B2B-Zahlungen absichern: 14 Expertentipps, die Sie diesen Monat umsetzen können
Ohne Sicherheit beim Online-Bezahlen könnten Sie unbeabsichtigt zur Finanzierung eines Atomwaffenprogramms beitragen.
Klingt verrückt? Noch einmal nachdenken. Wenn Sie jemals Opfer von Cyberkriminalität wurden, ist es gut möglich, dass das gestohlene Geld letztlich in Nordkorea gelandet ist.
Während die Nachrichtenagenturen sensationelle Geschichten über Super-Hacker und Cyber-Spionage verbreiten, sehen die Risiken für wachsende Unternehmen im Alltag meist viel banaler aus: Cyberkriminelle sind scharf auf Geld.
Want more from The CFO Club?
Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.
Have an account? Log In
Manchmal stehlen sie auch Geheimnisse, die sie in Geld verwandeln können: geistiges Eigentum, Bonitätsdaten oder Kreditkartendetails.
Manchmal erpressen sie Unternehmen.
Die meisten Cyberangriffe starten damit, Menschen zu täuschen und ihnen Geld abzuluchsen – deshalb ist eine starke Sicherheit beim Online-Bezahlen heute wichtiger denn je.
Die AFP, das FBI und Verizon veröffentlichen jedes Jahr aufschlussreiche Zusammenfassungen, die bis in die Vergangenheit reichen, und alle zeigen das gleiche Bild: Die beliebtesten Verbrechen sind Betrug und Diebstahl, viele davon richten schweren Schaden an und das Risiko wächst jedes Jahr weiter.
Der moderne CFO übernimmt immer mehr Verantwortung: Unternehmens-KPIs, strategische Planung und sogar das ganze Risikomanagement der Organisation. Wie gelingt es, all das unter einen Hut zu bringen und das Unternehmen mit dem bisherigen Personal und Budget abzusichern?
Ich zeige Ihnen die schnellsten, einfachsten und effektivsten Wege, wie Sie das größte Cyberrisiko für Unternehmen adressieren: Online-Zahlungen. Zuerst stelle ich Technologielösungen vor, danach gehe ich auf Bezahlprozesse ein.
Sicherheitstechnologie – Lohnt sich das?
Wenn Sie „Online-Zahlungssicherheit“ googeln, finden Sie meist Top-10-Listen, die dem generellen Sicherheitsrat der letzten 20 Jahre gleichen: schwierige Passwörter, Multi-Faktor-Authentifizierung (MFA), Verschlüsselung, Virenschutz, Firewalls und Ähnliches.
Diese Listen entstehen aus einer Philosophie der Verteidigung und des Vermeidens von Schuldzuweisungen. Wer kann sich schon lange, komplizierte und völlig individuelle Passwörter für jedes System merken? Technisch gesehen könnte das schützen – praktisch kann der Sicherheitsexperte so hinterher mit hoher Sicherheit sagen: „Ich hab’s ja gesagt!“, weil kaum jemand den Rat befolgt.
Übrigens: Firewalls, Multifaktor und AV sind auch nicht mehr das, was sie vor 15 Jahren waren. Heute sagen die jungen Wilden, dass eine starke technische Abwehr XDR-getrieben und WebAuthN-föderierte Cloud mit einer KI-SIEM sein muss. Oder so. 2025 sieht’s garantiert schon wieder anders aus.
Was ist verkehrt an einer Technik-Checkliste?
Sie veralten zu schnell. Heutzutage ist alles verschlüsselt, der freie und voreingestellte Virenschutz ist genauso gut oder besser als kommerzielle Angebote, klassische MFA wird leicht umgangen, und 0-Trust-Identität hat Firewalls weitgehend überflüssig gemacht.
Drei Sicherheitsprinzipien, die dauerhaft funktionieren
Es gibt drei Prinzipien, die beim Schutz der Technik Bestand haben und behalten werden: Delegation, Prozess und Messbarkeit.
