transaktionen sind allerdings automatisierte Überweisungen zwischen großen Unternehmen mit eigenständigen und ausgefeilten Betrugspräventionssystemen. Das Risiko für diese Unternehmen ist nicht mit dem Risiko für kleinere Unternehmen vergleichbar. Die Zahlung per ACH ist immer noch ziemlich sicher, insbesondere wenn Ihr Anbieter eine spezielle Zahlungsplattform mit einem Self-Service-Zahlungsportal nutzt.
ACH funktioniert über das Girokontosystem und wird innerhalb von 3–5 Tagen abgewickelt, abhängig von Betrugsindikatoren wie Zahlungshöhe und vorheriger Aktivität. Wie beim Kreditkartensystem gibt es keine Autorisierungsmechanismen: Wer die Kontonummer kennt, kann eine Belastung auf dieses Konto veranlassen. Während die Kreditkartenbranche versucht, die Nummern geheim zu halten, hat dies für Bankkontonummern keine Aussicht auf Erfolg: Diese kann jeder einsehen, der einen Ihrer Schecks sieht oder Ihre ACH-Zahlungsdetails betrachtet.
Darüber hinaus gibt es für Unternehmen kaum Betrugsschutz. Banken sind nur verpflichtet, innerhalb von 24 Stunden nach der Transaktion das Geld zurückzuholen.
Der größte Schutz vor ACH-Betrug besteht darin, dass eine seriöse Finanzinstitution ihn initiieren muss. In den USA verpflichten Know Your Customer (KYC), Anti-Money Laundering (AML) und andere Bankenregulierungen des FFIEC die Banken, Kunden und Transaktionen streng auf verdächtige Aktivitäten zu prüfen. Obwohl die Regulierung Kriminalität immer einen Schritt hinterherhinkt, haben Banken ein starkes Eigeninteresse, Kriminellen die Nutzung ihrer Dienste zu verwehren.
Schutz
Diese Methoden gelten sowohl für ACH als auch für Schecks.
Kontentrennung & Benachrichtigungen
Mehrere Konten für verschiedene Zwecke zu erstellen, kann ausgezeichneten Schutz zu geringen Kosten bieten. Die Einrichtung eines eigenen Forderungskontos, Treasury- und Zahlungskontos kann Ihre Betrugsanfälligkeit begrenzen. Forderungskonten sollten häufig in das Treasury-Konto abgezogen werden, und Beträge für erwartete Belastungen werden vom Treasury-Konto auf die Zahlungskonten verschoben. Richten Sie Benachrichtigungen für alle Konten für unerwartete Situationen wie niedrige Kontostände ein.
So kennen Außenstehende nur Konten mit begrenzten Mitteln, sodass Betrugsversuche – falls sie gelingen – nur begrenzten Schaden anrichten. Verschiedene Banken bieten unterschiedlich viel Automatisierung für diese Strategie, und viele bieten sie als Paketlösung für größere Kunden an, meist unter dem Namen Treasury Management.
Zugelassene Anbieter (nur ACH)
Einige Banken erlauben es Geschäftsgirokonten, ACH-Belastungen auf eine autorisierte Liste von Konten zu beschränken. Dies kann die Möglichkeit betrügerischer ACH-Transaktionen ausschließen, erfordert jedoch Wartungsaufwand und kann bei Problemen lästig sein.
Vermeiden Sie ACH und Schecks bei Anbietern mit manueller Zahlungsabwicklung
Da Ihr Risiko für ACH- und Scheckbetrug direkt davon abhängt, wie viele Personen Ihre Schecks sehen, können Sie es durch die ausschließliche Verwendung in automatisierten Self-Service-Zahlungsprozessoren senken.
Für ACH sollten Sie nach einem Webportal suchen, bei dem Sie sich anmelden und Ihre Zahlungsmethode selbst eingeben. Oft erkennt man, wenn ein solches Portal vom Anbieter bereitgestellt wurde: Quickbooks, Stripe und Paypal sind beliebte Optionen. Eigenentwicklungen werden seltener automatisiert verarbeitet und stellen daher ein höheres Risiko dar.
Für Schecks handelt es sich um eine Lockbox-Einrichtung, die zahlreiche Eingänge für viele Unternehmen automatisiert verarbeitet. Ob eine Adresse eine Lockbox-Einrichtung ist, können Sie durch eine Kartensuche herausfinden. Gehört sie Ihrer Bank oder einem bekannten Lockbox-Dienstleister, ist das ideal.
Schreiben Sie keine eigenen Schecks aus
Ein erheblicher Anteil an Scheck- und ACH-Betrug entsteht durch den einfachen Diebstahl von Schecks aus Ihrer ausgehenden Post.
Sie können dies vermeiden, indem Sie einen Zahlungsdienst nutzen, der Schecks in Ihrem Namen druckt und versendet. Dies wird häufig zusammen mit einem Zahlungsnetzwerk angeboten. Viele Banken bieten dies mit unterschiedlichen Automatisierungsgraden an. Solche Schecks werden in zentralen Einrichtungen gedruckt, wodurch Diebstahl erschwert wird.
Bank wechseln
Wenn Sie vermuten, dass Ihre Bank nicht in Scheck- oder ACH-Betrugsprävention investiert hat, wechseln Sie einfach. Es gibt zwar keine unabhängigen und objektiven Rankings von Banken in diesem Bereich und Sie haben wahrscheinlich nicht die Hebelwirkung, sie zu prüfen, aber es gibt einige Grundsätze:
- Größer ist oft besser. Größere Institute können es sich oft leisten, mehr in Online-Betrugsprävention zu investieren.