1. Delegation
Weltweit erkennen Unternehmen: Die sicherste, widerstandsfähigste und günstigste IT-Strategie ist es, weniger IT selbst zu machen. Der Umstieg auf Software-as-a-Service (SaaS)-Plattformen ist dabei der beliebteste Weg – damit entfällt nahezu alle Technik. Nutzen Sie einen externen IT-Dienstleister, um alle Sicherheitsmaßnahmen an dem zu übernehmen, was nicht ausgelagert werden kann.
2. Prozess
Ihr größter Vorteil und Ihr größtes Risiko sind die Menschen. Risikobehaftete Aktivitäten zu identifizieren, zu verschlanken und abzusichern, ist meist der einfachste und wirkungsvollste Weg, die Gesamt-Sicherheit zu verbessern. Und es hilft Technikern, die Prioritäten richtig zu setzen: Der Schutz des ERP ist viel wichtiger als die Grafikdesign-App.
3. Messbarkeit
Wie stellen Sie sicher, dass Ihre Delegierten Sie ausreichend schützen? Delegieren Sie das auch! Es gibt kostenlose und einfache Wege, die Online-Bezahlsicherheit einer Plattform zu messen; alle sind auch zukünftig aktuell. In der Regel dauert das 20 Minuten Google-Suche: Für wichtige Produkte definitiv lohnenswert.
- Suchen Sie nach einer Historie von Sicherheitsverletzungen und Datenschutzverletzungen beim Anbieterunternehmen.
- Recherchieren Sie den Anbieter auf einer Sicherheitsbewertungsplattform. SecurityScorecard und RiskRecon bieten eine kostenlose Stufe an.
- Prüfen Sie, ob es ein Bug-Bounty-Programm gibt; das ist ein gutes Zeichen. Bugcrowd, Synack und Hackerone sind gängige Plattformen.
Wenn Sie eine höhere Genauigkeit benötigen, können viele technische Sicherheitsberatungen eine tiefgreifendere Bewertung gegen eine angemessene Gebühr durchführen. Seien Sie sich bewusst: Eine Messung ist keine einmalige Angelegenheit. Da sich Unternehmen verändern, kann sich auch deren Sicherheit verändern.
Zahlungen
Die Bezahlung von Anbietern ist Verhandlungssache: Einige Methoden verschaffen Ihnen oder ihnen Vorteile. Die meisten dieser Überlegungen sind nicht sicherheitsrelevant: Wenn Sie per Scheck bezahlen und auf NET30-Konditionen bestehen, haben Sie bessere Kontrolle über Ihren Cashflow. Die Bequemlichkeit von Kreditkarten verursacht erhebliche Kosten für Ihren Anbieter. Das sind wichtige Faktoren und werden ausführlich diskutiert.
Heute erkläre ich, wie sich diese Online-Zahlungssicherheitsoptionen auf Ihr Betrugsrisiko auswirken. Ich bewerte die wichtigsten Online-Zahlungsmethoden nach Risiko für Sie, erläutere die Gründe und schlage die besten Möglichkeiten vor, dieses Risiko zu verringern.
Kreditkarten
Risiko: Am geringsten
Kreditkartenzahlungen sind durchweg die sicherste Zahlungsmethode. Nahezu alle Kreditkartenanbieter übernehmen die vollständige Haftung bei Betrug – manchmal bis zu einem Jahr später; ohne Nachfragen. Noch besser: Da diese Unternehmen einen Anreiz dazu haben, investieren sie massiv in die Betrugserkennung im Interesse ihrer Kunden. Die Qualität kann je nach Institut variieren, ist aber oft besser als alles, was Sie kaufen können.
Kartendaten werden häufig gestohlen, entweder durch Manipulation eines Kassensystems (Skimmer genannt) oder durch den Diebstahl aller Daten aus einem zentralen Zahlungsabwicklungssystem. Diese Diebstähle nehmen jedes Jahr ab, da der Payment Card Industry Security Standards Council strengere Anforderungen an Kreditkartenabwickler stellt.
Der Nachteil sind die Kosten für Ihre Anbieter: Die meisten Kartenabwickler nehmen 2,7 % Gebühr von jeder Transaktion, wobei die Gebühr beim Massenverarbeiten auf bis zu 1,5 % sinken kann. Diese Gebühren finanzieren hauptsächlich den Betrugsschutz und Kartenprämien.