- Kompetenz ist meist von Vorteil. Eine Betrugshistorie, Missmanagement oder einfache Desorganisation sind schlechte Zeichen.
- Neuer ist meistens besser. Das Bankmanagement ist oft konservativ gegenüber Veränderungen, auch bei neuen Wegen, Betrug für ihre Kunden zu bekämpfen.
Schecks
Risiko: Mittel
Scheckbetrug ist die häufigste Quelle für Betrug bei B2B-Zahlungen, laut dem jährlichen Bericht der AFP. Wie bei ACH gibt es bei Schecks ein 24-Stunden-Fenster, um eine Transaktion anzufechten. Außerdem lassen sich Schecks leicht drucken, wenn die Kontonummer bekannt ist. Jede Person, die Ihre Schecks sieht, ist eine weitere Gelegenheit, Scheck- oder ACH-Betrug zu versuchen (und es gibt nur wenige Vorteile der Online-Zahlungssicherheit, wenn Sie eben nicht online bezahlen).
Die meisten Scheckbetrugsfälle können von Banken erkannt werden, aber nicht alle investieren gleichermaßen; die Qualität Ihrer Bank macht bei diesem Risiko einen großen Unterschied.
Schutz
(siehe Techniken oben unter ACH)
Proprietäre Zahlungssysteme
Risiko: Hoch
Zelle, Cash App, Venmo, PayPal und Überweisungen sind bevorzugte Mechanismen für Kriminalität, mit wenig Online-Zahlungssicherheit. Transaktionen sind sofort und unumkehrbar. Diese Plattformen unterliegen keiner staatlichen Kontrolle oder Verbraucherschutz, sodass sie wenig Anreiz haben, Betrug zu erkennen und zu verhindern.
Diese Plattformen sind am besten für Verbraucher und kleine Beträge geeignet – zum Beispiel um jemanden fürs Abendessen zurückzuzahlen oder dem Jugendlichen, der Ihren Rasen gemäht hat, Geld zu geben.
Schutz
Seien Sie vorsichtig
Wenn ein Anbieter nur über eine dieser Plattformen bezahlt werden kann, seien Sie besonders vorsichtig. Überprüfen Sie die Zahlungsdetails doppelt und nutzen Sie solche Plattformen nur für Transaktionen, deren Verlust Sie verschmerzen können. Schränken Sie die Plattform soweit wie möglich ein: Wenn sich jemand unerlaubt Zugang verschafft und sich selbst Geld sendet, kann das übel ausgehen.
Kombinieren Sie mit Kontensegmentierung
Das Aufladen dieser Zahlungsplattformen mit getrennten, limitierten Konten ist eine einfache und effektive Methode, Ihr Risiko zu begrenzen.
Debitkarten
Risiko: Schlechte Idee
Debitkarten vereinen alle Nachteile von Kreditkarten und Schecks – aber keinen der Vorteile. Da eine Debitkarte im Ökosystem der Kreditkarten verwendet wird, werden Kartennummern häufig gestohlen und für Betrug genutzt. Für Debitkartentransaktionen gibt es jedoch keinen Betrugsschutz: Wie bei Schecks müssen Sie eine betrügerische Transaktion innerhalb von 24 Stunden anfechten.
Schlimmer noch: Die Tools und Erfahrungen, die Banken zur Bekämpfung von Scheckbetrug entwickelt haben, funktionieren nicht bei Kartentransaktionen, und Banken, die Debitkarten anbieten, investieren selten in die bei Kreditkartenunternehmen übliche Betrugserkennung.
Schutz
Kündigen Sie sie
Debitkarten sind gefährlich und es gibt keinen Einsatzbereich, den eine Kreditkarte nicht besser abdecken könnte. Extra-Prämien lohnen sich nicht.
Kryptowährungen
Risiko: Verrückt
Dies ist das Gegenteil von Online-Zahlungssicherheit.
Meiner Meinung nach sind die einzigen Unternehmen, die unbedingt in Kryptowährung bezahlt werden müssen, kriminelle Organisationen. Kryptowährungen haben alle Nachteile proprietärer Zahlungsplattformen (sofortig, kein Schutz vor Betrug, keine regulatorischen Anreize) und sind zudem anfälliger für technische Angriffe, Marktmanipulation und eine Kultur von Betrug innerhalb ihrer Institutionen. Sie eignen sich für Geldwäsche und Diebstahl.
Schutz
Nicht machen
Außer du bist eine kriminelle Organisation.
Bleib schlau, bleib geschützt
Während Zahlungsbetrug im Netz die größte Cyber-Bedrohung für die meisten Unternehmen darstellt, lässt sich dieser schnell, einfach und wirkungsvoll bekämpfen. Eine sinnvolle Auslagerung von Technik und der Verzicht auf riskantere Online-Zahlungsarten beseitigen bereits einen Großteil dieses Risikos.
Auch die meisten verbleibenden Risiken im Bereich Kreditorenbuchhaltung lassen sich leicht vermeiden. Abonniere meinen nächsten Beitrag und erfahre, wie eine gezielte Strategie und Prozesse in der Kreditorenbuchhaltung Hacker und Kriminelle aufhalten können.
Gedanken, Meinungen oder Fragen? Schreib mir, beteilige dich an der Diskussion unten oder mach in den sozialen Medien mit.