Schutz
Geschäftskreditkarten nutzen
Stellen Sie sicher, dass geschäftliche Zahlungen über Kreditkarten abgewickelt werden, die rechtlich an das Unternehmen gebunden sind – nicht an Eigentümer oder Angestellte. Die Trennung zwischen privaten und geschäftlichen Finanzen erleichtert nicht nur die Buchhaltung, sondern schützt auch die finanzielle Gesundheit von Inhabern und Mitarbeitenden, falls dem Unternehmen etwas passiert.
Bonus: Der Einsatz von Kreditkarten baut auch die Kreditwürdigkeit von Unternehmen auf und verbessert so die verfügbaren Konditionen und Zinssätze für Kredite erheblich. Während die persönliche Bonität anhand der SSN erfasst wird, erfolgt die Unternehmensbonität über die EIN. Die wichtigsten Wirtschaftsauskunfteien in den USA sind Dun & Bradstreet, Creditsafe, Experian Business und Equifax Business.
Virtuelle Kreditkarten
Was wäre, wenn Sie einfach per Mausklick beliebig viele Kreditkarten erstellen könnten? Dies würde Ihnen unglaubliche Kontrolle über Betrugsrisiken geben: Jeder Anbieter könnte eine eigene Karte erhalten und Sie könnten das Limit auf den erwarteten Betrag begrenzen. Bei Beendigung der Zusammenarbeit können Sie die Zahlungen einstellen, ohne darauf angewiesen zu sein, dass der Anbieter keine Abbuchungen mehr vornimmt.
Immer mehr Fintech-Unternehmen und Banken bieten genau das an. Über ein Web-Portal können Sie eine (praktisch) unbegrenzte Anzahl an Karten erstellen, verwalten und löschen. Alle belasten ein gemeinsames Konto, sodass Sie einen zentralen Überblick über die Ausgaben haben. Marktführer in diesem Bereich ist Ramp, das in eine eigene Regel-Engine investiert hat, die weitreichende Kontrollmöglichkeiten bietet.
Die größte Ursache für Kreditkartenbetrug ist der Diebstahl von Kartendaten. Es gibt eine ausgeklügelte Lieferkette von Betrügern, die Kartendaten stehlen, andere kaufen diese Daten auf und fertigen Duplikate an, und "Geldesel" setzen diese für betrügerische Belastungen ein. Die meisten von uns haben das schon erlebt und es ist ärgerlich: Die Karte muss gesperrt werden, eine neue wird verschickt und jeder Dienst, der diese Karte nutzt, muss aktualisiert werden.
Mit virtuellen Karten wird das ganz einfach: Unerwartete Zahlungen sind auffälliger, und Änderungen an Zahlungsdaten sind nur beim betreffenden Anbieter notwendig. Sie wissen genau, welcher Anbieter den Betrug ermöglicht hat: Die unbefugten Belastungen erfolgen auf dessen eigene Karte.
Zahlungsnetzwerke
Risiko: Gering
Ein Zahlungsnetzwerk ist ein Verzeichnis von Unternehmen mit überprüften Zahlungsinformationen. Anstatt Zahlungsdaten manuell auszutauschen, wählen Sie Ihren Lieferanten aus der Liste, setzen den Betrag fest, und die Zahlung wird automatisch überwiesen. Solche Netzwerke werden oft von großen Banken betreut und als Teil eines verwalteten Kreditorenbuchhaltungsdienstes integriert. Es gibt einige öffentlich zugängliche Netzwerke wie Bottomline Paymode-X in den USA und EFTsure in Australien. Wenn Sie einen von einer Bank bereitgestellten AP-Dienst nutzen, stellen Sie sicher, dass dieser eine Lieferantenüberprüfung bietet. Manche Banken schicken Schecks blindlings an jede von Ihnen angegebene Adresse, was, wie man sich denken kann, keinen Betrugsschutz bietet.
Auch Fintechs, die sich an kleine Unternehmen richten, entwickeln diese Netzwerke rasant, und Experten in meinem Netzwerk erwarten in den nächsten Jahren ein erhebliches Wachstum in diesem Bereich.
Die konsequente Nutzung eines Zahlungsnetzwerks verringert Betrug erheblich. Eine der größten Quellen für B2B-Betrug sind abgefangene Zahlungen zwischen legitimen Unternehmen, meist indem sie dazu verleitet werden, falsche Zahlungsinformationen zu verwenden. Zahlungsnetzwerke beseitigen diese Fehlerquelle: Sie stellen sicher, dass Zahlungsdetails korrekt sind, und arbeiten daran, Betrüger vom Beitritt zur Plattform abzuhalten.
Selten werden alle Ihre Lieferanten in einem Netzwerk sein, daher ist diese Technik allein nicht ausreichend.
ACH
Risiko: Niedrig-Mittel
Automatisierte Clearing House-Transaktionen (meist ACH, auch bekannt als Direktüberweisung) weisen im Vergleich zu anderen kommerziellen Online-Zahlungsmethoden die niedrigste Betrugsrate auf. Allerdings handelt es sich bei den meisten dieser Transaktionen um automatisierte Überweisungen zwischen großen Unternehmen mit eigenständigen und ausgeklügelten Betrugsbekämpfungsmechanismen. Das Risiko für diese ist nicht dasselbe wie für ein kleineres Unternehmen. Die Zahlung über ACH ist weiterhin relativ sicher, insbesondere wenn Ihr Lieferant eine dedizierte Zahlungsplattform mit Selbstbedienungsportal nutzt.
ACH funktioniert über das Schecksystem und wird je nach Betrugsindikatoren wie Betrag und bisherigen Aktivitäten in 3-5 Tagen abgewickelt. Wie beim Kreditkartensystem existiert auch hier kein Autorisierungsmechanismus: Wer eine Kontonummer kennt, kann von diesem Konto einen Betrag abbuchen. Während die Kreditkartenbranche versucht, ihre Nummern geheim zu halten, gibt es bei Bankkontonummern keine Aussicht darauf: Sie sind für jeden zugänglich, der einen Ihrer Schecks sieht oder Ihre ACH-Zahlungsdetails einsehen kann.
Darüber hinaus gibt es für Unternehmen kaum Betrugsschutz. Banken sind lediglich verpflichtet, das Geld innerhalb von 24 Stunden nach der Transaktion zurückzufordern.
Der größte Schutz vor ACH-Betrug besteht darin, dass eine seriöse Finanzinstitution die Transaktion einleiten muss. In den USA legen Know Your Customer (KYC), Anti-Geldwäsche-Richtlinien (AML) und andere Bankvorschriften der FFIEC strenge Anforderungen an Banken fest, Kunden und Transaktionen auf verdächtige Aktivitäten zu überprüfen. Auch wenn Regulatorik dem Verbrechen immer einen Schritt hinterher ist, haben Banken ein großes Interesse daran, Kriminelle von der Nutzung ihrer Dienste abzuhalten.
Schutz
Diese Methoden gelten sowohl für ACH als auch für Schecks.
Konten segmentieren & Warnmeldungen
Die Einrichtung mehrerer Konten für verschiedene Zwecke kann einen ausgezeichneten Schutz bei geringen Kosten bieten. Ein dediziertes Forderungskonto, ein Treasury-Konto und ein Verbindlichkeitenkonto können Ihre Betrugsexponierung begrenzen. Forderungskonten sollten regelmäßig auf das Treasury-Konto geleert werden und Gelder für anstehende Zahlungen vom Treasury-Konto auf das Verbindlichkeitskonto verschoben werden. Richten Sie für alle Konten Warnmeldungen für unerwartete Situationen wie niedrige Kontostände ein.
So kennen Außenstehende nur Konten mit begrenztem Guthaben, sodass Betrugsversuche bei Erfolg weniger Schaden anrichten. Verschiedene Banken bieten für diese Strategie unterschiedliche Automatisierungsgrade an und viele bieten es als Paketdienstleistung für größere Kunden unter dem Namen Treasury Management an.
Gültige Lieferanten (nur ACH)
Einige Banken ermöglichen es Geschäftsgirokonten, ACH-Buchungen auf eine autorisierte Liste von Konten zu beschränken. Damit lässt sich das Risiko betrügerischer ACH-Transaktionen ausschließen, aber es bedarf regelmäßiger Pflege und kann bei Problemen mühsam sein.
Vermeiden Sie ACH und Schecks für Lieferanten mit manueller Zahlungsabwicklung
Da Ihr Risiko für ACH- und Scheckbetrug direkt davon abhängt, wie viele Personen Ihre Schecks sehen, lässt es sich senken, indem Sie diese nur in automatisierten Selbstbedienungs-Zahlungsprozessoren einsetzen.
Suchen Sie bei ACH nach einem Web-Portal, auf dem Sie sich einloggen und Ihre Zahlungsmethode eingeben. Oft erkennen Sie an den genutzten Plattformen, ob so ein System vom Anbieter bereitgestellt wird: Quickbooks, Stripe und Paypal sind populäre Anbieter. Eigenentwicklungen werden meist nicht automatisch verarbeitet und stellen somit ein größeres Risiko dar.
Bei Schecks ist dies eine Lockbox-Anlage, die Zahlungseingänge für viele Unternehmen automatisch verarbeitet. Ob eine Adresse zu einer Lockbox-Anlage gehört, können Sie über eine Kartenrecherche feststellen. Handelt es sich dabei um Ihre Bank oder einen bekannten Lockbox-Dienstleister, ist das die gewünschte Lösung.
Schreiben Sie keine eigenen Schecks aus
Ein erheblicher Teil von Scheck- und ACH-Betrug entsteht durch den simplen Diebstahl von Schecks aus Ihrer ausgehenden Post.
Sie können dies vermeiden, indem Sie einen Zahlungsdienst nutzen, der Schecks in Ihrem Namen druckt und versendet. Dies ist oft in ein Zahlungsnetzwerk integriert. Viele Banken bieten dies mit unterschiedlichem Automatisierungsgrad an. Solche Schecks werden in zentralen Einrichtungen gedruckt, was Diebstahl erschwert.
Bank wechseln
Wenn Sie vermuten, dass Ihre Bank nicht in den Schutz vor Scheck- oder ACH-Betrug investiert hat, wechseln Sie einfach. Obwohl es in diesem Bereich keine unabhängigen und objektiven Bankrankings gibt und Sie wahrscheinlich nicht die Möglichkeit haben, diese zu prüfen, existieren einige Prinzipien:
- Größer ist oft besser. Größere Institute können sich häufig höhere Ausgaben für die Vermeidung von Online-Betrug leisten.
- Kompetenz ist oft besser. Eine Vorgeschichte von Betrug, Missmanagement oder einfache Desorganisation sind ein schlechtes Zeichen.
- Neuer ist oft besser. In der Bankenbranche ist das Management bei Veränderungen meist konservativ, auch bei neuen Methoden zur Bekämpfung von Betrug im Interesse der Kunden.
Schecks
Risiko: Mittel
Scheckbetrug ist laut dem jährlichen Bericht der AFP die häufigste Betrugsquelle bei B2B-Zahlungen. Wie bei ACH haben Sie bei Schecks ein 24-stündiges Fenster, um eine Transaktion anzufechten. Außerdem sind Schecks einfach zu fälschen, wenn die Kontonummer bekannt ist. Jede Person, die Ihre Schecks sieht, schafft eine weitere Gelegenheit für Scheck- oder ACH-Betrug (und es gibt nur wenige Vorteile bei der Sicherheit von Online-Zahlungen, wenn Sie, na ja, nicht online bezahlen).
Die meisten Scheckbetrugsfälle kann die Bank erkennen, jedoch investieren nicht alle Banken gleich; daher macht die Qualität Ihrer Bank einen großen Unterschied bei diesem Risiko.
Schutz
(siehe Techniken oben unter ACH)
Proprietäre Zahlungssysteme
Risiko: Hoch
Zelle, Cash App, Venmo, PayPal und Überweisungen sind beliebte Methoden für kriminelle Machenschaften, da sie kaum Sicherheit bei Online-Zahlungen bieten. Transaktionen sind sofort und unwiderruflich. Diese Plattformen unterliegen keiner Regulierung oder Verbraucherschutz, daher haben sie wenig Anreiz, Betrug zu erkennen und zu verhindern.
Diese Plattformen eignen sich am besten für Privatpersonen und kleine Beträge – etwa um jemandem das Abendessen zurückzuzahlen oder dem Teenager, der Ihren Rasen gemäht hat.
Schutz
Vorsicht walten lassen
Wenn ein Anbieter ausschließlich so bezahlt werden will, seien Sie vorsichtig. Prüfen Sie die Zahlungsdetails doppelt und nutzen Sie diese Methoden nur für Transaktionen, deren Verlust Sie verschmerzen können. Sichern Sie die Plattform so gut wie möglich ab: Wenn sich jemand Zugang verschafft und sich selbst Geld überweist, kann das böse enden.
Mit Kontensegmentierung kombinieren
Das Befüllen dieser Zahlungsplattformen mit dedizierten, limitierten Konten ist eine einfache und effektive Möglichkeit, Ihr Risiko zu begrenzen.
Debitkarten
Risiko: Schlechte Idee
Debitkarten vereinen alle Nachteile von Kreditkarten mit denen von Schecks, bieten aber keinen der Vorteile. Da eine Debitkarte im Kreditkartensystem genutzt wird, werden Kartennummern häufig gestohlen und für Betrug verwendet. Debitkartentransaktionen bieten keinerlei Betrugsschutz; wie bei Schecks müssen Sie betrügerische Transaktionen innerhalb von 24 Stunden anfechten.
Schlimmer noch: Die Werkzeuge und das Erfahrungswissen, die Banken zum Kampf gegen Scheckbetrug entwickelt haben, greifen bei Kartentransaktionen nicht. Banken, die Debitkarten ausgeben, investieren selten in die für Kreditkartenanbieter übliche Betrugserkennung.
Schutz
Abschaffen
Debitkarten sind gefährlich, und es gibt keinen Anwendungsfall, den eine Kreditkarte nicht besser abdecken könnte. Die zusätzlichen Belohnungen lohnen sich nicht.
Kryptowährung
Risiko: Wahnsinn
Das ist das Gegenteil von Sicherheit bei Online-Zahlungen.
Meiner Meinung nach sind die einzigen Unternehmen, die unbedingt in Kryptowährungen bezahlt werden müssen, Verbrecherringe. Kryptowährungen haben alle Nachteile proprietärer Zahlungsplattformen (sofortige Abwicklung, kein Betrugsschutz, keine regulatorischen Anreize) und sind noch anfälliger für technische Angriffe, Marktmanipulation und eine Betrugskultur innerhalb ihrer Institutionen. Sie eignen sich für Geldwäsche und Diebstahl.
Schutz
Nicht machen
Außer Sie sind ein Verbrecherring.
Bleiben Sie klug, bleiben Sie geschützt
Obwohl Zahlungsbetrug im Internet die größte Cyber-Bedrohung für die meisten Unternehmen darstellt, lässt sich dieses Risiko schnell, einfach und effektiv adressieren. Wer IT-Funktionen klug auslagert und sich an sichere Online-Zahlungsmethoden hält, eliminiert einen Großteil dieses Risikos.
Die meisten verbleibenden Risiken in der Kreditorenbuchhaltung lassen sich ebenfalls leicht vermeiden. Abonnieren Sie, um über meinen nächsten Beitrag benachrichtigt zu werden, in dem ich bespreche, wie Sie mit einer passenden Strategie und Prozessgestaltung in der Kreditorenbuchhaltung Hacker und Kriminelle abwehren können.
Gedanken, Meinungen oder Fragen? Schreiben Sie mir eine Nachricht, beteiligen Sie sich an der Diskussion unten oder machen Sie in den sozialen Medien mit.
